CISO: come giustificare le spese per la sicurezza informatica

Qualche trucco che i CISO possono usare per convincere le aziende a finanziare le spese la sicurezza informatica.

Autore: Redazione SecurityOpenLab

Ottenere fondi per la sicurezza informatica è uno dei compiti più difficili per un CISO, nonostante i rischi connessi per le aziende. Spesso accade che gli investimenti richiesti arrivino solo in seguito a un ransomware che blocca le attività. Oppure a un furto di dati sensibili o alla compromissione di applicazioni aziendali da parte di una backdoor.

È un atteggiamento irresponsabile, ma purtroppo comune. Uno dei nodi della questione è presentare un piano commerciale circostanziato, che giustifichi le spese a sostegno del programma di sicurezza. Limitarsi a sottolineare l'importanza di una difesa articolata non chiarisce quanti prodotti siano necessari e perché. In mancanza di dettagli rilevanti per l'azienda e del giusto contesto, chi esamina la richiesta non ne comprende l'importanza.

È proprio da come viene formulata la richiesta di fondi che bisogna partire per assicurarsi che la cyber sicurezza aziendale sia adeguata. Le parole d'ordine sono tre: rischio, costo e contestualizzazione. Riguardo al rischio, è necessario dettagliare in che modo la misura richiesta mitiga o affronta un rischio significativo. Bisogna spiegare la relazione tra il rischio e gli obiettivi aziendali, e chiarire cosa potrebbe accadere se non si affrontasse questo rischio. Non dimenticare poi di esporre con dati a supporto la probabilità con la quale il rischio potrebbe concretizzarsi.
Costo: quanto costerà la misura di sicurezza richiesta? Bisogna precisare le spese anticipate e in corsa, le commissioni a terze parti (software e infrastruttura) e i costi interni. È sempre bene discutere modi alternativi per affrontare il rischio, con pro e contro di ciascuno.

Il contesto è sempre un argomento spinoso. Serve per far comprendere il ruolo che svolge la richiesta nell'ambito delle altre iniziative e priorità aziendali. Spesso è utile portare esempi di come imprese simili gestiscono gli stessi rischi. E descrivere il modo in cui il rischio si inserisce nel panorama delle minacce rilevanti per la propria organizzazione.

Tutto questo è un buon punto di partenza, ma il lavoro non è terminato. Lo scoglio maggiore da superare è far comprendere che non si sta presentando una richiesta una tantum. Deve essere parte integrante di un piano di sviluppo della cyber sicurezza.

A questo punto è importante capire come articolare un piano completo. A supporto ci sono quadri moderni che includono già le best practice e le raccomandazioni, vanno solo adeguati alla singola realtà. Usandoli si possono giustificare le richieste di finanziamento facendo riferimento ai CIS Critical Controls e alla Security4Startups Controls Checklist. Se si necessita di piani più complessi, il riferimento universale è l'NIST Cybersecurity Framework (CSF) el'NIST Privacy Framework. Fornisce un elenco completo delle misure di sicurezza che le imprese dovrebbero attuare.

Non dimentichiamo poi che ci sono altre frecce all'arco del CISO, come le leggi e i regolamenti compresi nel CCPA e nel GDPR. Sebbene la portata di un programma sulla privacy vada oltre la sicurezza informatica, si ricorda che esiste una sostanziale sovrapposizione tra i due mondi. È possibile rafforzare le misure di sicurezza chiamando in causa i rischi per la privacy.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.