Archivi categoria: spiegare la sicurezza

Le mie idee su come spiegare le problematiche di sicurezza ICT.

Cos’è e come si gestisce il Social Risk

Questo articolo esce in crosspost con il blog Marketing Consumer, dove lo stesso tema è affrontato dal punto di vista della protezione dell’immagine dell’azienda, e fa parte della serie Spiegare la sicurezza.

Ho recentemente partecipato al Security & Risk Management Summit di Gartner. Tra i vari temi del convegno si è trattato anche di come le aziende debbano sempre di più occuparsi del social risk. Cioè di quanto le discussioni circa l’azienda sui social network possano provocare danni, anche molto gravi, all’immagine, al fatturato e alla sicurezza dell’azienda stessa.

La buona notizia è che ci sono gli strumenti per difendersi, come definire un’efficace social media policy, identificare un responsabile della social compliance e mettere in campo una squadra di marketing d’emergenza.

Questo argomento è particolarmente interessante perché riguarda non solo le strategie di marketing che un’azienda moderna deve mettere in pratica per difendersi, ma anche e soprattutto l’analisi e la prevenzione dei rischi. E, tanto per contestualizzare, il rischio principale di cui stiamo parlando è quello dell’hacktivism.

Sono stati portati diversi esempi, anche con testimonianze dirette di aziende, sui vari aspetti dell’interazione tra una società e il mondo dei social network. Si è passati da sensibilizzare i dipendenti a come proteggere la propria privacy (e di riflesso l’immagine dell’azienda), a come attivare delle policy corrette per gestire un grande evento.

Il caso più emblematico presentato è stato quello del CIO durante le ultime Olimpiadi di Londra, che non solo ha spinto gli atleti ad usare i social network definendo policy opportune (qui il documento dettagliato), ma le ha anche applicate duramente, laddove si siano verificate delle violazioni che potevano compromettere l’immagine delle Olimpiadi.

Quello su cui vorrei focalizzare l’attenzione è tuttavia una problematica molto particolare, ovvero come gestire le emergenze di comunicazione e marketing che possono emergere quando esplode un “incidente” sui social network, e in seguito sulla stampa mainstream.

Partiamo dall’inizio.

È sempre successo che possa arrivare, dall’interno o dall’esterno, un evento che possa nuocere all’immagine dell’azienda o del brand. Magari questo incidente viene poi ripreso dalla stampa e causa problemi o danni gravi per cui deve intervenire il reparto di public relations.

La gravità di questo incidente può aumentare se l’azienda lega molto la sua immagine o le sue azioni a concetti di tipo etico. Ad esempio se siete una compagnia petrolifera che si autodefinisce “green”, e poi vi beccano a trivellare un parco nazionale in Nuova Zelanda, allora la gente potrebbe reagire molto male. E come reazione intendo arrivare a concordare un’azione che possa provocare danno alla sicurezza dell’azienda, ai suoi dati riservati ed all’immagine dell’azienda sul web e sui media. Per esempio con un bel defacement.

Ora questo come fa a peggiorare con i social network? Perché nei gruppi online prima, e nei gruppi di Facebook e similari dopo, si concentra un’enorme quantità di energia. L’energia cresce perché in questi gruppi di persone, anche molto ampi, parlano costantemente del “nemico”. Ne parlano e non vedono l’ora di avercelo davanti. E il nemico può essere la multinazionale petrolifera, se il gruppo è di ambientalisti, o una qualsiasi azienda che ha a che fare con gli animali, se il gruppo è di animalisti, come in seguito.

Questa energia, se scatenata in seguito ad un incidente, provoca una reazione a catena enormemente più potente rispetto al normale flusso di eventi che veniva generato con il semplice intervento della stampa. Perché non dimentichiamocelo, stiamo nel mondo del Web2.0, dello user generated content. E perché le cose che avvengono su internet, oggi, restano lì per sempre.

Ed è proprio questa caratteristica a cambiare le carte in tavola e a richiedere interventi eccezionali e tempestivi.

Esaminiamo quindi un caso reale, citato al convegno, che illustra molto bene la tempistica di questi eventi. E insegna quali sono gli errori da evitare.

Alcuni di voi ricorderanno del negozio Petland di Akron, Ohio.
Petland è una catena in franchising di negozi di animali che puntava ad apparire particolarmente attenta alla cura dedicata ai piccoli amici domestici.

Il 29 luglio del 2009 una dipendente del negozio Petland di Akron  lascia due conigli maschi nella stessa gabbia, violando le politiche aziendali e la mission dell’azienda. Gli animali iniziano a picchiarsi selvaggiamente, tanto che la dipendente è costretta ad annegarli per evitare che muoiano di dolore dalle orribili ferite che si sono provocati. Ma la cosa più grave non è questa squallida e triste vicenda, quanto il fatto che la stessa ragazza posta sul suo profilo Facebook una foto sorridente tenendo gli animali morti come trofeo.

Questo evento scatena una serie di eventi riassunti in questo schema:

Akron Petland Incident Timeline

Fonte: Gartner

Il giorno dopo un amico su Facebook della ragazza segnala la cosa alla Humane Society, e successivamente alla PETA. La PETA chiede chiarimenti a Petland, che non considera adeguatamente la vicenda e non risponde alle richieste dell’organizzazione. Cinque giorni dopo la PETA chiama, utilizzando i social network, tutti i suoi iscritti all’azione e alla protesta contro il negozio di Akron e tutti gli altri negozi Petland degli Stati Uniti.

Otto giorni dopo la pubblicazione della foto Petland chiude il negozio di Akron, licenziando tutti i dipendenti (che passeranno i loro guai personali).
Trovate dettagli sulla vicenda, e la brutta foto della ragazza, sul sito ufficiale PETA.

Questo non è solo un case study molto utile a comprendere la potenza dell’energia racchiusa nei social network, ma anche un esempio dei danni che questo tipo di incidenti può portare ad un’azienda. Sì perché oltre a perdere un negozio, Petland ha avuto al sua reputazione distrutta, con danni che seguono ancora adesso.

Provate a cercare “Petland” su Google Immagini:

Ricerca Petland su Google Immagini

Ancora oggi compare la foto incriminata e la terza immagine, una di quelle più visibili, è di persone con cartelli “Petland uccide i cuccioli“.
Chi si affiderebbe ad un’azienda così, ora?

E tutto questo solo per non essersi accorti di un fatto molto grave, e soprattutto per non aver risposto pubblicamente e tempestivamente. E il motivo è semplice: l’azienda non aveva una social media policy per i dipendenti (la ragazza nemmeno pensava che la sua azione l’avrebbe portata a perdere il lavoro), non effettuava un monitoraggio dell’andamento del brand sulla rete, e non aveva un flusso di gestione della segnalazione proveniente da un gruppo di attivisti.

Questa brutta vicenda si è conclusa qui. Ma se il caso fosse stato ripreso da un gruppo di attivisti hacker, un gruppo anonimo ad esempio. E se questi avessero attivato subito una #op-petland su tutti i network? Ci sarebbero stati defacement sui siti aziendali, furto di informazioni e chissà quante altre cose, magari molto riservate, sarebbero uscite fuori…
E il danno sarebbe stato anche più grave che chiudere un negozio, il rischio era di chiudere tutta la baracca.

Vi chiedere come sia possibile difendersi da questo tipo di incidenti? Non è possibile. Avverranno sempre, e sempre più spesso dato l’enorme numero di persone in tutto il mondo che usa e userà i social network.

È possibile però mitigare il rischio, attraverso un’attenta gestione degli eventi.

Al fine di ottenere questo risultato sono è necessario un cambiamento di mentalità dei settori marketing e public relations dell’azienda, e l’introduzione di due figure fondamentali: il vice presidente della Social Compliance e il team di marketing di emergenza.

