Durante una sessione della RSA Conference 2015 si è discusso su quali debbano essere le metriche e i dati presenti nei report utilizzati dai CISO per comunicare con il consiglio di amministrazione.
Uno studio ha evidenziato che la maggior parte dei CISO concentra i propri report sulla gestione delle vulnerabilità, mentre i piani di incident response, le verifiche di conformità e i progetti specifici sulla sicurezza hanno una priorità minore. Inoltre, lo studio ha rivelato che il 12% dei CISO non include alcuna metrica nei propri report sulla sicurezza.
Il punto di vista executive
Se si dovesse chiedere ai CEO delle principali aziende Fortune 1000 qual è il problema aziendale che li tiene svegli la notte, la risposta non sarebbe di certo la sicurezza informatica. Il loro primo pensiero sarà quello di massimizzare la ricchezza degli azionisti. Il consiglio di amministrazione governa l’organizzazione attraverso la definizione di obiettivi e politiche ampie, approva i bilanci annuali, stabilisce misure compensative per la gestione aziendale e si concentra sulla vitalità e la redditività dell’impresa.
Secondo gli esperti, entrare nell’ottica degli executive e adottare la loro mentalità può aiutare ogni CISO a determinare i dati e le metriche che è necessario includere nei report sulla sicurezza. Innanzi tutto occorre sapere e tenere bene in considerazione chi siede al consiglio di amministrazione. In base a chi saranno gli interlocutori e quali le loro competenze, i CISO potranno cucire i report su misura per fornire loro una guida chiara e assicurarsi che comprendano realmente i pericoli che certe lacune nella sicurezza IT comportano per l’azienda.
Questione di metriche
Le metriche sulla sicurezza sono essenziali da raccogliere in prima istanza per identificare i vettori di attacchi mirati verso l’azienda. Ma fornire anche i più piccoli dettagli in merito ai tipi di attacco non fornisce al CDA le informazioni di cui ha bisogno per decidere su questioni relative al programma di sicurezza delle informazioni. Se i membri del consiglio di amministrazione hanno un approccio passivo nei confronti di queste tematiche vorranno solo sapere se è tutto sotto controllo e se ci sono questioni di sicurezza che debbano essere portate alla loro attenzione, soprattutto per quanto riguarda la conformità alle leggi e alle norme di tutela della privacy, divulgazione o mantenimento dei dati.
Un CDA attivo, invece, approverà un information security program, verificherà annualmente la conformità alle policy di sicurezza stabilite e darà pieni poteri ai CISO affinché questi ultimi possano implementare il livello di sicurezza necessario per proteggere i beni aziendali.
Le caratteristiche di un report efficace
Il focus dei report sulla sicurezza dovrebbe essere incentrato sui rischi attuali, sulla conformità, sulla risposta agli incidenti, sull’esperienza in merito agli attacchi già fronteggiati e sui rischi in evoluzione nei confronti dei quali occorrerà farsi trovare preparati. I report dovrebbero essere il più possibile pertinenti, completi e facile da capire. L’information security program dovrebbe basarsi su un preciso framework stabilito dall’azienda.
Ce ne sono molti, ma un valido esempio è rappresentato da ISO 27002, che è fatto di dieci domini. Una valutazione della information security dovrebbe fornire un report per ogni dominio: il CISO potrà spiegare brevemente come ogni dominio viene calcolato, ma sicuramente il suo messaggio otterrà maggiore incisività se accompagnato da una rappresentazione visuale dei report stessi, ad esempio attraverso grafici a torta o a barre.
Dopo aver illustrato i contenuti del report, sarebbe poi opportuno descrivere con chiarezza gli sforzi già messi in atto e i successivi rimedi da applicare per progredire nel percorso della sicurezza IT. Solo in questo modo il consiglio di amministrazione diventerà più consapevole dell’importanza e della centralità del tema security.
