Avendo stabilito che è necessario spostare la conversazione dalla sicurezza al rischio con i clienti ( leggi il mio blog precedente qui ), l’enfasi deve essere data alla misurazione e alla quantificazione di tale rischio. Il primo passo qui è capire la linea di business dell’azienda e chi potrebbero essere i “cattivi”.

Fare questo all’interno di una grande organizzazione o gruppo è un’impresa enorme e può essere molto difficile da quantificare, quindi è essenziale trovare un modo per dividerlo in parti “digeribili”. A questo proposito, possiamo imparare molto da un mio contatto che è un CISO per una grande istituzione finanziaria multinazionale. Al fine di gestire il rischio nell’intera organizzazione, lavorano con ciò che definiscono come i loro “gioielli della corona”: i loro beni più importanti.

In questo particolare scenario, uno dei criteri per ottenere questo elenco è che, se compromessi, tali attività provocherebbero perdite per la società per oltre 1 miliardo di dollari o più al giorno. Hanno isolato 20 di questi beni attraverso l’organizzazione.

A ogni riunione del consiglio, questi gioielli della corona sono all’ordine del giorno e il consiglio di amministrazione discute se sono sufficientemente protetti e se il livello di rischio che affrontano è appropriato al loro impatto sul business. Il consiglio inoltre discute regolarmente delle altre attività dell’organizzazione e verifica se qualcos’altro debba essere incluso nell’elenco.

Fornire risposte di sicurezza concrete

Riducendo il problema a “possiamo proteggere queste 20 cose?” piuttosto che “possiamo proteggere queste 1.000 cose?” ha reso la domanda molto più facile da gestire con risposte concrete.

Questo non significa che non siano preoccupati di proteggere qualcos’altro nella organizzazione; devono naturalmente avere una robusta sicurezza per proteggere tutte le loro risorse. Quello che stanno facendo è mettere in atto una scala ponderata di protezione e, definendo quelle attività che potenzialmente hanno il maggiore impatto sull’azienda, sono in grado di giustificare la spesa aggiuntiva necessaria per proteggerle.

Anche se questo è un esempio molto più estremo di quello che probabilmente il MSP medio o il professionista della sicurezza dovrà gestire regolarmente (o addirittura mai), lavorare con il concetto di gioielli della corona è la base per fornire alle aziende un piano di sicurezza attuabile.

Definire e proteggere i tuoi gioielli della corona

Quindi come definisci i gioielli della corona all’interno di un’organizzazione?

Questo può essere semplice individuando quella che è la missione principale dell’organizzazione. Ad esempio, con un ospedale, la priorità numero uno è sempre la cura del paziente, e tutto il resto è relativo rispetto a questo obiettivo primario. In questo caso, il paziente diventa il gioiello della corona e i dati del paziente sono un bersaglio che deve essere protetto. Come abbiamo visto con gli ultimi attacchi ransomware rivolti agli ospedali, è fondamentale proteggere l’accesso ai dati dei pazienti, poiché i dati sono estremamente preziosi per i criminali informatici e molto vendibili sul Dark web. Hai bisogno di proteggere questi “gioielli della corona” meglio di quanto tu protegga altre cose.

Uno dei grandi errori che i professionisti della sicurezza spesso commettono è quello di cercare di mettere lo stesso livello di sicurezza in tutta l’organizzazione, senza adottare scale di priorità. Questo non è l’approccio giusto, bisogna essere in grado di dare un maggiore livello di sicurezza ai tuoi gioielli della corona. In questo modo, stai spendendo in modo appropriato su ciò che è più importante per la tua azienda e sugli obiettivi più interessanti per eventuali potenziali intrusi.

Espansione della valutazione del rischio per le persone

Non si tratta solo di dati, ma anche di persone. Dovresti avere un livello di sicurezza che includa anche le persone si occupano a vario titolo delle attività inerenti ai “gioielli della corona”; queste sono le persone all’interno della tua organizzazione che potrebbero compromettere la tua azienda o che hanno un impatto maggiore sul tuo ambiente. La maggior parte delle volte, hanno accesso alle risorse IT di livello più elevato: i tuoi super utenti e utenti root. A volte è il CEO. Devi capire come proteggi queste persone ed allo stesso tempo come proteggere sistemi e dati.

In un mondo in cui ci impegniamo costantemente per rendere più difficile per i nostri cyber-avversari raggiungere i loro obiettivi, le minacce interne diventano molto reali. Dobbiamo valutare costantemente il modo in cui proteggiamo le persone della corona, le app della corona e i sistemi inerenti e organizzare livelli appropriati di difese intorno a quelle che sono le più attraenti per gli avversari e che possono danneggiare le nostre organizzazioni se vengono compromesse.

Come MSP, una delle tue prime conversazioni deve essere intorno a quali sono i gioielli della corona del tuo cliente. Questa è una conversazione molto pratica e solitamente la maggior parte degli MSP ha una conoscenza approfondita delle attività dei propri clienti, in modo che possano entrare in essa con un buon livello di conoscenza per guidare i loro clienti a capire quali sono i loro gioielli della corona e cosa dovrebbero proteggere e monitorare su base regolare. Gli MSP possono aiutare i clienti a capire quale sia il livello appropriato di rischio per queste attività. È questo che costituisce la base di un piano di sicurezza ponderato che ha reale visibilità e beneficio per l’organizzazione.

Nel mio prossimo blog, esaminerò l’implementazione e la comprensione della buona igiene informatica.