I responsabili di sicurezza sono spesso nella condizione di dover dimostrare un ritorno dell’investimento in security, in sostanza, viene sovente richiesto loro un metodo di misura.
Il problema è che si cerca di quantificare “l’incommensurabile”. È scoraggiante sapere che la sicurezza è sempre guardata come centro di costo e mai come centro di business. Tuttavia, è una realtà nel mondo aziendale, perché si tratta di una funzione di risk management.
Il problema è che i classici modelli per determinare il ROI non funzionano bene per il ruolo che la sicurezza riveste nel settore. Però, siccome il compito di chi si occupa di security è di prevenire che si verifichino eventi avversi nelle loro aziende, come può essere misurato?
Invece di tentare di dimostrare il ROI, consigliamo di utilizzare i tool di Six Sigma per definire cosa può essere misurato, come effettuare “la misura” e come fornire un’analisi dei dati utili a dimostrare il valore del business al top management. La bottom line mostra sempre “il valore del business” e si spera si traduca in soldi risparmiati.
Cos’è Six Sigma
Six Sigma è un metodo statistico di misura usato in molte aziende per migliorare i processi di manufacturing.
È completamente data-driven e le statistiche sono usate per identificare eventuali aree problematiche, alle quali viene data le priorità nella gestione e nella risoluzione dei problemi.
Poiché Six Sigma riduce i difetti nei processi, massimizza l’efficienza della linea di produzione, migliorando di conseguenza il profitto. Può essere usato per qualsiasi processo e ha molti utenti nel settore dei servizi.
Elemento basilare per Six Sigma è cosa deve essere misurato. Ci sono cinque punti importanti che vanno seguiti quando si usa questo tool.:
- Definizione – gli obiettivi di miglioramento delle performance
- Misurazione – il sistema attuale sotto valutazione
- Analisi – per eliminare le lacune
- Miglioramento – il processo, essere creativi
- Controllo – istituzionalizzare il sistema migliorato
Vediamo come usare i primi tre punti di Six Sigma prendendo a esempio l’esperienza di una nota società farmaceutica.
1. Definizione. L’obiettivo in questo caso è semplicemente di identificare gli eventi che possono essere misurati. Consideriamo, per esempio, il furto di notebook che hanno memorizzato al loro interno dati sensibili. Un altro esempio potrebbe essere il rischio cui si va incontro quando si gettano in un cestino documenti importanti anziché distruggerli con dispositivi dedicati.
2. Misurazione. Bisogna decidere quali “unità” usare per definire la misura. Cosa viene misurato e quale unità viene impiegata sono aspetti totalmente legati al processo sotto osservazione. Per esempio, un referto legale può essere valutato sia in quanto tale sia in termini di informazioni recuperate o di causa vinta. Nel caso dei notebook rubati, la valutazione potrebbe essere effettuata sia singolarmente sia in funzione del valore complessivo (delle informazioni e/o dei dispositivi in sé), oppure sotto entrambi gli aspetti.
3. Analisi. E’ necessario misurare il valore del business degli eventi misurati nei confronti di un progetto di sicurezza pianificato. Successivamente, va controllata la presenza di eventuali discontinuità nella conformità alle normative. Per concludere, è utile avvalersi di dati esterni quali report di altre società inerenti i furti delle informazioni e la non conformità alle leggi. Anche se non esattamente replicabili, questi dati hanno fornito un insieme di logiche giustificazioni per la discussione con i colleghi del business. Per trovare questi esempi su base quotidiana, non serve andare su sistemi complessi. Può andar bene Google Alert e i feed RSS.
Per generare un più ampio campione statistico, si possono usare tool freeware e commerciali per la valutazione del rischio. Sottolineiamo che pur non avendo un “costo”, i tool freeware necessitano comunque di “investire” un certo periodo di tempo per acquisirne la padronanza. Esempi di tool che richiedo un “impegno limitato” sono i metodi NIST SP 800-30, OCTAVE e OSSTMM.
I tool commerciali sono solitamente più facili da usare e offrono un migliore reporting, ma hanno un costo. Alcuni esempi da considerare in questo ambito sono Relational Software (RSAM) e RiskWatch.
Importanti sono i tool SIM (Security Information Management) e SEM (Security Event Management). Questi tool propongono punti di riferimento di maggiore qualità e possono parlare più chiaramente di ROI e di valore del business fornito dalla sicurezza nella protezione dell’infrastruttura.
Poiché SIM/SEM aggregano eventi, rendono più facile mostrare i miglioramenti dopo i processi di definizione/misurazione/analisi. I tool di SIM/SEM propongono un più vasto insieme di dati su cui condurre la vostra analisi e con cui mostrare i miglioramenti.
Tutto ciò consente di parlare al top management tramite dati significativi. Questa è la chiave del successo: parlare del valore del business fornito, supportato “dalle metriche”che abbiamo sviluppato per mezzo dei tool Six Sigma.
Tali tool hanno permesso di identificare i rischi nella sicurezza delle informazioni che potenzialmente impediscono al business di raggiungere i suoi obiettivi. Hanno inoltre aiutato nella creazione di una strategia di protezione e dei programmi destinati a ridurre i rischi di sicurezza delle informazioni a maggiore priorità.
Con questi strumenti, è più facile presentare il caso al top management. Parlate in termini di valore del business e sviluppate un supporto alla gestione del vostro progetto attraverso vari livelli (dal più basso al più alto).
Usate le risorse finanziarie perse durante la risposta all’incidente o nel corso delle indagini, cominciando anzitutto dal vostro incidente più recente.
In generale, avvaletevi dei risultati ottenuti tramite i referti legali (lasciate che le prove parlino da sé). Come metrica per la misura, usate la vostra valutazione del rischio o i risultati ottenuti dall’auditing. Accertatevi di fornire un nesso alla discontinuità tra le normative e i dati sensibili per dimostrare che questo progetto è in grado di proteggere la vostra proprietà intellettuale e quella del top management.