Il ruolo del VP Social Compliance (e pongo parecchia attenzione sulla qualifica di vice presidente, indice di quanto alto deve essere il commitment dell’azienda) è quello di definire le social media policy, da applicare sia internamente che esternamente. Definire le politiche di utilizzo vuol dire trasmettere al consumatore, cliente dell’azienda o più in generale un suo stakeholder, un’immagine coerente ed efficace del brand aziendale. Include sia formare degli operatori che alimenteranno i contenuti sui social network utilizzati, sia definire qual è il messaggio che l’azienda vuole trasmettere al suo pubblico e come farlo. Questo implica anche sensibilizzare i dipendenti sull’uso dei social network poiché potenzialmente dannoso per l’immagine dell’azienda. Questo avviene principalmente mostrando come impostare i livelli di privacy e come e cosa dire se non si vuole rischiare di creare danni. Molte persone nemmeno si rendono conto di quanto espongono pubblicamente, e quanto possono danneggiare non solo l’immagine aziendale, ma anche la propria.
Cosa ancora più importante, deve monitorare, mediante tecniche di sentiment analysis, l’andamento del brand aziendale sui gruppi internet. Solo in questo modo potrà identificare prontamente dei potenziali eventi pericolosi per l’immagine aziendale, e potrà definire le strategie di risposta per la gestione del rischio.

Una volta identificato un focolaio di rischio, è necessario che il responsabile della social compliance faccia intervenire il team di marketing d’emergenza, ovvero una squadra di professionisti delle pubbliche relazioni e della pubblicità addestrati a gestire situazioni di questo tipo. Loro interagiranno con le persone che hanno iniziato l’incidente, rispondendogli, indagando su cosa realmente è successo e fornendo il prima possibile una versione ufficiale dell’azienda sulla vicenda in questione.

Solo in questo modo sarà possibile non evitare che si inneschi un incidente, ma gestirlo e ricondurlo subito sotto il controllo dell’azienda. Questo per cercare di dominare il possibile rischio, e non subirlo.

Ovviamente potrebbe non bastare ad evitare una #op-qualcosa. Quindi è essenziale che il responsabile della comunicazione interagisca con il CISO dell’azienda, per allertare tutte le strutture di analisi degli eventi, di intelligence (OSINT, anyone…) e di prevenzione degli attacchi, al fine di monitorare attentamente la situazione.

Perché come dice il motto di questo blog: “l’unica cosa che puoi fare è accorgertene e rispondere”. E aspettarsi una cosa facilita senza dubbio il tutto.

Certamente questo tipo di organizzazione aziendale richiede molte risorse e molta maturità da parte dell’azienda, ma sta diventando praticamente obbligatorio per tutte le aziende esposte, per un motivo o per un altro, all’attenzione di gruppi di attivisti sui social network. Il rischio aumenta ovviamente con l’aumentare della dimensione dell’azienda.

C’è da dire che ci sono diversi documenti da cui trarre ispirazione. Il sito Social Media Governance propone un ben fornito database di policy già definite da alcune delle più grandi aziende del mondo. Basta capire qual è il ramo industriale della propria azienda e si può tranquillamente trarre ispirazione.

Tutte le società dovrebbero inoltre (e molte già lo fanno) usare tecniche di sentiment analysis per monitorare l’andamento dei propri brand sulla rete. Solo che questo monitoraggio va esteso dal semplice controllo delle campagne di marketing, anche alla difesa dell’immagine e degli asset dell’azienda stessa, va ampliato introducendo tecniche di Open Source Intelligence e va costantemente analizzato non solo dal reparto marketing, ma anche da quello della sicurezza IT.

Perché l’importante resta sempre dare una risposta all’utente arrabbiato o deluso. E la risposta deve arrivare il prima possibile, deve essere puntuale e onesta.

Altrimenti non si potrà evitare la deflagrazione dell’energia dei social network, e si rischia di bruciarsi davvero.

Bye!

Ma non era meglio pensarci prima?

Questo articolo fa parte della serie Spiegare la sicurezza, e analizza un case study interessante per capire come prevenire certi eventi.

Tutti penso sappiate dei pesantissimi attacchi subiti da Sony Computer Entertainment lo scorso anno. L’attacco principale ha portato alla chiusura del PlayStation Network, con il furto di dati di milioni di utenti, una figuraccia globale e danni quasi incalcolabili di immagine e soldi.

