Cybersecurity balanced scorecard: guida pratica con esempi di KPI

Un esempio di una scheda strategica con indicatori di performance che affronta le tendenze emergenti della cybersecurity.

Mappa Strategica della Sicurezza dei Dati con KPI, Fattori di Successo e Iniziative

I principi guida per la mappa strategica della cybersecurity. Fonte: Visualizza Scheda di Sicurezza dei Dati online in BSC Designer Scheda di Sicurezza dei Dati.

Argomenti principali dell’articolo:

Punto di partenza: studi sulla sicurezza dei dati

Studi regolari sulla sicurezza dei dati e sulla protezione dei dati ci danno una buona idea della causa principale delle violazioni dei dati e dei modi per prevenirli. In questo articolo, discuteremo un esempio di come questi risultati possano essere combinati in una strategia di cybersicurezza completa misurabile tramite KPI.

Ecco i rapporti che utilizzeremo come riferimento:

  • Rapporto sul costo di una violazione dei dati di IBM1 con studi condotti dal Ponemon Institute è uno dei punti di riferimento nel mondo della sicurezza IT.
  • Rapporto sulle indagini sulle violazioni dei dati di Verizon2 aggiunge una prospettiva diversa sui rischi di cybersicurezza e sui modi per affrontarli.
  • Sondaggio globale sulla sicurezza delle informazioni di EY3 condivide le migliori pratiche che le organizzazioni implementano per affrontare i rischi per la sicurezza dei dati.
  • Rapporto FireEye M-TRENDS4 riporta le minacce alla sicurezza dei dati e la loro evoluzione nel tempo.

Terminologia: Cybersecurity, Sicurezza dei dati, Protezione dei dati, Privacy dei dati

Iniziamo con la discussione della differenza tra i termini sicurezza dei dati/informazioni e protezione dei dati (privacy dei dati).

  • Sicurezza dei dati/informazioni riguarda il mantenimento di un’architettura sicura per gestire i dati. Pensate a backup regolari, software di sicurezza aggiornato, diritti di accesso, implementazione di software DLP, ecc.
  • Protezione dei dati riguarda l’uso etico e legale dei dati – ottenere il consenso e rispettare le obbligazioni normative.

Questa differenza è importante. Ad esempio, nel caso Facebook–Cambridge Analytica, i dati sono stati gestiti in modo sicuro (erano criptati e conservati su un server sicuro), ma non sono stati gestiti responsabilmente secondo le normative sulla protezione dei dati.

Il termine protezione dei dati è utilizzato principalmente in Europa e Asia, mentre negli Stati Uniti lo stesso concetto è chiamato privacy dei dati. Françoise Gilbert ha condiviso una buona spiegazione delle differenze nel suo blog.

Infine, il termine cybersecurity dovrebbe coprire un’ampia gamma di idee, includendo non solo la sicurezza dei dati ma anche altri sistemi di sicurezza. In pratica, viene spesso utilizzato in modo intercambiabile con il termine sicurezza dei dati.

Perché abbiamo bisogno di KPI e strategia per la cybersecurity?

Oltre alle idee ovvie, come sapere come sta andando la tua organizzazione e capire la direzione da prendere, menzionerei questi motivi:

  • Essere in grado di sostenere gli argomenti con alcuni dati quando si presentano nuove soluzioni di sicurezza agli stakeholder.
  • Avere un contesto aziendale formulato aiuta ad allineare le iniziative di cybersecurity ad altre parti della strategia, ad esempio, alla scheda di valutazione del talento, alla scheda di valutazione IT o alla scheda di valutazione della governance aziendale.
  • Convertire alcune idee vaghe come “ambiente aziendale altamente sicuro che sfrutta le ultime tecnologie IT” in qualcosa di più tangibile con indicatori di performance specifici.
Data Security Scorecard - How to create a comprehensive cybersecurity strategy measurable by KPIs

Come misurare qualcosa che non è ancora accaduto

Potrebbe sembrare che la sicurezza dei dati sia qualcosa di intangibile e difficile da quantificare e misurare, poiché non sappiamo mai in anticipo che tipo di violazione dei dati un’organizzazione dovrà affrontare. Gli studi empirici menzionati all’inizio (vedi, ad esempio, il rapporto sulla sicurezza IBM) condividono un punto di vista diverso.

La maggior parte delle violazioni dei dati è causata da fattori noti come:

  • Credenziali compromesse (19%)
  • Phishing (14%)
  • Configurazione errata del cloud (19%)

Questo ci dà un’idea di dove dovrebbero essere focalizzati gli sforzi per la cybersecurity.

Sebbene non possiamo prevenire tutte le violazioni dei dati, i dati mostrano che possiamo minimizzare il loro impatto sull’organizzazione tramite:

  • Implementazione dell’automazione della sicurezza,
  • Preparazione di un team di risposta e di un piano di risposta,
  • Educazione dei dipendenti, e
  • Test dell’ambiente aziendale utilizzando approcci come il test red team.

