C’è un vecchio detto nel mondo degli affari: se vuoi fare carriera, non portare problemi al tuo capo, portagli soluzioni. Molto probabilmente siete stati assunti sulla base della vostra esperienza e della capacità di portare a compimento il vostro lavoro, non per creare problemi. Lo stesso vale quando si tratta di investire in soluzioni di sicurezza. Infatti, quando le richieste di finanziamento per nuove tecnologie giungono sul tavolo del CEO e degli altri dirigenti, questi vogliono essere certi che, ai fini dell’investimento, qualsiasi problema sia già stato risolto, non creato.

Probabilmente molti di voi, leggendo questo articolo, diranno: “certo, è ovvio!“, ma la realtà è che l’introduzione di nuove tecnologie nell’infrastruttura aziendale di sicurezza può spesso avere conseguenze impreviste e finisce col comportare maggiori costi per l’azienda o col renderla meno sicura, oppure, in alcuni casi, può addirittura sortire entrambi gli effetti. Quando le tecnologie non si integrano perfettamente fra loro, possono sorgere problemi che distraggono dallo scopo principale di mantenere le risorse aziendali più critiche sicure e protette contro gli attacchi. Poiché la sicurezza delle informazioni è già di per sé un settore molto complesso, aggiungere strati di complessità alle misure di sicurezza, invece di semplificarne i processi, è un cattivo investimento nonché un terribile spreco di risorse critiche.

Ad esempio, i falsi positivi possono diventare un problema costoso, in termini economici e di tempo, per il nostro settore. Quando le tecnologie non si integrano adeguatamente, i valori di generazione dei falsi positivi oltrepassano abbondantemente la norma. Questo costringe gli esperti di sicurezza a concentrarsi maggiormente sulla classificazione dei problemi che ancora non esistono, invece di affrontare le vulnerabilità reali, molte delle quali potrebbero rivelarsi critiche per la sicurezza aziendale. Tutto ciò genera uno scenario in cui il budget, inizialmente destinato alla mitigazione di potenziali rischi ed esposizioni di sicurezza, finisce per risultare insufficiente e si verificano maggiori costi per l’azienda in termini di spese e risorse. E il risultato finale può anche essere una rete meno sicura di prima.

Allora come si fa a eliminare questo problema dall’equazione quando è indispensabile prendere decisioni di acquisto ed investimento? Ecco alcuni suggerimenti per aiutare il CISO a costruire un caso per ottenere l’assegnazione del necessario budget e, successivamente, a concentrarsi nel destinare gli investimenti esattamente dove richiesto.

Identificare il problema che si intende risolvere: siate più specifici possibile e valutate con attenzione l’impatto della tecnologia sugli altri sistemi che sono attualmente in uso. Molte aziende fanno l’errore di allargare troppo la questione e sperare che mettendo più soldi e tecnologie su un problema, questo venga risolto. Ricordate sempre, la speranza non è un piano d’azione ed è solo il magro sostituto di una corretta ricerca ed un’attenta pianificazione.

Studiare una strategia e renderla attuabile: nel nostro settore non si contano i casi in cui prima si fanno gli investimenti e si implementano nuove tecnologie e solo allora si inizia a pensare che cosa farne. Le nuove tecnologie devono essere esaminate, dominate e approvate prima dell’effettiva implementazione, affinché sia possibile risolvere i problemi fin dal primo giorno, senza causare inutili ritardi e pericolose distrazioni per il team di sicurezza.

Presentarsi alla direzione con un piano alternativo e una soglia minima: sebbene sia certo che il CIO o il CEO vorrebbero essere in grado di garantire a tutti il budget necessario per i nuovi investimenti in sicurezza, la realtà è che siete in una vera e propria competizione con i colleghi degli altri reparti per dividervi un budget sempre più limitato e l’aspettativa di ottenere tutto ciò che volete non è affatto realistica.

Articolare le discussioni sulla sicurezza in termini di business: questo è un concetto che ripeto spesso, perché non solo può supportarvi a rendere chiare le vostre necessità di budget alla direzione, ma si permette anche di dare la dovuta priorità agli investimenti in tecnologie di sicurezza. Se la soluzione che si desidera implementare non risolve un problema, genera costi all’azienda e non permette di risparmiare un importo significativo del budget, oppure non contribuisce a mitigare un serio rischio di sicurezza che potrebbe comportare problemi legali o di conformità, forse è necessario riesaminare l’importanza di tale soluzione.

In definitiva, ecco i principali criteri per aiutarti ad affrontare il CEO nel modo migliore, per ottenere i necessari stanziamenti di budget e per conciliare al meglio le esigenze di sicurezza con quelle del business.

1. Sii breve: la regola è “cinque priorità in cinque minuti”, ovvero, se non sei in grado di articolare i punti chiave che il CEO deve conoscere sulla sicurezza delle informazioni in cinque semplici punti o meno, né spiegare ciascuno di essi brevemente e in termini semplici da comprendere, è meglio che ristrutturi attentamente la tua conversazione per assicurarti che il messaggio che vuoi far giungere al CEO non si perda nei dettagli tecnici.

2. Non essere troppo tecnico: non assecondare il bisogno di inserire qualsiasi tipo di statistica nel tuo report per indicare quante volte la tua rete è stata sondata, minacciata, attaccata e così via. Tutto ciò è solo rumore di fondo che genera distrazione dal messaggio che intendi recapitare.

3. Focalizzati sulle minacce per il business, non sulla tecnologia: ad esempio, se stai cercando di ottenere un aggiornamento di sicurezza o ulteriori investimenti, evitare di discutere di minacce, malware o botnet, piuttosto concentrarsi sulla probabilità di subire danni e perdite dal punto di vista del business e sulle conseguenze che l’azienda potrebbe dover fronteggiare qualora la sua proprietà intellettuale o altre risorse critiche fossero compromesse. Questi sono gli aspetti di cui il CEO e, per estensione, il consiglio di amministrazione, si preoccupano. Essi hanno il compito di proteggere il business e di salvaguardare il valore finanziario dell’azienda. Se riesci a mettere in relazione gli argomenti di sicurezza con il business aziendale, allora riuscirai a comunicare in modo più efficace l’importanza di ciò che ti serve.

4. Costruisci una strada a doppio senso: la questione della sicurezza è importante, perciò se è vero che hai bisogno che il CEO ti presti la massima attenzione e sia più sensibile alle tue richieste, sta comunque a te fare il massimo per trasmettere al meglio le esigenze di sicurezza, legandole alla salvaguardia del business.

5. Sii costante: sia che si tratti di un incontro settimanale o mensile, pianifica tutti i necessari appuntamenti con il CEO in modo tale da riuscire a fornirgli un aggiornamento completo ed esaustivo. La sicurezza non sarà mai considerata come una priorità per l’azienda finché non verrà sottoposta al CEO con una certa regolarità affinché possa cogliere appieno la situazione aziendale, apprezzarne i miglioramenti, comprenderne i problemi e, di conseguenza, assicurare la fornitura delle necessarie risorse o fornire le sue direttive quando richiesto.

Fonte: Invest in Solutions: Not Problems – Security Week

Ettore Guarnaccia