Monitorando le metriche di cybersecurity e gestendole in modo efficace, le organizzazioni possono migliorare la sicurezza, ridurre il rischio di violazioni dei dati e dimostrare il valore del proprio programma di sicurezza informatica.
Oltre al monitoraggio delle metriche, è importante anche definire obiettivi di cybersecurity chiari e misurabili. Questi obiettivi dovrebbero essere allineati con gli obiettivi aziendali generali e dovrebbero essere utilizzati per guidare la selezione delle metriche da monitorare.
Ricorda: monitorare le metriche di cybersecurity è un processo continuo che richiede impegno e adattamento.
Nonostante tutti considerino la cybersecurity un tema fondamentale, quando arriva il momento di investirci, resta ancora complesso spiegare perché è imprescindibile farlo. Ai responsabili di sicurezza, quindi, serve trovare modi efficaci per misurare gli sforzi fatti e la loro efficacia, monitorando i progressi e la loro utilità nel prevenire eventi potenzialmente drammatici come le violazioni dei dati, gli attacchi ransomware.
Il monitoraggio delle metriche e dei KPI di cybersecurity diventa anche uno strumento utile per tracciare un quadro del panorama delle minacce che ciascuna azienda deve affrontare. Forniscono un ottimo punto di partenza per sviluppare una strategia complessiva da ottimizzare a seconda necessità, per bloccare le minacce attuali e ridurre i rischi a lungo termine.
Perché monitorare le metriche di cybersecurity
La ragione principale per cui si tiene traccia delle metriche di cybersecurity in modo continuativo consiste nella necessità di comprendere l’esposizione di un’azienda ai rischi per la sicurezza. Si riesce infatti a ottenere una visione storica degli eventi verificatisi in passato – nelle reti o nei sistemi IT – e a conoscere informazioni aggiornate sull’efficacia degli strumenti, dei processi e del lavoro dei team di sicurezza.
Il monitoraggio delle metriche consente inoltre ai team di sicurezza di capire meglio dove i criminali stanno attualmente cercando di accedere all’infrastruttura IT. Questo aiuta a stabilire le priorità di intervento contro gli attacchi in corso e a distribuire un mix di strumenti e processi in grado di bloccare le minacce informatiche imminenti, prima che colpiscano l’organizzazione.
Infine, metriche e KPI sono ottimi strumenti per definire gli obiettivi futuri e pianificare il miglioramento delle prestazioni di protezione. Per esempio, i responsabili della sicurezza possono utilizzare report giornalieri o settimanali contenenti varie metriche per fare in modo che i team siano più preparati agli attacchi e monitorare con maggiore attenzione le parti vulnerabili dell’infrastruttura, quando necessario.
Si possono individuare 12 metriche di sicurezza informatica che le aziende dovrebbero tenere sotto controllo in modo prioritario, al di là delle loro posture di sicurezza.
1. Tentativi di intrusione rilevati
Potrebbe non sembrare un parametro importante, invece fornisce un utile quadro generale del numero di minacce che un’azienda deve affrontare. Un problema della sicurezza informatica è che quando i meccanismi di prevenzione delle minacce funzionano e si verificano pochi incidenti, i manager tendono a pensare che l’organizzazione non sia più un bersaglio. Condividere i dati che dimostrano il contrario è un buon modo per fornire la prova che le minacce continuano ad esistere e, nella maggior parte dei casi, sono in continuo aumento.
2. Numero di incidenti di sicurezza
Un aspetto fondamentale della gestione della sicurezza informatica è il monitorare se le modifiche agli strumenti e ai processi producono miglioramenti. Spesso gran parte del budget IT viene speso per la cybersecurity, quindi le metriche monitorate dovrebbero indicare che il denaro viene utilizzato in modo saggio. La raccolta di dati sul numero e sul tasso di incidenti di sicurezza in periodi specifici può aiutare i CISO e gli altri responsabili della sicurezza informatica a verificare e dimostrare ai manager che le difese messe in atto abbiano un impatto positivo sulla protezione delle risorse digitali dell’organizzazione.
3. Livelli di gravità degli incidenti
Comprendere il livello di gravità di un’intrusione informatica o di un furto di dati aiuta a stabilire le priorità delle azioni per garantire che gli incidenti dannosi per l’azienda non continuino. Questa metrica, nel tempo, permette di comprendere se i nuovi strumenti di sicurezza o i processi aggiornati stanno realmente riducendo il numero di incidenti ad alta gravità.
4. Tempi di risposta agli incidenti
La velocità è fondamentale quando si tratta di identificare e affrontare le minacce informatiche. Il monitoraggio dei tempi di risposta agli incidenti consente di verificare l’efficacia di risposta e di intervento, per poi concentrarsi su una eventuale riduzione. Oltre a monitorare le risposte alle singole minacce, il tempo medio di risposta (MTTR) viene comunemente calcolato come media. Il tempo medio di rilevamento, o MTTD, è una media correlata per l’identificazione di attacchi e altre minacce.
5. Tempi di risoluzione degli incidenti
La rapidità di risposta rappresenta solo una parte di ciò che deve essere misurato. È infatti importante considerare anche la velocità con cui il malware o una qualsiasi altra minaccia identificata può essere isolata, messa in quarantena e completamente rimossa dall’ecosistema IT. Alcuni utilizzano in alternativa l’MTTR in questo contesto, come tempo medio di riparazione. Se i tempi di riparazione diminuiscono, è un chiaro segnale che è necessario apportare modifiche al programma di sicurezza.
