Le ragioni per cui un chief information security officer chiede un budget annuale per la sicurezza informatica sono chiare. La sfida è rendere altrettanto chiaro all’interno dell’organizzazione il modo in cui il cybersecurity budget viene allocato, così da giustificarne il costo. Il punto è che, rispetto a marketing, vendite, progettazione e assistenza – attività in cui il ritorno dell’investimento può essere spiegato più facilmente – la matematica del ROI della sicurezza informatica è un po’ più complessa.
Come ripartire il budget per la sicurezza informatica
La quantità di denaro assegnata alla sicurezza informatica varia notevolmente in base al settore, alle caratteristiche dell’organizzazione e alla situazione. Per questo è difficile determinare l’importo o la percentuale che i Ciso dovrebbero richiedere. Meglio procedere per categorie, individuandone quattro principali:
- Compliance. Esistono normative di conformità che indirizzano l’assegnazione del budget per la cybersecurity. Nel settore sanitario, ad esempio, occorre garantire particolari requisiti di privacy per proteggere le cartelle cliniche e altre informazioni sensibili che riguardano la salute delle persone. Soddisfare questi requisiti, cosa necessaria per rispettare la legge ed evitare multe potenzialmente pesanti, impone ai Ciso di investire in strumenti e tecnologie particolari come la classificazione dei dati e la crittografia.
- Valutazione continua dei rischi esistenti. I Ciso proattivi monitorano senza sosta l’efficacia dei controlli di sicurezza nei loro ambienti e li calibrano rispetto ai vettori di attacco prevalenti. Se i rischi arrivano a superare le soglie individuate in precedenza, occorre rivalutare la minaccia e proporre alla direzione una riallocazione del budget adatta alla nuova situazione in corso. In alternativa, si concorda di accettare livelli di rischio più elevati. Gli strumenti e i servizi di questa categoria includono cyber insurance, penetration test, iniziative di bug bounty e gestione degli incidenti informatici.
- Formazione continua sulla cybersecurity. La formazione sulla sicurezza informatica non può essere solo il punto di una lista di obblighi annuali. Prima di tutto è fondamentale che ogni dipendente e ogni fornitore siano consapevoli che in questo ambito servono impegno e aggiornamenti continui, poi bisogna trovare il modo giusto di coinvolgere le persone nella formazione. Disegnare scenari da paura per motivare i dipendenti non è l’unica soluzione, meglio forse puntare su una formazione che sia anche un’esperienza stimolante e in qualche modo divertente. Un esercizio semplice ma utile.
- Copertura delle nuove iniziative imprenditoriali. Qualsiasi nuova iniziativa imprenditoriale che si intraprende all’interno dell’organizzazione deve essere valutata dal punto di vista della sicurezza informatica e dotata di un cybersecurity budget, se possibile, per garantire che l’azienda e i clienti rimangano protetti. Ad esempio, il marketing può decidere di affidare la creazione di contenuti in outsourcing a un fornitore estero, oppure l’assistenza clienti può decidere di servirsi di una piattaforma di archiviazione in cloud. Entrambi questi scenari presentano rischi aggiuntivi che devono essere affrontati dai Ciso e dai team di sicurezza prima dell’implementazione.
Quanta parte del cybersecurity budget assegnare a ciascuna categoria dipende da una varietà di fattori. Nuovi obblighi di conformità potrebbero per esempio rendere necessario un aumento della spesa in questa direzione in un determinato momento. Ma potrebbe anche succedere che un nuovo investitore o CEO portino un cambiamento delle regole, causando un aumento o una diminuzione dell’investimento complessivo in sicurezza sulla base di una diversa propensione al rischio dell’organizzazione. Questo potrebbe il Ciso a riallocare la spesa delle diverse categorie.
Buone pratiche per il cybersecurity budget
Per gestire e giustificare in modo efficace il budget per la sicurezza informatica è essenziale che un Ciso sappia comprendere il presente e pianificare il futuro. Tre passaggi non possono mancare:
- Comprendere l’attuale allocazione del cybersecurity budget. Utile creare un inventario completo di prodotti e servizi esistenti, insieme alla spesa giornaliera, mensile e annuale per ciascuno di essi. Prima dell’avvento del cloud, questo esercizio era più semplice. Oggi invece, con la moltitudine di servizi on demand, richiede molto più impegno. La cosa importante da tenere presente è che questo inventario deve essere fatto periodicamente nel corso dell’anno, non quando la scadenza del contratto è imminente e i fornitori premono per il rinnovo.
- Monitorare, monitorare, monitorare. Dopo aver fatto un inventario completo, vanno messe in atto procedure per monitorare costantemente l’efficacia di strumenti e servizi, insieme a processi per ottimizzarli, riconfigurarli o addirittura disattivarli se necessario. Importante tenere presente che il valore e il rinnovo del prodotto non possono essere basati sull’attività o sulla sua mancanza. Ci sono prodotti che vengono testati ‘in battaglia’ ogni giorno – come la protezione dal phishing – quindi la loro necessità è facilmente giustificabile, ma ce ne sono anche altri – come i sistemi di difesa da attacchi ransomware o denial of service distribuiti – ma ce ne sono altri che potrebbero non essere utilizzati per mesi. Nel caso di prodotti e servizi non testati in attività è utile fare riferimento alle statistiche di settore e anche dare un’occhiata alle vicende dei competitor prima di decidere se farne a meno. Un monitoraggio continuo è utile anche per valutare prodotti o servizi più nuovi e più convenienti rispetto a quelli in uso: quando non c’è attività, un cambio può essere meno rischioso.
- Diventare un punto di riferimento. Per i colleghi di tutte le funzioni impegnati a promuovere l’efficienza e aumentare i ricavi, il Ciso può essere una risorsa inestimabile. Per esempio, il Ciso potrebbe eseguire un rapporto completo sui rischi legati a prodotti e ai servizi utilizzati in un particolare reparto dell’organizzazione e utilizzarlo non solo per far comprendere ai colleghi gli effetti che un potenziale attacco a tali prodotti o servizi potrebbe avere, ma anche per mostrare loro anche come ridurre i potenziali effetti di rischio.