Per le funzioni e gli asset aziendali più critici, definiremo gli obiettivi di punto e tempo di recupero, che possono essere formalizzati nello scorecard per il recupero da disastro e allineati con lo scorecard per la cybersecurity.

Quali strutture aziendali sono applicabili per la sicurezza dei dati?

In precedenza, abbiamo discusso di vari framework aziendali che aiutano le organizzazioni ad articolare ed eseguire le loro strategie. Quali framework sono applicabili per un dominio di cybersecurity?

Per ottenere i migliori risultati, dobbiamo combinare vari framework:

  • Utilizzeremo l’analisi PESTEL per rilevare e analizzare i nuovi fattori dell’ambiente esterno (vedi gli obiettivi dalla prospettiva di Apprendimento e crescita). Questi possono essere cambiamenti nella legislazione, come le leggi sulla protezione dei dati, o cambiamenti dirompenti che abbiamo visto dopo il Covid-19, ad esempio, la tendenza al lavoro remoto.
  • Parleremo molto di focalizzarsi sugli sforzi di risposta. In questo contesto, vari framework di prioritizzazione saranno di aiuto.
  • Quando si lavora su una strategia di sicurezza dei dati, dobbiamo tenere conto delle azioni necessarie oggi, nel prossimo futuro, e di alcune iniziative per il futuro remoto. In questo contesto, il framework dei Tre Orizzonti aiuterà a condurre discussioni disciplinate.
  • Per convertire tutte queste idee scollegate in una strategia coerente, utilizzeremo il framework della Scheda di Valutazione Bilanciata.

Utilizziamo i framework aziendali menzionati e i rapporti di ricerca citati all’inizio per creare un esempio di strategia di sicurezza dei dati.

Prospettiva finanziaria. Stimare l’impatto finanziario della sicurezza dei dati

Gli indicatori KPI finanziari per la sicurezza dei dati sono indispensabili quando si presentano iniziative di sicurezza agli stakeholder. La presentazione appare ancora più impressionante quando possono essere forniti parametri di riferimento del settore pertinenti.

Il rapporto di Verizon, così come quello di IBM (condotto dal Ponemon Institute), forniscono alcune intuizioni in questo contesto. A volte, i dati sono contraddittori. Ad esempio, troverai che i costi di una violazione dei dati per record variano significativamente. Il rapporto di IBM fornisce un intervallo di $150-$175, mentre secondo il rapporto di Verizon (vedi il Data Breach Investigations Report, 2015), è di circa $0.58. Ken Spinner ha condiviso alcune spiegazioni sull’argomento in TeachBeacon.

Prospettiva finanziaria della scorecard di sicurezza

Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Come puoi stimare i costi di una violazione dei dati nel caso della tua organizzazione?

Può essere basato sui costi diretti e indiretti:

  • Costi diretti includono il costo dell’analisi forense, multe, compensazioni ai clienti.
  • Costi indiretti si riferiscono alla perdita di clienti esistenti e potenziali, dipendenti, partner che si è verificata a causa di una violazione dei dati.

Nella scorecard di sicurezza dei dati, possiamo prendere alcuni parametri di riferimento dagli studi di Ponemon o Verizon per la metrica Costo della violazione dei dati per record e moltiplicarlo per il numero di record a rischio.

Per fare i calcoli, avremo bisogno di alcuni dati aziendali di base:

  • LTV (valore a vita del cliente)
  • Stima del tasso di abbandono dei clienti a causa di una violazione dei dati
  • Numero di clienti
  • Numero di record a rischio
  • Clienti potenziali persi

Formula per il costo della violazione dei dati

Il valore per l'indicatore 'Costo della violazione dei dati' è calcolato utilizzando i valori di altri due indicatori. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Rispettivamente, l’impatto diretto di una violazione dei dati può essere calcolato come:

  • Costi della violazione dei dati (costi diretti) = Costo della violazione dei dati per record * Numero di record a rischio

Per quanto riguarda i costi indiretti, un modo per quantificarli è utilizzare il tasso di abbandono dei clienti a causa della violazione dei dati e LTV:

  • Costo dell’abbandono dei clienti = [Numero di clienti]*[LTV]*[Tasso di abbandono dei clienti a causa della violazione dei dati]/100

Inoltre, puoi stimare il numero di clienti potenziali che non hanno firmato il contratto.

  • Costo dell’opportunità persa = [Clienti potenziali persi] * [LTV]

Prospettiva del cliente. Quantificare i rischi di sicurezza.