6. Numero di falsi positivi e negativi
Il settore della cybersecurity punta molto su alcuni strumenti che automatizzano l’identificazione di malware o anomalie avvisando i team di sicurezza. Spesso però necessitano di una messa a punto e di una manutenzione regolare, per evitare falsi positivi o falsi negativi. È necessario capire se e quanto frequentemente accade per capire se gli strumenti sono stati configurati e messi a punto correttamente.
7. Tempi di risposta delle patch di vulnerabilità
È risaputo che uno dei modi migliori per proteggere il software è applicare patch ai sistemi operativi e alle applicazioni, non appena i fornitori rendono disponibili le correzioni dei bug. Il monitoraggio della velocità con cui i team di cybersecurity installano le patch software mostra l’efficacia di questa pratica critica di prevenzione dei rischi.
8. Risultati della valutazione delle vulnerabilità
Gli strumenti di scansione delle vulnerabilità eseguono dei test sui sistemi IT e sui dispositivi degli utenti per verificare se sono stati coperti da patch contro le vulnerabilità note e per identificare altri potenziali problemi di sicurezza. I risultati di questa valutazione includono elenchi di vulnerabilità nuove e ancora aperte, classificazioni del rischio, rapporti di vulnerabilità pass/fail e altri dati. Si tratta di informazioni da utilizzare, insieme alle metriche sui tempi di risposta alle patch, per comprendere se dedicare maggiori risorse alla gestione delle vulnerabilità.
9. Livelli di accesso alle applicazioni e ai dati degli utenti finali
I manager potrebbero pensare che le minacce alla sicurezza provengano in gran parte dall’esterno dell’organizzazione. Tuttavia, in alcuni casi, le metriche di cybersecurity relative alla forza lavoro, mostrano che le minacce interne sono un problema ben più grave. La raccolta e l’analisi delle informazioni sui privilegi di accesso e sull’accesso alle applicazioni e ai dati da parte dei dipendenti può evidenziare i problemi di sicurezza interna e le modifiche necessarie ai controlli di accesso degli utenti.
10. Volume complessivo di dati generati
Anche se non si tratta di una metrica strettamente legata alla sicurezza, il monitoraggio della quantità di dati generati e inviati attraverso il network aziendale può aiutare a identificare potenziali minacce e determinare la capacità di scalare strumenti e processi di sicurezza. I cambiamenti nei volumi di traffico, graduali o improvvisi, possono indicare intrusioni di malware o altri tipi di attacchi informatici. Questa metrica può anche servire per giustificare la necessità di misure di sicurezza nuove o aggiornate. Contribuirà a far capire che con l’aumento dell’utilizzo della rete deve aumentare anche la quantità di risorse stanziata per proteggere la rete e i sistemi IT.
11. Numero di audit, valutazioni e test di penetrazione
La “manutenzione” della sicurezza informatica comporta una serie di audit, valutazioni, test di penetrazione e altri controlli, per garantire che i processi e gli strumenti funzionino come previsto. È abbastanza comune, tuttavia, che i team di sicurezza IT siano talmente oberati dalle attività quotidiane da ritardare o dimenticare queste importanti procedure. Il monitoraggio della loro frequenza fornisce visibilità su questo aspetto della cybersecurity, in modo che non venga trascurato.
12. Parametri di sicurezza rispetto a organizzazioni simili
Diversi strumenti di analisi della sicurezza basati su cloud offrono la possibilità di confrontare le metriche di cybersecurity anonimizzate con quelle di altre organizzazioni dello stesso settore. In un certo senso, si tratta di una “metrica di confronto delle metriche”. Questo benchmarking aiuta a valutare se il team di sicurezza IT è sulla buona strada o se ha bisogno di un reset rispetto ai colleghi del settore.
Come gestire il processo di monitoraggio delle metriche di cybersecurity
Ottenere visibilità sulle metriche e sui KPI critici per la cybersecurity serve a poco se i team di sicurezza non capiscono come utilizzarli per raggiungere gli obiettivi strategici. È qui che devono entrare in gioco pratiche di gestione efficaci. Per ottenere i risultati desiderati in materia di cybersecurity utilizzando dati rilevanti in tempo reale e storici, è infatti necessario
- Definire degli obiettivi, identificando quali metriche servono per misurare i progressi. Troppo spesso i responsabili della sicurezza informatica si concentrano su metriche e KPI singoli, piuttosto che sugli obiettivi da raggiungere. Questo porta a situazioni in cui i dati sono buoni ma non si ottiene nulla perché non sono stati perseguiti degli obiettivi. Invece, è bene creare prima obiettivi utili e raggiungibili e poi selezionare le varie metriche e i KPI che meglio segnano il successo o il fallimento.
- Creare un cruscotto per tenere in evidenza le metriche e i KPI. Combinare obiettivi di cybersecurity ben definiti con modi per misurare accuratamente il successo non serve a molto se a monitorare le metriche sono solo i responsabili della sicurezza. Serve un lavoro di squadra. Lo sviluppo di una dashboard che l’intero team di sicurezza può utilizzare per monitorare i progressi aiuterà a mantenere tutti coinvolti e informati.
- Essere pronti a perfezionare o modificare obiettivi, metriche e KPI. Tutto dovrà essere infatti adattato nel tempo, perché i requisiti aziendali e gli strumenti, i processi e il personale di sicurezza necessari per soddisfarli cambieranno continuamente. Lo scopo è quello di utilizzare i dati rilevanti per migliorare le protezioni di sicurezza informatica. Comprendere che l’evoluzione e i cambiamenti dell’azienda influenzeranno ciò che è strategicamente importante dovrebbe guidare il processo di creazione degli obiettivi e la scelta di metriche e KPI appropriati da monitorare.
