Questo articolo fa parte della serie Spiegare la sicurezza.

Un articolo uscito sull’ultimo numero di (IN)SECURE Magazine, webzine gratuita e interessante, anche se con troppe pubblicità, mi offre lo spunto per parlare delle relazioni con gli alti dirigenti aziendali.

Ho sempre trovato l’argomento di elevato interesse, anche perché è uno dei cardini principali su cui gira l’efficacia delle attività di sicurezza informatica in azienda. La problematica è che molto spesso il cardine si ferma, per tutta una serie di incomprensioni, oppure accelera vorticosamente in seguito a un fortissimo commitment che viene dall’alto (e di questo ne riparlerò meglio in un prossimo post).

L’articolo in questione è Managers are from Mars, information security professionals are from Venus, scritto da Brian Honan. Brian è un esperto di sicurezza irlandese fondatore del primo CERT/CSIRT dell’isola di smeraldo. Avendo a che fare con rappresentanti governativi, immagino l’esperienza di Brian in termini di relazioni tra  strutture operative e dirigenza (e anche io ne so qualcosa). Il suo punto di vista mi sembra quindi sia da considerare.

Un passaggio chiave da cui iniziare è questo:

Senior Management does not care about technology. Their focus is on the core functions of the business to ensure the business survives, meets its goals and also on being accountable to the stakeholders.

Questo punto di vista spesso non è ben compreso da un esperto di sicurezza ICT, anzi è visto come un segno di ignoranza del manager, di scarsa considerazione del valore del proprio lavoro.

In realtà le cose non stanno così, il focus di un C-Level executive resta quello dell’erogazione del business, comunque vada. Questo va compreso da parte di chi si occupa della sicurezza, perché comprendendo questa necessità (non derogabile né modificabile) ci si può porre in modo diverso. Si dovrebbe offrire al top manager un prospetto sullo stato della sicurezza per quel determinato progetto e/o servizio, aiutandolo a capire come possono eventuali problemi influire sull’erogazione del servizio stesso. Nel frattempo, altra cosa fondamentale, bisogna fornire dati che servono al manager a riferire agli stakeholders. Perché, non dobbiamo scordarlo, tutti abbiamo un superiore.

Questo non succede perché spesso i tecnici della sicurezza si basano sul paradigma del “pezzo di ferro”, ovvero: tecnologia tecnologia tecnologia. Scrive sagge parole Honan:

Information security is not all about firewalls, Intrusion Detection Systems, anti-virus software or whatever the latest shiny gadget is. It is also about ensuring the proper policies and procedures are in place and that people are trained and educated properly to understand their role and responsibilities in securing the information they deal with on a daily basis.

Gli alti dirigenti non ne sanno nulla di tecnologia e non ne vogliono (né devono, non è il loro lavoro) saperne. Parlare solo di tecnologia, e costi a essa associata, confonde le acque e crea ostilità da entrambi i fronti. I dirigenti pensano che la sicurezza sia solo un costo e gli esperti di sicurezza tornano in ufficio frustrati, pensando di avere come capi una mandria di imbecilli che non comprendono quanto importante sia il loro lavoro.
Ma il problema è che si stanno semplicemente parlando due lingue diverse.

Ma come facciamo noi che lavoriamo nella sicurezza ICT a portare correttamente il nostro messaggio ai vertici aziendali? Dobbiamo studiare come funziona l’azienda. Dobbiamo capire quali sono le priorità del top management e proporre contributi e soluzioni (procedure, policy, rischi reali). È inutile fornire parole complicate (zero-day, SQL injection, ecc.) ma bisogna parlare di analisi dei rischi, di governance, proporre piani di rientro e fornire numeri e dati verificabili. Questo perché

Management understands and speaks about issues relating to the business in terms of risk. Learning to understand risk and how to present it to the management will enable them to appreciate and better understand what you are trying to achieve.

Loro necessitano di informazioni, numeri, analisi su come ridurre i costi (fa sempre effetto) e di come ottenere un ROI anche sulla sicurezza. La finalità deve essere far comprendere i rischi riguardo l’erogazione del servizio, ed eventuali conseguenze che l’azienda potrebbe subire nel caso insorga un problema di sicurezza. Bisogna essere propositivi, portare all’attenzione dei dirigenti le analisi, i rischi e le contromisure. Ma va fatto tutto prima che succeda qualcosa, non andarsi a lamentare di aver fatto la Cassandra e tutto è andato male.

Perché potreste essere incolpati voi di non aver fatto qualcosa…

Questo vuol dire anche evitare assolutamente di ricorrere al terrorismo (fear, uncertainty and doubt), perché questo può essere sì un modo per ottenere subito ascolto, soprattutto se il dirigente è realmente un imbecille, ma poi, quando si faranno i conti e si scoprirà che era tutta fuffa, chi pagherà non sarà certo il manager…

When the dreaded event you warned the business about never happens you then become the “boy who cried wolf”.

E allora poi, davvero, non vi ascolterà più nessuno…