Per la prospettiva del cliente, l’obiettivo chiave è formulato come:

  • Mitigare i rischi di sicurezza e protezione dei dati

Gli obiettivi e gli indicatori chiave di prestazione della prospettiva del cliente della scorecard di sicurezza dei dati

L'obiettivo complessivo del cliente è formulato come 'Mitigare i rischi di sicurezza dei dati'. I suoi risultati sono quantificati dall'indice 'weighted risk'. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Questo è qualificato da questi indicatori:

  • Indicatore guida Rilevamento precoce e risposta rapida ai rischi dei dati che è il risultato degli obiettivi dalla Prospettiva Interna
  • Indicatore guida Prontezza alla protezione dei dati
  • Indicatore di ritardo Indice di rischio ponderato

La logica qui è che l’organizzazione lavora sui sistemi di sicurezza interni (quantificati da rilevamento precoce e risposta rapida ai rischi dei dati) e introduce le misure necessarie di protezione dei dati (quantificate da Prontezza alla protezione dei dati) per mitigare meglio i rischi di sicurezza dei dati come quantificato dall’Indice di rischio ponderato.

  • Quando si costruisce una strategia di sicurezza dei dati, assicurarsi che il proprio team comprenda la differenza tra le metriche per i fattori di successo (metriche guida) e le metriche per i risultati attesi (metriche di ritardo).

Discutiamo in dettaglio gli indicatori dalla prospettiva del cliente.

Indice del rischio ponderato

L’obiettivo di questo indicatore è quantificare il livello di rischio attuale con cui l’organizzazione si sta confrontando. Per fare ciò, quantificheremo il numero di violazioni dei dati categorizzate in base al loro livello di impatto:

  • Eventi di rischio critico, peso 70%
  • Eventi di rischio importante, peso 20%
  • Eventi di rischio di livello medio, peso 7%
  • Eventi di rischio di basso livello, peso 3%

Come puoi vedere, è stata applicata una scala di pesi non lineare. Con questo modello, le violazioni dei dati critiche hanno il maggiore impatto sull’indice metrico, mentre gli eventi di basso livello hanno un impatto ridotto.

Metrica dell'indice di rischio ponderato per la sicurezza dei dati

L'indice di rischio ponderato tiene conto degli eventi di rischio di diversi livelli - dagli eventi di rischio critico (il peso più alto) agli eventi di rischio di basso livello (il peso più basso). Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Questo approccio affronta il problema di manipolare il sistema di misurazione quando l’indicatore di controllo viene spostato nella zona verde risolvendo problemi meno significativi. Tuttavia, dobbiamo assicurarci che gli eventi di rischio siano categorizzati correttamente.

Se sei interessato a saperne di più sul calcolo degli indicatori di indice e a tenere conto del peso degli indicatori, dai un’occhiata al relativo articolo sul nostro sito web.

Misurare la protezione dei dati o la privacy dei dati

Come spiegato in precedenza, la protezione dei dati riguarda l’uso etico e legale delle informazioni personali identificabili (PII) e dati simili.

Le misure di protezione, in questo caso, sono ben articolate dalla legislazione applicabile. In Europa, è il GDPR; negli Stati Uniti, ci sono diverse leggi a seconda del dominio aziendale, come CCPA, HIPPA, PCI DSS, GLBA.

Indice di prontezza per la protezione dei dati nello scorecard di sicurezza dei dati

Un esempio di indicatore binario (gli stati possibili sono 'Sì' o 'No' - quando il valore è 'Sì' la performance di questo indicatore è del 100%, altrimenti 0%. Fonte: Visualizza Scorecard di Sicurezza dei Dati online in BSC Designer Scorecard di Sicurezza dei Dati.

Se prendiamo il GDPR come esempio, dal punto di vista della misurazione, la protezione dei dati può essere monitorata da un indicatore di indice, Prontezza alla protezione dei dati, che viene calcolato utilizzando metriche (per lo più binarie) come:

  • Responsabile della protezione dei dati nominato
  • Tracciamento del consenso esplicito
  • Procedura di segnalazione delle violazioni dei dati
  • Diritto di accesso, rettifica, cancellazione implementato
  • Diritto alla portabilità dei dati

Questi indicatori possono essere ulteriormente dettagliati nei casi più specifici applicabili all’organizzazione, ai suoi prodotti e servizi.

Per garantire la conformità normativa, questi indicatori, così come i requisiti legali, dovrebbero essere rivisti su base regolare. Questo può essere automatizzato tramite la funzione di intervallo di aggiornamento per il rispettivo indicatore. Vedi la sezione Automazione di seguito per esempi più specifici.

Prospettiva interna. Come mitigare i rischi di sicurezza dei dati

Per trovare gli obiettivi e gli indicatori di performance per la prospettiva interna, dobbiamo fare l’analisi della causa principale e guardare ai punti di rischio/costo trovati.

I risultati dipenderanno dal settore aziendale e dai sistemi aziendali di una specifica organizzazione. Tuttavia, ci sono alcune tendenze comuni che sono state evidenziate nei rapporti di IBM Security e Verizon. Utilizzeremo questi risultati per formulare gli obiettivi e i KPI per la prospettiva interna del scorecard.

