In un contesto di minacce alla sicurezza informatica in continua evoluzione , è essenziale che gli MSP comprendano come gestire la conversazione sui rischi se vogliono davvero aiutare i loro clienti a gestire in modo efficace la loro posizione di sicurezza.
In questo blog, voglio esaminare cosa intendiamo per “possedere la conversazione sul rischio” e come gli MSP possono raggiungere questo obiettivo.
Per me, lo guardo dal punto di vista del mio lavoro. Quando la maggior parte delle persone pensa al proprio team di sicurezza, lo vede come il team che effettivamente dice sì o no a progetti o richieste. Tuttavia, in realtà, il nostro lavoro è molto più complesso del semplice dire sì o no a qualcosa; inizia con la valutazione e la quantificazione del rischio di tale richiesta.
Quando ci troviamo di fronte a un progetto proposto, dobbiamo considerare quale sia il rischio per l’azienda, i nostri partner ei clienti dei nostri partner. In definitiva, qualsiasi decisione aziendale deve essere presa in base a quale sia la tolleranza al rischio della nostra azienda in relazione al rischio stesso.
Quando ci troviamo di fronte a un progetto proposto, dobbiamo considerare quale sia il rischio per l’azienda, i nostri partner ei clienti dei nostri partner. In definitiva, qualsiasi decisione aziendale deve essere presa in base a quale sia la tolleranza al rischio della nostra azienda in relazione al rischio stesso.
Sono nella fortunata posizione di lavorare per un’organizzazione matura che comprende questi rischi aziendali. Comprendiamo il potenziale impatto che un incidente di sicurezza informatica potrebbe avere sulla nostra attività e sto lavorando in tutta l’organizzazione con persone che hanno un’idea di come funzionano le nostre operazioni end-to-end.
Per la maggior parte degli MSP, le cose sono spesso leggermente diverse. Gli MSP supportano tali operazioni end-to-end per i loro clienti e hanno una comprensione chiara e concisa di un gran numero di tecnologie e controlli che supportano tali attività. Ciò significa che comprendono anche la minaccia che gli attacchi informatici rappresentano per il loro funzionamento efficace. D’altra parte, gli stessi imprenditori spesso potrebbero non avere questa comprensione.
Pertanto, una parte fondamentale del ruolo dell’MSP è non solo identificare il rischio per i propri clienti, ma anche comunicare loro efficacemente tale rischio.
Scopriamo quali sono gli aspetti fondamentali per farlo
Spostare l’attenzione dal come al perché
Comunicare tale rischio ai tuoi clienti MSP in definitiva ti aiuta a spostare la conversazione dal parlare di “come” una tecnologia specifica proteggerà la loro attività al “perché” hanno bisogno di quella tecnologia specifica. Una delle sfide più difficili con l’evoluzione della sicurezza è che non esiste un traguardo chiaro. Le aziende possono sentirsi in grado di investire e arrivare a un punto in cui hanno finito, ma la realtà è che non è così che funziona la sicurezza: i rischi sono in continua evoluzione e quindi i loro investimenti in mitigazione e protezione devono evolversi con esso
Questo può rendere la costante evoluzione dello stack di sicurezza una conversazione imbarazzante se il cliente non capisce come è cambiato il suo rischio. Tuttavia, quando devi chiedere più budget per aggiornare l’hardware, investire in software diverso, aggiungere EDR o qualunque sia il caso, se il cliente può vedere che lo stai facendo per mitigare un livello di rischio proporzionato per loro, allora renderà la conversazione molto più facile.
Non è solo dire loro di cosa hanno bisogno, ma spiegare perché ne hanno bisogno che fa la differenza qui:
- Perché stiamo percorrendo questa strada?
- Da cosa stiamo cercando di proteggerti?
- Quali rischi stiamo cercando di mitigare?
- E quanto potrebbero costare all’azienda questi potenziali rischi sia nell’immediato che nel lungo termine?
Da dove inizi a passare alla discussione del rischio come MSP?
L’esecuzione di una valutazione dell’impatto aziendale (BIA) dovrebbe costituire la base per la discussione sui rischi.
Ciò ti aiuterà a stabilire linee di base di sicurezza fondamentali, ad esempio quali parti dell’azienda sono più fondamentali per la sua sopravvivenza e quindi presentano il rischio maggiore e necessitano della massima protezione; fino a quanto tempo i sistemi e i servizi critici possono permettersi di rimanere offline in caso di interruzione? È importante ricordare che l’interruzione potrebbe essere il risultato di una serie di cose. Potrebbe trattarsi di un componente hardware guasto, di un servizio SaaS non disponibile o di un evento di sicurezza. Pertanto, una BIA efficace non dovrebbe solo sfruttare una lente di sicurezza durante la valutazione.
Se un piccolo studio medico che fa molti raggi X; per quanto tempo possono permettersi che quella macchina a raggi X resti offline? Se sono un piccolo rivenditore, per quanto tempo possono permettersi che la loro macchina per carte di credito rimanga offline? Se sono contabili, per quanto tempo possono permettersi che la loro posta elettronica sia inattiva e il loro sito Web offline?
Al di là di questi scenari di base, ciascuno di questi sistemi avrà tecnologie di supporto chiave: quali sono e per quanto tempo l’azienda può permettersi che restino offline?
Da lì la conversazione sul rischio diventa ciò che puoi mettere in atto per garantire che l’azienda possa riprendersi efficacemente nel periodo di tempo definito. Inoltre, forse ancora più importante, si tratta di ciò che è possibile mettere in atto per evitare che un evento interrompa i sistemi in primo luogo. È qui che essere in grado di spiegare le cose dal punto di vista della gestione del rischio può davvero aiutarti a inquadrare la sicurezza informatica come una proposta di grande valore per l’imprenditore.
Se spieghi il “perché” non solo il “cosa” e come stai cercando di ridurre qualsiasi rischio, diventa una conversazione molto più organica. Ora non ti stai scontrando con i costi, invece, stai lavorando insieme per mantenere la loro attività di successo e sostenibile e consentire loro di continuare a gestire un’attività redditizia.
Un vantaggio secondario dell’esecuzione di una BIA è che può fornire un playbook sulla sicurezza informatica in caso di un grave incidente di sicurezza.
Ti aiuterà ad assegnare un vero valore aziendale a diverse applicazioni e sistemi e a determinare un obiettivo del tempo di ripristino (RTO) accettabile per ciascuno. Dal nostro esempio sopra, non tutte le cose possono essere così critiche come riportare online quella macchina per carte di credito. Se la tua stampante è offline potresti stare bene senza di essa per diversi giorni; anche una settimana. Quindi non è necessario che tutto sia di nuovo online immediatamente quando si verifica un problema critico: la BIA ti aiuterà a capire in quale ordine devi riportare online queste cose per riportare l’attività del tuo cliente alla piena produttività.
Implementazione di una valutazione dell’impatto aziendale
Se stai cercando di iniziare con una BIA, ci sono molti modelli disponibili online, ma il mio punto di riferimento è il framework NIST, di seguito:
- NIST: Using Business Impact Analysis to Inform Risk Prioritization and Response (una guida operativa per l’utilizzo del modello NIST BIA)
- Modello BIA NIST (un modello semplificato e facile da seguire)
Questo ti dà tutto ciò di cui hai bisogno per iniziare la transizione per aiutare davvero i tuoi clienti a fare i conti con il loro profilo di rischio e metterti nella posizione migliore per gestirlo efficacemente per loro.
FONTE: N-ABLE BLOG – by Dave MacKinnon (DMac) – Chief Security Officer presso N-able.
TRADUZIONE ED ADATTAMENTO: N4B SRL – N-ABLE AUTHORISED DISTRIBUTOR
© 2022 N‑able Solutions ULC e N‑able Technologies Ltd. Tutti i diritti riservati.
Questo documento è fornito solo a scopo informativo e non deve essere considerato come consulenza legale. N‑able non fornisce alcuna garanzia, esplicita o implicita, né si assume alcuna responsabilità legale per l’accuratezza, la completezza o l’utilità delle informazioni qui contenute.
I marchi e i loghi N-ABLE, N-CENTRAL e altri marchi e loghi N‑able sono di proprietà esclusiva di N‑able Solutions ULC e N‑able Technologies Ltd. e possono essere marchi di diritto comune, sono registrati o sono in attesa di registrazione presso il Ufficio brevetti e marchi degli Stati Uniti e con altri paesi. Tutti gli altri marchi citati nel presente documento sono utilizzati solo a scopo identificativo e sono marchi (e possono essere marchi registrati) delle rispettive società.