I responsabili di sicurezza sono spesso nella condizione di dover dimostrare un ritorno dell'investimento in security, in sostanza, viene sovente richiesto loro un metodo di misura. Il problema è che si cerca di quantificare “l'incommensurabile”. È scoraggiante sapere che la sicurezza è sempre guardata come centro di costo e mai come centro di business. Tuttavia, è una realtà nel mondo aziendale, perché si tratta di una funzione di risk management.
Il problema è che i classici modelli per determinare il ROI non funzionano bene per il ruolo che la sicurezza riveste nel settore. Però, siccome il compito di chi si occupa di security è di prevenire che si verifichino eventi avversi nelle loro aziende, come può essere misurato?
Invece di tentare di dimostrare il ROI, consigliamo di utilizzare i tool di Six Sigma per definire cosa può essere misurato, come effettuare “la misura” e come fornire un'analisi dei dati utili a dimostrare il valore del business al top management. La bottom line mostra sempre “il valore del business” e si spera si traduca in soldi risparmiati.
Cos'è Six Sigma
Six Sigma è un metodo statistico di misura usato da società come GE, Motorola e Ford
per migliorare i processi di manufacturing. È completamente data-driven e le statistiche
sono usate per identificare eventuali aree problematiche, alle quali viene
data le priorità nella gestione e nella risoluzione dei problemi. Poiché Six
Sigma riduce i difetti nei processi, massimizza l'efficienza della linea di
produzione, migliorando di conseguenza il profitto. Può essere usato per qualsiasi
processo e ha molti utenti nel settore dei servizi.
Elemento basilare per Six Sigma è cosa deve essere misurato. Ci sono cinque punti importanti che vanno seguiti quando si usa questo prodotto.:
- Definizione - gli obiettivi di miglioramento delle performance
- Misurazione - il sistema attuale sotto valutazione
- Analisi - per eliminare le lacune
- Miglioramento - il processo, essere creativi
- Controllo - istituzionalizzare il sistema migliorato
Il reparto di sicurezza della società farmaceutica,
che abbiamo visto all'opera, ha usato i primi tre punti di Six Sigma
1. Definizione . L'obiettivo in questo caso è semplicemente di identificare gli eventi che possono essere misurati. Consideriamo, per esempio, il furto di notebook che hanno memorizzato al loro interno dati importanti. Un altro esempio potrebbe essere il rischio cui si va incontro quando si gettano in un cestino documenti importanti anziché distruggerli con le macchine dedicate.
2. Misurazione . Abbiamo deciso quali “unità” dovevano usate per definire la misura. Cosa viene misurato e quale unità viene impiegata sono aspetti totalmente legati al processo sotto osservazione. Per esempio, un referto legale può essere valutato sia in quanto tale sia in termini di informazioni recuperate o di causa vinta. Nel caso dei notebook rubati, la valutazione potrebbe essere effettuata sia singolarmente sia in funzione del valore complessivo (delle informazioni e/o dei dispositivi in sé), oppure sotto entrambi gli aspetti.
3. Analisi. Abbiamo valutato il valore del business degli eventi misurati nei confronti di un progetto di sicurezza pianificato. Successivamente, abbiamo controllato la presenza di eventuali discontinuità nella conformità alle normative. Per concludere, ci siamo avvalsi di dati esterni quali report di altre ditte inerenti i furti delle informazioni e la non conformità alle leggi. Anche se non esattamente a livello delle nostre necessità, ci hanno fornito un insieme di logiche giustificazioni per la discussione con i nostri colleghi del business. Per trovare questi esempi su base quotidiana, abbiamo usato tool come Google Alert e i feed RSS.
Per generare un più ampio campione statistico, abbiamo utilizzato tool freeware e commerciali per la valutazione del rischio. Sottolineiamo che pur non avendo un costo proprio, i tool freeware necessitano comunque di “investire” un certo periodo di tempo per acquisirne la padronanza. Esempi di tool che richiedo un “impegno limitato” sono i metodi NIST SP 800-30, OCTAVE e OSSTMM. I tool commerciali sono solitamente più facili da usare e offrono un migliore reporting, ma hanno un costo. I fornitori da considerare in questo ambito sono Relational Software (RSAM) e RiskWatch.
Per i punti di riferimenti della sicurezza IT, abbiamo puntato sul nostro SEM/SIM, che offre una correlazione tra log ed eventi. Questi tool propongono punti di riferimento di maggiore qualità e possono parlare più chiaramente di ROI e di valore del business fornito dalla sicurezza nella protezione dell'infrastruttura. Poiché SIM/SEM aggregano eventi, rendono più facile mostrare i miglioramenti dopo i processi di definizione/misurazione/analisi. I tool di SIM/SEM propongono un più vasto insieme di dati su cui condurre la vostra analisi e con cui mostrare i miglioramenti.
Tutto ciò consente di parlare al top management tramite dati significativi. Questa è stata la chiave del successo: parlare del valore del business fornito, supportato “dalle metriche”che abbiamo sviluppato per mezzo dei tool Six Sigma. Tali tool hanno permesso di identificare i rischi nella sicurezza delle informazioni che potenzialmente impediscono al business di raggiungere i suoi obiettivi. Hanno inoltre aiutato nella creazione di una strategia di protezione e dei programmi destinati a ridurre i rischi di sicurezza delle informazioni a maggiore priorità.
Con questi strumenti, è più facile presentare il vostro caso al top management. Parlate in termini di valore del business e sviluppate un supporto alla gestione del vostro progetto attraverso vari livelli (dal più basso al più alto). Usate le risorse finanziarie perse durante la risposta all'incidente o nel corso delle indagini, cominciando anzitutto dal vostro incidente più recente. In generale, avvaletevi dei risultati ottenuti tramite i referti legali (lasciate che le prove parlino da sé). Come metrica per la misura, usate la vostra valutazione del rischio o i risultati ottenuti dall'auditing. Accertatevi di fornire un nesso alla discontinuità tra le normative e i dati sensibili per dimostrare che questo progetto è in grado di proteggere la vostra proprietà intellettuale e quella del top management.