Prospettiva interna del scorecard di sicurezza dei dati

I fattori trainanti della strategia di cybersecurity. L'obiettivo 'Rilevamento precoce' è supportato da due sotto-obiettivi - 'Sviluppare un piano di mitigazione del rischio' e 'Ridurre la complessità dell'IT' - tutti con i rispettivi indicatori di performance e iniziative. Fonte: Visualizza Scorecard di sicurezza dei dati online in BSC Designer Scorecard di sicurezza dei dati.

Individuazione precoce e risposta rapida ai rischi dei dati

Se si verifica una violazione dei dati, una risposta rapida in termini di individuazione e reazione ridurrebbe significativamente i costi.

Nella scorecard, questo è quantificato da due indicatori di ritardo:

  • Tempo medio per individuare
  • Tempo medio per rispondere

Gli indicatori di ritardo quantificano ciò che è già accaduto. Come può un’organizzazione influenzare questi indicatori? Gli stessi rapporti suggeriscono alcune azioni che tipicamente portano a una migliore risposta alla sicurezza dei dati.

Success factor mapped to the goal: Formed incident response teams

Un esempio del fattore di successo - 'Costituito team di risposta agli incidenti' è un fattore di successo per minimizzare l'impatto della violazione dei dati. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Nel modello di scorecard, troverai due record allineati con l’obiettivo di Individuazione precoce e risposta rapida:

  • Costituito team di risposta agli incidenti. Questo record è contrassegnato come un fattore di successo. Secondo il rapporto di IBM Security, è una delle cause principali per minimizzare gli impatti delle violazioni dei dati.
  • Individuazione di accessi ai dati ad alto rischio. Con questa iniziativa, il tuo team può prioritizzare i propri sforzi in base all’impatto di determinati tipi di accesso ai dati. Se stai cercando un approccio più sistematico alla prioritizzazione, consulta l’articolo sui modelli di prioritizzazione.

Ci sono altri due indicatori principali nel contesto dell’obiettivo di Individuazione precoce e risposta rapida. Entrambi sono basati sui risultati dei rapporti sulla sicurezza dei dati menzionati sopra:

  • Sviluppare piano di mitigazione del rischio
  • Ridurre la complessità dell’IT

Discutiamoli in dettaglio.

Sviluppare un piano di mitigazione del rischio

Avere un piano di mitigazione del rischio è un fattore di successo per una risposta più rapida alla violazione dei dati.

Come possiamo assicurarci che il piano esistente per la sicurezza dei dati sia valido?

Dovrebbe essere basato su un modello di rischio aggiornato che rifletta il modo in cui i dati sono gestiti nell’organizzazione. Nel punteggio della strategia, questo è quantificato dall’indicatore principale Verifiche regolari della sicurezza dei dati, spiegato nelle prospettive di Apprendimento e Crescita.

Come sappiamo che il piano di risposta al rischio suggerito è realmente efficace?

Insieme agli aggiornamenti regolari del piano di rischio, potremmo testare l’applicazione del piano sviluppato nella pratica. Questo è quantificato dall’indicatore ritardato, Test di risposta agli incidenti.

Ridurre la complessità dell’IT e dei dati

Gli studi empirici nominano diversi altri fattori che aiutano a minimizzare i costi delle violazioni dei dati, come ad esempio:

  • Complessità dell’infrastruttura IT
  • Complessità dello schema dei dati
  • Automazione

Sulla mappa strategica, abbiamo formulato questi fattori all’interno dell’obiettivo Ridurre la complessità dell’IT e dei dati.

Sotto-obiettivi per la prospettiva interna sulla scorecard di sicurezza

I sotto-obiettivi spiegano come sarà raggiunto l'obiettivo generale. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

In questo caso:

  • Diminuire le complessità dei dati e dell’IT è una motivazione per l’obiettivo
  • Limitare l’accesso ai dati più preziosi è uno dei fattori di successo per ridurre la complessità delle soluzioni IT richieste
  • Automatizzare i test di vulnerabilità e conformità è un’iniziativa ampia per l’automazione della sicurezza IT

Infine, se la minimizzazione della complessità è nominata come uno dei fattori per una migliore risposta alle violazioni dei dati, come possiamo quantificarla?

La risposta è individuale e dipende dal panorama IT della tua organizzazione. Per questa scorecard, c’è un esempio di indice di complessità della sicurezza dei dati che è composto da indicatori come:

  • Numero di utenti con il livello di accesso più alto. La funzione di ottimizzazione per questo indicatore è impostata su “Minimizzare linearmente”, poiché ridurre il numero di utenti con accesso ai dati sensibili migliorerà la performance complessiva dell’indice.
  • Tempo per disattivare le credenziali di accesso. Il 7% delle violazioni dei dati è causato da un insider malevolo. Disattivare rapidamente le credenziali di accesso è una delle misure di sicurezza IT che può ridurre questa percentuale. L’intervallo di tempo accettabile, in questo caso, è molto breve. Per riflettere questa idea sulla scorecard, la funzione di ottimizzazione per questo indicatore è decadimento esponenziale.

