Gli standard ed i framework di sicurezza informatica sono raccomandazioni ben organizzate per proteggere “con metodo” una infrastruttura aziendale e ridurre i rischi per la sicurezza informatica. Di standard ce ne sono a dozzine, ma i più popolari sono il framework di sicurezza informatica NIST e ISO 2700x.
Generalmente includono raccolte di politiche, concetti di sicurezza, approcci di gestione del rischio, azioni, formazione e strumenti. Ciò aiuta board ed IT-manager a comprendere le priorità ed il corretto utilizzo degli investimenti per raggiungere i livelli desiderati di sicurezza informatica.
Il grande limite degli standard è che misurano le capacità, non i risultati
Il limite maggiore dei modelli di maturità e degli standard è che misurano le capacità, ovvero “quanto stanno facendo in azienda per la sicurezza informatica”, ma non misura i risultati ottenuti con tale sforzo. Infatti, man mano che le aziende raggiungono una maggiore maturità, questi modelli, framework e standard iniziano a perdere di valore. Un esempio: intorno a un livello di maturità di 2,5, gli standard non aiutano più l’azienda ad individuare “the next step” di priorità sui sul quale concentrare il prossimo investimento.
I modelli di maturità hanno aiutato le azienda e gli IT-Manager a comprendere le priorità basiche e ad investire il primo budget disponibile di cyber-security nella giusta direzione, e ciò è ammirevole.
I dati di maturità di Gartner per tutti i settori aziendali indicano una media concentrata tra 2,6 e 3,6 per tutti i settori. Ora le aziende hanno bisogno di qualcosa di più potente: metriche basate sui risultati ottenuti nella cyber-security aziendale.
Metriche basate sui risultati ottenuti nella cyber-security aziendale
Le aziende faticano a determinare il giusto livello di protezione informatica e quindi di investimento. Nel 2020, gli audit di sicurezza tipici si concentrano sulla verifica di “presenta dei controlli”. Una valutazione di uno standard di audit per il NIST Cybersecurity Framework ha mostrato che il 73% delle domande di audit è correlato alla presenza dei controlli, non alle loro prestazioni o ai livelli di protezione.
Le metriche basate sui risultati di cyber-security ottenuti riflettono il grado di protezione raggiunto, il risultato, di un'organizzazione, non il modo in cui è protetta. Tali metriche devono essere riportate periodicamente al board per permettere decisioni di nuove azioni, di budget, quindi di governance di cybersecurity.
Esattamente come qualsiasi metrica di Business Intelligence, anche le metriche sui risultati raggiunti nella cyber-security aziendale servono per prendere decisioni data-driven, velocemente e corrette.
10 metriche di cyber-security
Security rating
Average vendor security rating over time
Average industry security rating
Intrusion attempts within a given period
Patching cadence
Mean time to detect
Mean time to resolve
Backup frequency
Phishing test success rate
Security awareness training scores
Commenti