Dell’attacco in se si è parlato molto, ma di cosa succedeva all’interno di SCE si sapeva poco o nulla. Certo i rumori delle teste che venivano falciate si sentiva bene qui tra gli USA e il Giappone, ma poi cosa è successo davvero?

Ora un’esclusiva di SC Magazine Australia fa luce su come Sony ha reagito ai violentissimi e devastanti attacchi.

Vediamo cosa è successo, e cerchiamo di capire come questo può essere un esempio per implementare correttamente la sicurezza in un’azienda di queste dimensioni.

Prima di tutto, hanno chiamato Wolf a risolvere i problemi.
Chiamare Brett Wahlin a diventare il primo CSO di Sony Network Entertainment è stato sicuramente un gran colpo (che sarà costato molto…), ma cosa ci dice questo?

Ci dice che non c’era un Chief Security Officer.

Questa cosa è gravissima in qualsiasi azienda di quel livello, ma è allucinante se si pensa che Sony erogava servizi a milioni di clienti, su decine di piattaforme diverse e con una superficie d’attacco praticamente sconfinata.

Wahlin è un grande esperto del settore, in particolare di intelligence. Cosa ha fatto appena arrivato?

The new department, Wahlin says, is the “connective tissue” that ties Sony’s electronics and computer divisions together and is the company’s biggest investment in information security.

Ha subito riattivato l’unità di sicurezza interna e, soprattutto, ha creato un centro di coordinamento di tutte le strutture di sicurezza interna, cosa che prima evidentemente non c’era e che:

[Will] analyse feeds from all corners of SonyEntertainment Network, including information security and CCTV feeds. The centre’s goal is to automate security prevention capabilities so staff may work on enhanced detection and response.

In pratica il nuovo SOC farà da concentratore di tutti gli eventi di sicurezza, sia fisica che logica, in modo da avere una visione globale di tutto quello che succede. Allo stesso tempo automatizzare alcuni controlli significa liberare risorse umane per una migliore analisi e risposta agli eventi più complessi.

Considerato poi che uno dei vettori di attacco più usati contro Sony è stato lo spear phishing, l’esperienza di Wahlin nel controspionaggio militare ha puntato su due ambiti di azione ben definiti:

  • Locking down: ovvero blindare quanto più possibile la rete Sony da possibili attacchi esterni, convogliare gli eventi di sicurezza nell’unico SOC. Questo comprende il monitoraggio degli accessi fisici, delle telefonate, e anche i sistemi antifrode del PlayStation Network, precedentemente lasciati isolati dalla gestione della sicurezza, che non aveva pensato a correlare eventi che provenissero da tutti gli ambienti. Dimenticando appunto che sono tutti collegati, e che un attaccante può colpire con molti vettori in contemporanea.
  • Educazione: altro fattore fondamentale è la formazione di tutti i dipendenti, soprattutto i tecnici chiave che possono essere più soggetti ad attacchi, ad un livello di consapevolezza adeguato. Quindi corsi, procedure, best practice e quant’altro serva per far comprendere che i rischi sono molto più diffusi di quanto si pensi.

Come dice giustamente Wahlin:

Put simply, be safe if you don’t want to go to hospital.

Questa è sicuramente un’implementazione da manuale della sicurezza in un’azienda di queste proporzioni e con questi servizi. Sicuramente non la renderà invincibile, ma di certo dovrà essere presa come esempio.

Vediamo però cos’altro ci insegna questa vicenda.
Torno al titolo: non era meglio fare tutto prima?

La situazione prima dell’arrivo di “only four security staff remained at the company in October last year“. Ora non so se è perché sono stati cacciati o se ne sono andati volontariamente, fatto sta che i danni subiti da Sony erano incredibilmente alti.

Ma proprio perché la reazione della società è stata da manuale, dovrebbe essere altrettanto da manuale comprendere che bisognava pensarci prima.

Sono abbastanza sicuro che molte volte all’interno di Sony si è parlato di creare un CSO, lo dico perché chi lavora nella sicurezza di aziende come quella non è di certo l’ultimo arrivato, e sa cosa sta facendo (almeno, lo spero). Non è stato però capace di trasmettere al top management il messaggio corretto, cioè che serviva un coordinamento centrale, serviva analizzare meglio tutte le fonti. Perché solo così si riesce ad avere una visione complessiva delle possibili minacce e degli eventi in corso. Eventi e attacchi che impattano su più linee operative per raggiungere lo scopo.

Quello che è successo è esattamente la stessa situazione che ho affrontato parlando di compliance. Quando c’è una pressione, in quel caso legale in questo caso economica e di immagine, il commitment arriva alla velocità della luce. Ma arriva come un bombardamento a tappeto, non con perizia e precisione chirurgica.

Quindi il mio consiglio è quello sì di prendere la vicenda Sony come case study su come organizzare la sicurezza di un’azienda. Ma soprattutto di prenderlo ad esempio su come non dover aspettare il dramma per agire. Perché al di la di chiamare il super esperto, cosa che ovviamente non tutti possono permettersi, le azioni decise da Wahlin sono assolutamente in linea e fattibili in qualunque posto.

Necessitano di investimenti e devono essere adeguatamente progettate e motivate, ma sono le azioni base su cui costruire tutto.

Centralizzazione di tutti gli eventi in un SOC (da dare in outsourcing ad esperti se non si ha il know-how adeguato), analisi dei rischi a cui i propri servizi possono andare incontro, controllare le minacce interne ed educare il personale per comprendere che le azioni fatte con eccessiva leggerezza possono mettere a rischio la stabilità dell’azienda.

Questa non è fantascienza, e tutti i responsabili della sicurezza devono, se non l’hanno già fatto, inserire quanto prima questi passi nella propria agenda. Devono anche analizzare bene il caso Sony, e presentarlo ai propri capi per far comprendere che non è necessario fare il botto per risolvere i problemi.

Ma per farlo dovrete avere una proposta ben strutturata, che non sia quella di fondi e persone illimitate ma che sia basata sulle reali necessità di sicurezza dell’azienda. E che ne comprenda le dinamiche e risolva i problemi quanto più possibile con una migliore organizzazione. Ed è molto più facile di quanto pensiate.

Siete in grado di farlo?

Perché se non lo siete, quando succederà qualcosa (e qualcosa succederà sempre), i vostri capi chiameranno Wolf.

Sono Wolf. Risolvo problemi.

“Sono Wolf. Risolvo problemi.”

Non voi.

Bye!

P.S. Un po’ scomodo che SC Magazine richieda la registrazione per vedere articoli più vecchi di sette giorni, però non è proprio carino che una rivista di sicurezza permetta poi di bypassare questo controllo semplicemente inserendo l’ID dell’articolo nella funzione di print. 🙂

La compliance, forza inarrestabile

Questo articolo fa parte della serie Spiegare la sicurezza.

Un recente articolo di Jeremiah Grossman mi ha fatto riflettere. Ne segnalo un passaggio:

In the aftermath of a breach, employee dismissal and business collapses are rare, more often than not security budgets are expanded. Few things free up security dollars faster than a compromise, except for maybe an auditor.

Voglio lasciar stare la parte relativa agli incidenti, ma mi focalizzerò sulla compliance. Gli audit (cosa molto anglosassone) o la compliance legislativa (cosa molto europea) sono gli argomenti che più possono spingere il top management ad attuare molto velocemente delle politiche e/o degli strumenti di enforcement di sicurezza informatica.

Ma questo perché succede? Perché persone a cui dobbiamo spiegare bene l’importanza della sicurezza informatica, all’improvviso diventano estremamente determinati ad ottenere il risultato? Semplice: perché rischiano in prima persona.

Quando un’azienda fallisce un audit, o non è compliant ad una norma di legge, sono i direttori, gli amministratori delegati, insomma i CxO a pagarne le spese. Anche penalmente in alcuni casi. È ovvio quindi che siano altamente determinati a raggiungere il risultato, spronino i propri responsabili della sicurezza e mettano in campo un numero di risorse e budget elevatissimo.

Questa situazione incontrollata, si potrebbe pensare, è un bene? Purtroppo no.