Decadimento esponenziale per alcuni indicatori di performance

La funzione di performance per questo indicatore è impostata su 'Decadimento esponenziale'. Come si vede sul grafico a lancetta, la zona verde per questa metrica è relativamente piccola, il che significa che il tempo accettabile per disattivare le credenziali logiche è di poche ore, non giorni. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

  • % di dati sensibili controllati dal software DLP. Le soluzioni di prevenzione della perdita di dati sono uno dei modi per automatizzare la sicurezza IT. Finché le organizzazioni gestiscono nuovi dati, è importante rivedere regolarmente i modelli di dati per assicurarsi che i dati sensibili siano accessibili dagli strumenti DLP (Data Loss Prevention).
  • Crittografia e backup dei dati automatizzati. Simile all’indicatore precedente, siamo interessati ad avere un modello di dati aggiornato e ad assicurarci che i dati sensibili siano gestiti correttamente.
  • % di software di sicurezza aggiornato. Questa metrica sembra semplice, ma gli studi raccontano una storia diversa. La causa principale del 16% delle violazioni dei dati è la vulnerabilità del software di terze parti. I fornitori di software rilasciano regolarmente aggiornamenti che correggono le vulnerabilità. Avere gli ultimi aggiornamenti installati è uno dei fattori di successo per minimizzare i rischi di sicurezza.
  • Copertura dell’automazione, % l’indicatore confronta il livello di automazione possibile con il livello di automazione attuale. Una maggiore automazione riduce l’impatto dei fattori umani e riduce la complessità per le parti interessate.

Indice di complessità della sicurezza dei dati

Un esempio di come quantificare la complessità con un indicatore in stile indice, dove i sotto-indicatori contribuiscono all'indice con peso diverso. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Questi sono solo esempi di alcune metriche che possono quantificare la complessità nel caso della sicurezza dei dati. Un approccio più robusto alla complessità dovrebbe includere un’analisi più approfondita delle parti interessate, individuando i punti di cattiva complessità ed elaborando una strategia di riduzione della complessità. Nell’articolo precedente, abbiamo discusso delle metriche di complessità e dei modi per applicarle in pratica.

Prospettiva di apprendimento e crescita

In questa prospettiva, abbiamo due grandi obiettivi:

  • Audit regolari della sicurezza dei dati obiettivo che aiuta a concentrarsi su un’infrastruttura adeguata per la sicurezza dei dati.
  • Formare i dipendenti sulla sicurezza dei dati obiettivo che si concentra sul fornire al tuo team le conoscenze e le competenze aggiornate necessarie per prevenire o minimizzare l’impatto delle violazioni dei dati.

Prospettiva di apprendimento della scorecard della sicurezza dei dati

I driver di apprendimento e infrastruttura della strategia di cybersicurezza - 'Audit regolari della sicurezza dei dati' e 'Formare i dipendenti sulla sicurezza dei dati'. Due obiettivi importanti accompagnati da iniziative, indicatori anticipatori e ritardati. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Vediamo come questi obiettivi sono formulati sulla mappa strategica.

Audit regolari sulla sicurezza dei dati

Abbiamo una ragione Analizza i rischi di cybersecurity allineata con l’obiettivo. Quali sono quei tipici rischi di cybersecurity? Nella descrizione della ragione, abbiamo alcuni esempi:

  • Cyberattacchi
  • Ransomware
  • Malware
  • Minacce interne
  • Credenziali perse/rubate
  • Accesso non autorizzato
  • Perdita di dati
  • Corruzione dei dati

Un esempio della ragione: analizza i rischi di cybersecurity

La necessità di un'analisi regolare dei rischi di cybersecurity è formulata come un'iniziativa. L'indicatore allineato 'analisi regolare dei rischi' mostra il progresso effettivo per questa iniziativa. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Esiste un’ipotesi, Il lavoro remoto sta impattando la sicurezza dei dati allineata con l’obiettivo. Per molte organizzazioni, il lavoro remoto era parte della loro strategia anticrisi in risposta al Covid-19.

Ci sono due indicatori principali:

  • Analisi regolare dei rischi – un’analisi generale dei nuovi rischi
  • Valutare regolarmente il rischio dei dati sensibili – un’analisi più specifica nel contesto dei dati sensibili

Entrambi gli indicatori sono configurati per essere aggiornati su base trimestrale.

