SecurityOpenLab

CISO: come giustificare le spese per la sicurezza informatica

Qualche trucco che i CISO possono usare per convincere le aziende a finanziare le spese la sicurezza informatica.

Ottenere fondi per la sicurezza informatica è uno dei compiti più difficili per un CISO, nonostante i rischi connessi per le aziende. Spesso accade che gli investimenti richiesti arrivino solo in seguito a un ransomware che blocca le attività. Oppure a un furto di dati sensibili o alla compromissione di applicazioni aziendali da parte di una backdoor.

È un atteggiamento irresponsabile, ma purtroppo comune. Uno dei nodi della questione è presentare un piano commerciale circostanziato, che giustifichi le spese a sostegno del programma di sicurezza. Limitarsi a sottolineare l'importanza di una difesa articolata non chiarisce quanti prodotti siano necessari e perché. In mancanza di dettagli rilevanti per l'azienda e del giusto contesto, chi esamina la richiesta non ne comprende l'importanza.

È proprio da come viene formulata la richiesta di fondi che bisogna partire per assicurarsi che la cyber sicurezza aziendale sia adeguata. Le parole d'ordine sono tre: rischio, costo e contestualizzazione. Riguardo al rischio, è necessario dettagliare in che modo la misura richiesta mitiga o affronta un rischio significativo. Bisogna spiegare la relazione tra il rischio e gli obiettivi aziendali, e chiarire cosa potrebbe accadere se non si affrontasse questo rischio. Non dimenticare poi di esporre con dati a supporto la probabilità con la quale il rischio potrebbe concretizzarsi.
computer hand keyboard technology gadget black 545994 pxhere comCosto: quanto costerà la misura di sicurezza richiesta? Bisogna precisare le spese anticipate e in corsa, le commissioni a terze parti (software e infrastruttura) e i costi interni. È sempre bene discutere modi alternativi per affrontare il rischio, con pro e contro di ciascuno.

Il contesto è sempre un argomento spinoso. Serve per far comprendere il ruolo che svolge la richiesta nell'ambito delle altre iniziative e priorità aziendali. Spesso è utile portare esempi di come imprese simili gestiscono gli stessi rischi. E descrivere il modo in cui il rischio si inserisce nel panorama delle minacce rilevanti per la propria organizzazione.

Tutto questo è un buon punto di partenza, ma il lavoro non è terminato. Lo scoglio maggiore da superare è far comprendere che non si sta presentando una richiesta una tantum. Deve essere parte integrante di un piano di sviluppo della cyber sicurezza.

A questo punto è importante capire come articolare un piano completo. A supporto ci sono quadri moderni che includono già le best practice e le raccomandazioni, vanno solo adeguati alla singola realtà. Usandoli si possono giustificare le richieste di finanziamento facendo riferimento ai CIS Critical Controls e alla Security4Startups Controls Checklist. Se si necessita di piani più complessi, il riferimento universale è l'NIST Cybersecurity Framework (CSF) el'NIST Privacy Framework. Fornisce un elenco completo delle misure di sicurezza che le imprese dovrebbero attuare.

Non dimentichiamo poi che ci sono altre frecce all'arco del CISO, come le leggi e i regolamenti compresi nel CCPA e nel GDPR. Sebbene la portata di un programma sulla privacy vada oltre la sicurezza informatica, si ricorda che esiste una sostanziale sovrapposizione tra i due mondi. È possibile rafforzare le misure di sicurezza chiamando in causa i rischi per la privacy.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 04/02/2020

Tag: cyber security ciso



Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy