Può sembrare contraddittorio, ma uno dei più grandi errori che vediamo nel settore della sicurezza è la gente che parla di sicurezza. Ciò porta le organizzazioni a pensare di essere sicure, ma senza avere una chiara comprensione di cosa significhi “sicuro” in realtà.

Oltre a ciò, essere sicuri è qualcosa che indica una posizione binaria; o sei o non sei sicuro. Mentre ci sono alcuni beni e sistemi che puoi rendere più sicuri, la sicurezza totale è una cosa impossibile da ottenere. Tuttavia, una riduzione del rischio è assolutamente realizzabile e allo stesso tempo è anche misurabile.

Quando lavoro con le aziende per aiutarle a creare un buon programma di sicurezza, la prima cosa che faccio è concentrarmi sui rischi: quanti rischi ci sono, quanti rischi si trovano ad affrontare, come mitigano quel rischio, cos’è un livello appropriato di rischio per la loro attività e quanto rischio possono permettersi?

In definitiva, la conversazione si riduce sempre al raggiungimento di un equilibrio tra quanto l’azienda vuole spendere e quanto rischio la società stessa è disposta ad assumere.

Pianificazione di rischi accettabili

Partendo dalla posizione di una conversazione focalizzata sul rischio, puoi effettivamente aiutare le persone a definire e pianificare la copertura di ciò che è accettabile per la loro particolare organizzazione e tempistica. È quindi possibile definire un programma che riduca il rischio, determini un importo appropriato per metterli su un percorso corretto e consenta loro di misurare i loro progressi e assicurarsi che si stiano muovendo verso i loro obiettivi di rischio.

Quindi, cosa significa questo per i fornitori di servizi gestiti (MSP)?

Questo non è un passo così grande per i fornitori di soluzioni come potrebbero pensare. Stanno già aiutando i propri clienti a raggiungere i loro obiettivi di business e a gestire i loro rischi fornendo servizi IT, ad esempio assicurandosi che i loro sistemi e le reti siano tutti operativi, quindi esiste già un solido piano di backup e disaster recovery, e lì non ci sono barriere tecnologiche per fare affari. Questi stessi concetti valgono anche per la sicurezza.

Ciò che gli MSP devono fare è avere una conoscenza approfondita dell’ambiente aziendale in cui operano i propri clienti. Gran parte dell’analisi del rischio dipenderà dal tipo di attività che l’azienda svolge, dai dati che ha e da quanto l’azienda rappresenti un target attraente per gli hacker.

L’analisi del rischio inizia con cose ad alto impatto

Quando si effettua questa analisi, gli MSP dovrebbero iniziare esaminando le cose ad alto impatto, ad esempio il ransomware. Cosa succederebbe se il cliente venisse violato in questo modo? È solo un piccolo inconveniente per loro e possono semplicemente tornare operativi ripristinando un semplice backup, o è un grave disastro che blocca immediatamente l’azienda e costa migliaia di euro al giorno? Pensare a questi tipi di scenari di disastro fornisce un potente punto di riferimento.

In alcuni casi, ad esempio, una società che produce sistemi di tubazioni non smette di svolgere il proprio lavoro e può attendere un backup per ripristinare i dati alla situazione precedente il disastro. Per un’azienda come questa, l’utilizzo del monitoraggio 24/7 per i tentativi di intrusione sarebbe esagerato, ma avere la possibilità di ripristinare rapidamente il sistema IT dal backup sarebbe prezioso. All’altro estremo, se le reti di un ospedale sono compromesse vengono messe in grave pericolo vite umane e sono in gioco preziosi dati personali. Quindi il livello di rischio che possono accettare è molto più basso.

È qui che gli MSP devono iniziare la conversazione, esaminando il reale impatto sul business della caduta dei sistemi o del furto di dati, e anche per valutare se l’azienda potrebbe essere utilizzata come canale per entrare nei sistemi degli altri partner.

Spostando la conversazione dalla sicurezza al rischio, ti stai mettendo nella posizione di poter avere una conversazione molto più preziosa e potente con i tuoi clienti e potenziali clienti.

Nella parte successiva, vedremo come gli MSP possono aiutare le aziende a capire dove sono i loro dati più importanti e come possono pianificare di proteggere queste risorse.

FONTE: SolarWinds MSP BLOG – di Tim Brown*

Traduzione ed Adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

*Tim Brown è VP of Security per SolarWinds MSP. Ha oltre 20 anni di esperienza nello sviluppo e nell’implementazione di tecnologie di sicurezza, tra cui gestione dell’identità e degli accessi, valutazione della vulnerabilità, conformità alla sicurezza, ricerca sulle minacce, gestione delle vulnerabilità, crittografia, servizi di sicurezza gestiti e sicurezza del cloud. L’esperienza di Tim lo ha reso un esperto in-demand sulla sicurezza informatica, e lo ha portato dall’incontro con i membri del Congresso e del Senato alla Sala Situazioni della Casa Bianca. Inoltre, Tim è stato centrale nel promuovere i progressi nei sistemi di identità, ha collaborato con il governo degli Stati Uniti in iniziative di sicurezza e detiene 18 brevetti su argomenti relativi alla sicurezza.

© 2018 SolarWinds MSP UK Ltd. Tutti i diritti riservati.