L'intervallo di aggiornamento è configurato per l'aggiornamento trimestrale

L'intervallo di aggiornamento per 'Valutare regolarmente il rischio dei dati sensibili' è configurato su trimestri. Il software controllerà che l'indicatore sia aggiornato regolarmente e che i nuovi dati siano registrati alle date consentite dall'intervallo di aggiornamento (primo giorno del trimestre in questa configurazione). Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Ci sono diverse metriche che aiutano a quantificare gli sforzi del team di sicurezza nell’analizzare la situazione attuale del rischio e nell’apprendere da essa:

  • Scansione delle vulnerabilità – tipicamente, una scansione automatizzata eseguita dal team IT
  • Test di penetrazione (pen test) – una simulazione di un attacco informatico
  • Test del team rosso – test di sicurezza su larga scala che coinvolge più partecipanti

I rispettivi KPI sono configurati per i diversi intervalli di aggiornamento:

  • La scansione automatizzata delle vulnerabilità può essere eseguita settimanale o mensile.
  • A seconda del modello di rischio, un pen test può essere eseguito trimestralmente.
  • Infine, l’indicatore per il test del team rosso più impegnativo in termini di risorse è configurato per un intervallo di aggiornamento semestrale o annuale.

Le procedure di analisi del rischio e di test sono progettate per individuare i punti deboli nel sistema di sicurezza. Come facciamo a sapere che i risultati di quelle simulazioni e test sono implementati efficacemente? Per trovare la risposta a questa domanda, possiamo monitorare:

  • Il numero di violazioni dei dati ricorrenti indicatore.

Se la violazione dei dati dello stesso tipo si ripete, è un segno che il piano di mitigazione del rischio suggerito dal team di sicurezza non è efficace come previsto.

Forma i dipendenti sulla sicurezza dei dati

Il fattore umano rimane uno dei rischi più elevati di qualsiasi sistema di sicurezza dei dati. Secondo il rapporto IBM Security, circa il 36% delle violazioni dannose dei dati sono associate al comportamento umano (phishing, ingegneria sociale, credenziali compromesse).

Come può essere progettata la strategia di sicurezza dei dati per mitigare efficacemente questi rischi?

Una delle soluzioni è automatizzare certe operazioni e ridurre il ruolo dell’operatore umano. Ciò risuona molto con l’obiettivo di riduzione della complessità che abbiamo discusso nella prospettiva interna.

Forma i dipendenti sulla sicurezza dei dati - un esempio delle iniziative

L'elenco delle iniziative e i loro stati. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Per il resto dei casi, dove l’automazione non è possibile o non è conveniente, l’educazione è la risposta. Come focalizzare gli sforzi educativi nel contesto della sicurezza dei dati? Possiamo utilizzare una coppia di indicatori anticipatori e successivi!

  • Indicatore anticipatore: il tasso di penetrazione della formazione sulla sicurezza dei dati può essere utilizzato per monitorare la copertura della formazione sulla consapevolezza della sicurezza dei dati, dove i partecipanti possono apprendere, ad esempio, le pratiche di phishing e come evitarle.
  • Il miglior indicatore successivo, in questo caso, dovrebbe essere focalizzato sull’impatto tangibile della formazione sulla consapevolezza. Se comprendere le pratiche di phishing era uno degli argomenti della formazione, condurre un Test di Phishing e vedere se i dipendenti utilizzano effettivamente i risultati della formazione. Questo può essere quantificato sulla scorecard con l’indicatore di Tasso di Successo del Test di Phishing.

Se formare i dipendenti sulla sicurezza dei dati è ora la tua priorità, il tuo team di sicurezza può progettare una scorecard di valutazione della formazione usando il modello dei livelli di Kirkpatrick, come discusso in questo articolo.

Automazione per il punteggio di sicurezza dei dati

Abbiamo discusso un esempio di scorecard strategica che aiuta a descrivere, implementare ed eseguire la strategia di sicurezza dei dati nella tua organizzazione.

Questa scorecard è disponibile come uno dei modelli gratuiti in BSC Designer Online, così puoi registrarti con un account piano gratuito e iniziare a personalizzarlo secondo le tue esigenze.

Conoscere il costo totale della strategia

Abbiamo menzionato che uno dei motivi per avere una scorecard della strategia per la sicurezza dei dati è che renderà più facile presentare nuove iniziative agli stakeholder.

Il costo della strategia suggerita è una delle prime domande che verranno poste. Il costo per eseguire la strategia può essere stimato come la somma dei costi di tutti gli obiettivi aziendali e delle rispettive iniziative.

Un esempio di report sul costo della strategia

Il report 'Costo della Strategia' per la scorecard della Cybersecurity riassume i budget (allocati e effettivamente utilizzati) di tutte le iniziative. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Se si utilizza BSC Designer come strumento di automazione, si avrà la possibilità di assegnare budget alle iniziative e controllarne l’uso. Il software sarà in grado di generare un report sul costo della strategia per presentare un costo totale previsto per eseguire la strategia.

Visualizza dati importanti sui dashboard

Un’altra richiesta tipica degli stakeholder è avere i dati per prendere le decisioni giuste (prima, abbiamo parlato delle decisioni basate sui dati). Di per sé, la mappa strategica contiene molti dati. Un altro approccio è costruire un dashboard BI che può essere configurato per visualizzare gli indicatori più importanti e i loro dati.