No perché il commitment che viene da questo tipo di necessità non è una forza positiva, non nasce da una volontà di crescere e migliorare i propri processi di sicurezza. Nasce invece dall’obbligo di rispondere ad una normativa che può danneggiare l’azienda, insomma è un fastidio. E un fastidio non fa crescere, non fa ragionare, fa solo pensare al modo più veloce ed meno costoso per levarselo di torno. E il fastidio non è solo dei dirigenti, ma anche (e soprattutto) delle persone su cui impatterà l’obbligo, magari cambiando il loro operato quotidiano.

Però sarebbe stupido non cercare di sfruttare comunque questa forza. Visto che comunque il risultato va portato a casa, allora sta al professionista della sicurezza guidare il progetto verso lo scenario migliore. Soprattutto, cosa molto importante a mio avviso, è necessaria un’adeguata analisi della normativa in questione: leggetela bene! Sembra scontato ma non lo è. Considerate che probabilmente i vostri dirigenti non l’hanno (giustamente) fatto. Il più delle volte avranno solamente ricevuto un rapporto da parte dell’ufficio legale che elencava i rischi per loro.

Il problema però non è tanto che l’AD vada in galera, ma quanto la normativa impatta sull’operatività normale dell’azienda.

Prendiamo il recente provvedimento dell’Autorità Garante per la Protezione dei Dati Personali sui cosiddetti Amministratori di Sistema.

Prima di tutto, voi professionisti della sicurezza che sicuramente ne avete avuto a che fare (e magari l’avete maledetto) nei mesi passati: l’avete letto?

Dopo averlo letto, non correte subito a focalizzarvi sugli obblighi di legge, i rischi, le sanzioni, insomma tutte quelle cose che spaventano tanto i piani alti

Piuttosto in una normativa di questo tipo è fondamentale focalizzarsi sull’impatto che avrà sul lavoro quotidiano. In dettaglio il provvedimento del Garante come ha cambiato la vita dei vostri colleghi sistemisti? Quali cose sono diventate più complicate e burocratiche?
Rispondere a queste domande vuol dire fondamentalmente scrivere i requisiti che dovrà avere la soluzione da voi scelta. Perché solo in questo modo si riuscirà a trovare non solo un percorso che soddisfi la norma, ma anche che semplifichi procedure aziendali complesse.

Proprio così: semplificare. Perché applicare la professionalità di un esperto di sicurezza quando si tratta di rispondere ad una normativa di compliance vuol dire approfittare del regolamento per innalzare il livello di sicurezza della propria azienda, e allo stesso tempo risolvere tanti problemi quotidiani che magari erano lì fermi da anni.

Qui sta la vera sfida. È difficile e necessita di parecchio lavoro, studio e un’attentissima analisi di mercato. Ma soprattutto è necessario parlare con tutti i colleghi interessati, che siano i legali o l’ultimo degli installatori di Windows, ma dovete sentire tutte le loro esigenze.

Alla fine, se l’impresa avrà successo, con un unico progetto risolverete due problemi:

  1. i vostri capi saranno contenti perché la loro azienda è in regola;
  2. i vostri colleghi supereranno le paure e lavoreranno meglio e con maggior sicurezza.

Insomma, la compliance è inarrestabile, ma è domabile. Ed è anche un’occasione da non farsi scappare. Buon lavoro!

Bye!

Spiegare la sicurezza al top mangement

Questo articolo fa parte della serie Spiegare la sicurezza.

Un articolo uscito sull’ultimo numero di (IN)SECURE Magazine, webzine gratuita e interessante, anche se con troppe pubblicità, mi offre lo spunto per parlare delle relazioni con gli alti dirigenti aziendali.

Ho sempre trovato l’argomento di elevato interesse, anche perché è uno dei cardini principali su cui gira l’efficacia delle attività di sicurezza informatica in azienda. La problematica è che molto spesso il cardine si ferma, per tutta una serie di incomprensioni, oppure accelera vorticosamente in seguito a un fortissimo commitment che viene dall’alto (e di questo ne riparlerò meglio in un prossimo post).