Nel modello strategico per questo articolo, abbiamo due dashboard (puoi passare da uno all’altro).

 

Un esempio di dashboard dell'indice di rischio

Un esempio di dashboard BI per la cybersicurezza: il grafico temporale per gli eventi di rischio critico, l'evoluzione dell'indice di rischio ponderato, grafici per alcuni indicatori specifici, il diagramma di Gantt per le iniziative di risposta, l'elenco dei rischi e i loro stati. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Il Dashboard dell’Indice di Rischio è focalizzato esclusivamente sugli indicatori dell’indice di rischio che abbiamo usato per quantificare la situazione di rischio attuale. Con i diagrammi del dashboard, possiamo vedere:

  • Rischi attuali visualizzati sui grafici a quadrante
  • Come l’indice di rischio è cambiato nel tempo
  • Il contributo di ciascun indicatore all’indice di rischio sul grafico dei pesi

Un esempio di dashboard dell'indice di complessità della sicurezza dei dati

Il secondo dashboard nella scorecard di cybersicurezza si concentra esclusivamente sull'indice di complessità, la sua evoluzione nel tempo e lo stato del suo indicatore. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Un altro dashboard è l’Indice di complessità della sicurezza dei dati. Come abbiamo discusso, le cattive complessità dei sistemi di sicurezza sono il fattore dei maggiori rischi di violazione dei dati. Questo dashboard visualizza lo stato attuale della complessità quantificato dagli indicatori selezionati.

Analizzare i dati sulle prestazioni

Raccogliere dati sulle prestazioni sotto forma di KPI è qualcosa che la maggior parte delle organizzazioni fa regolarmente. Non importa quale strumento di automazione venga utilizzato, ci sono molti dati disponibili.

La domanda è sempre come utilizzare questi dati e convertirli in informazioni utilizzabili. Alcuni approfondimenti emergono quando il team discute una mappa strategica o una dashboard; trovare altri approfondimenti può essere automatizzato.

In questo senso, la funzione di Analisi in BSC Designer aiuta molto. Ecco alcuni esempi:

  • La maggior parte degli indicatori di cui abbiamo discusso deve essere aggiornata regolarmente. Con l’analisi del Tempo di aggiornamento, è possibile individuare gli indicatori che devono essere aggiornati presto o quelli che non sono stati aggiornati in tempo. Questo può essere automatizzato anche con la funzione Avvisi.
  • Ogni indicatore sulla scorecard ha il suo peso che riflette l’importanza dell’indicatore. Con l’analisi del Peso assoluto, è possibile trovare gli indicatori con il peso più alto. Ad esempio, nel nostro esempio, l’indicatore Tempo medio per rilevare ha uno dei pesi più alti. Se il tuo team considera di lavorare su diverse iniziative, e una di queste promette di rilevare le violazioni dei dati più velocemente, allora dai priorità a quella.
  • A volte, scoperte interessanti possono essere individuate semplicemente osservando come sono cambiati i dati sulle prestazioni. Un rapido guadagno o perdita è un segno di alcuni nuovi fattori che dovrebbero essere analizzati. Perché l’indicatore Eventi a rischio medio ha avuto una perdita del 30% – è stato il risultato di qualche aggiornamento del sistema interno, o è un problema di reporting?

Il tempo medio per rilevare ha uno dei pesi più alti

L'analisi del 'Peso assoluto' aiuta a trovare gli indicatori che hanno il maggiore impatto (peso assoluto più alto) sulla scorecard. In questo caso, gli 'Eventi a rischio critico' e il 'Tempo medio per rilevare' hanno il maggiore impatto. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Mappe delle motivazioni, fattori di successo e risultati attesi

Nel corso gratuito di pianificazione strategica, abbiamo discusso l’importanza di comprendere il contesto aziendale di un obiettivo. Non basta avere un obiettivo ben descritto, è importante capire il ragionamento che lo sostiene, i suoi fattori di successo e i risultati attesi che sono preziosi per l’organizzazione.

Un esempio di motivazione e fattore di successo per l'obiettivo di ridurre la complessità

L'elenco delle iniziative, i loro stati e l'avanzamento dei indicatori allineati con esse. Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

Dai un’occhiata all’obiettivo Ridurre la complessità di IT e dati dal modello di scorecard:

  • Esiste un record di motivazione Ridurre le complessità di dati e IT che spiega perché questo obiettivo è importante: “L’elevata complessità dei sistemi software e dell’infrastruttura dati è un fattore di rischio per la violazione dei dati.”
  • Esiste anche un fattore di successo nella riduzione delle complessità – Limitare l’accesso ai dati più preziosi. Ha perfettamente senso nel contesto dell’obiettivo: meno accesso ai dati sensibili riduce la complessità dello schema dati e riduce i rischi di violazioni dei dati di conseguenza.