L’articolo in questione è Managers are from Mars, information security professionals are from Venus, scritto da Brian Honan. Brian è un esperto di sicurezza irlandese fondatore del primo CERT/CSIRT dell’isola di smeraldo. Avendo a che fare con rappresentanti governativi, immagino l’esperienza di Brian in termini di relazioni tra  strutture operative e dirigenza (e anche io ne so qualcosa). Il suo punto di vista mi sembra quindi sia da considerare.

Un passaggio chiave da cui iniziare è questo:

Senior Management does not care about technology. Their focus is on the core functions of the business to ensure the business survives, meets its goals and also on being accountable to the stakeholders.

Questo punto di vista spesso non è ben compreso da un esperto di sicurezza ICT, anzi è visto come un segno di ignoranza del manager, di scarsa considerazione del valore del proprio lavoro.

In realtà le cose non stanno così, il focus di un C-Level executive resta quello dell’erogazione del business, comunque vada. Questo va compreso da parte di chi si occupa della sicurezza, perché comprendendo questa necessità (non derogabile né modificabile) ci si può porre in modo diverso. Si dovrebbe offrire al top manager un prospetto sullo stato della sicurezza per quel determinato progetto e/o servizio, aiutandolo a capire come possono eventuali problemi influire sull’erogazione del servizio stesso. Nel frattempo, altra cosa fondamentale, bisogna fornire dati che servono al manager a riferire agli stakeholders. Perché, non dobbiamo scordarlo, tutti abbiamo un superiore.

Questo non succede perché spesso i tecnici della sicurezza si basano sul paradigma del “pezzo di ferro”, ovvero: tecnologia tecnologia tecnologia. Scrive sagge parole Honan:

Information security is not all about firewalls, Intrusion Detection Systems, anti-virus software or whatever the latest shiny gadget is. It is also about ensuring the proper policies and procedures are in place and that people are trained and educated properly to understand their role and responsibilities in securing the information they deal with on a daily basis.

Gli alti dirigenti non ne sanno nulla di tecnologia e non ne vogliono (né devono, non è il loro lavoro) saperne. Parlare solo di tecnologia, e costi a essa associata, confonde le acque e crea ostilità da entrambi i fronti. I dirigenti pensano che la sicurezza sia solo un costo e gli esperti di sicurezza tornano in ufficio frustrati, pensando di avere come capi una mandria di imbecilli che non comprendono quanto importante sia il loro lavoro.
Ma il problema è che si stanno semplicemente parlando due lingue diverse.

Ma come facciamo noi che lavoriamo nella sicurezza ICT a portare correttamente il nostro messaggio ai vertici aziendali? Dobbiamo studiare come funziona l’azienda. Dobbiamo capire quali sono le priorità del top management e proporre contributi e soluzioni (procedure, policy, rischi reali). È inutile fornire parole complicate (zero-day, SQL injection, ecc.) ma bisogna parlare di analisi dei rischi, di governance, proporre piani di rientro e fornire numeri e dati verificabili. Questo perché

Management understands and speaks about issues relating to the business in terms of risk. Learning to understand risk and how to present it to the management will enable them to appreciate and better understand what you are trying to achieve.

Loro necessitano di informazioni, numeri, analisi su come ridurre i costi (fa sempre effetto) e di come ottenere un ROI anche sulla sicurezza. La finalità deve essere far comprendere i rischi riguardo l’erogazione del servizio, ed eventuali conseguenze che l’azienda potrebbe subire nel caso insorga un problema di sicurezza. Bisogna essere propositivi, portare all’attenzione dei dirigenti le analisi, i rischi e le contromisure. Ma va fatto tutto prima che succeda qualcosa, non andarsi a lamentare di aver fatto la Cassandra e tutto è andato male.

Perché potreste essere incolpati voi di non aver fatto qualcosa…

Questo vuol dire anche evitare assolutamente di ricorrere al terrorismo (fear, uncertainty and doubt), perché questo può essere sì un modo per ottenere subito ascolto, soprattutto se il dirigente è realmente un imbecille, ma poi, quando si faranno i conti e si scoprirà che era tutta fuffa, chi pagherà non sarà certo il manager…

When the dreaded event you warned the business about never happens you then become the “boy who cried wolf”.

E allora poi, davvero, non vi ascolterà più nessuno…