In alcuni casi, non abbiamo un piano fisso per raggiungere qualcosa, invece stiamo affrontando un’ipotesi ragionata. Gli utenti di BSC Designer possono aggiungere un’ipotesi ai loro obiettivi. Nel nostro esempio, c’era un’ipotesi, Il lavoro a distanza sta influenzando la sicurezza dei dati allineata con Audit regolari sulla sicurezza dei dati.

Conoscere i risultati attesi è anche fondamentale. Ad esempio, per Formare i dipendenti sulla sicurezza dei dati, abbiamo un risultato atteso chiamato Gestione responsabile dei dati. Cosa significa in pratica? Come possiamo quantificarlo? Queste domande aprono la porta a discussioni interessanti.

Crea iniziative con budget, proprietari e stati

Per colmare il divario tra pianificazione strategica ed esecuzione, utilizza le iniziative per gli obiettivi. Prendiamo l’iniziativa Automatizzare il test delle vulnerabilità e la conformità allineata con Ridurre la complessità dell’IT e dei dati.

Un esempio di iniziativa - automatizzare il test

Un esempio di iniziativa strategica con budget e cronologia assegnati. L'impatto dell'iniziativa è quantificato dall'indicatore 'Copertura dell'automazione' (vedi campo 'KPI allineato'). Fonte: Visualizza Data Security Scorecard online in BSC Designer Data Security Scorecard.

  • Come esattamente il tuo team intende lavorare su questa iniziativa? Usa il campo descrizione per aggiungere un piano d’azione dettagliato.
  • Come è allineato con altri piani di mitigazione del rischio? Usa la sezione documenti per collegarti alle risorse rilevanti. Nel nostro esempio, ci siamo collegati all’esempio di scorecard IT.
  • Chi è responsabile di questa iniziativa? Assegna i proprietari affinché ricevano una notifica quando accade qualcosa di rilevante.
  • Qual è lo stato attuale dell’iniziativa? Aggiorna lo stato insieme ai progressi del tuo team che lavora sull’iniziativa.
  • Come puoi monitorare i progressi nel contesto di questa iniziativa? Nel nostro esempio, l’abbiamo collegato all’indicatore copertura dell’automazione, % che forma un indice di complessità della sicurezza dei dati.

Conclusioni

In questo articolo, discutiamo un esempio di strategia di sicurezza dei dati. Ecco le idee più importanti che abbiamo discusso:

  • Ci sono fattori di rischio noto di violazione dei dati, così come modi comprovati per minimizzare l’impatto degli incidenti di sicurezza.
  • Aiuta i tuoi stakeholder a comprendere i costi diretti e indiretti delle violazioni dei dati.
  • Focalizza la tua strategia su rilevare i problemi precocemente e rispondere rapidamente.
  • Avere un piano di mitigazione del rischio e un team di risposta per ridurre l’impatto delle violazioni dei dati.
  • Ridurre le cattive complessità dei sistemi IT e degli schemi di dati.
  • Aggiorna regolarmente i modelli di rischio, testa il tuo ambiente di sicurezza.
  • Il fattore umano è uno dei punti di rischio – educa il tuo team, osserva i cambiamenti nel comportamento, non solo i punteggi degli esami formali.

E adesso? Una buona strategia informatica è su misura in base alle esigenze della tua organizzazione. Usa il modello di strategia di sicurezza discusso in questo articolo come punto di partenza per iniziare a costruire la tua strategia di sicurezza dei dati. Sentiti libero di condividere le tue sfide e scoperte nei commenti.

Esempi di applicazione nel settore della cybersecurity

Scopri come i professionisti aziendali utilizzano la piattaforma BSC Designer per affrontare e automatizzare le sfide legate alla strategia di cybersecurity.

Caricamento recensioni...

Usa il modello Scorecard per la sicurezza e protezione dei dati

BSC Designer aiuta le organizzazioni a implementare le loro strategie complesse:

  1. Iscriviti per un piano gratuito sulla piattaforma.
  2. Usa il modello Scorecard Template Scorecard per la sicurezza e protezione dei dati come punto di partenza. Lo troverai in Nuovo > Nuova Scorecard > Altri Modelli.
  3. Segui il nostro Sistema di Implementazione della Strategia per allineare stakeholder e ambizioni strategiche in una strategia completa.

Inizia oggi e scopri come BSC Designer può semplificare l'implementazione della tua strategia!

  1. Rapporto sul costo di una violazione dei dati. 2020, IBM Security
  2. Rapporto sulle indagini sulle violazioni dei dati 2020, 2020, Verizon
  3. Sondaggio globale sulla sicurezza delle informazioni, 2020, EY
  4. Rapporto M-TRENDS, 2020, FireEye
Cita questo articolo in questo modo: Alexis Savkín, "Cybersecurity balanced scorecard: guida pratica con esempi di KPI," BSC Designer, Novembre 5, 2021, https://bscdesigner.com/it/strategia-cybersecurity.htm.

Lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.