Di: Christine Vanderpool
19 settembre 2019
Mi è stato recentemente chiesto perché c’è stato un picco di avvisi di incidenti durante il mese corrente.
Come ho dato la mia risposta, ho notato che mi stavo concentrando sui motivi dietro il “perché” i numeri erano aumentati e mi è diventato evidente che quando spiego i rischi, tendo a concentrarmi sul motivo del perché un rischio potrebbe verificarsi.
Credo che questo sia dovuto al mio modo di pensare. Anche quando parlo o chiedo a qualcuno di fare qualcosa, mi concentro su “cosa c’è per loro”, perché credo che alla fine, la maggior parte delle persone ha bisogno di essere motivata prima di agire. Ci deve essere una ragione dietro tutte le cose e se capiamo la ragione, possiamo affrontare i mezzi e le opportunità che lasciano quel motivo una possibilità di azione.
Quando un crimine viene commesso e viene valutato al processo, al procuratore viene chiesto di fornire i mezzi, il motivo e l’opportunità del sospettato di commettere il reato. La capacità di qualcuno di commettere un crimine è il mezzo. Il motivo per cui qualcuno commette un crimine è il movente. La possibilità o la disponibilità di risorse per compiere il crimine è l’opportunità.
Questo è il modo in cui come CISO pensiamo ai rischi e a come affrontarli. Non significa che un modo di pensare sia migliore, perché per essere pienamente efficace, bisogna considerare tutti e tre i fattori, ma tutti si orienteranno verso uno degli altri due. Se sei un CISO, la domanda è: sei un CISO dei mezzi, dei motivi o delle opportunità?
Il CISO dei “mezzi”
Se sei un CISO che si concentra sui “mezzi” di un rischio, molto probabilmente sei un CISO altamente tecnico con una forte base e background tecnico. La vostra mente tenderà a pensare immediatamente al “come” un attacco verrebbe effettuato. Graviterai sui mezzi tecnici con cui un attacco dovrebbe o potrebbe avvenire. Il vostro approccio si concentrerà sugli strumenti e i processi che possono essere utilizzati per proteggersi dai mezzi. Se si ricollega il tutto alle cinque aree del NIST, il vostro principale punto di riferimento, o dove vi piace concentrarvi, sarà sulle aree “proteggere e rilevare”. Questa è un’area molto importante su cui concentrarsi, perché se qualcuno ha il movente e l’opportunità, ma nessun mezzo con cui compiere il suo crimine, devi chiederti, l’attacco avverrebbe?
Il “Motivo” CISO
Dove c’è una volontà, ci sarà sempre un modo. Questo è il modo in cui penserà il CISO “movente”. Questo tipo di mente si concentrerà sul perché un attacco potrebbe accadere. Un CISO che preferisce concentrarsi sul “perché”, si concentrerà sulla psicologia di un attacco. Questa persona si concentra sull’area di identificazione del modello NIST. Guarderà ogni possibile “perché” e poi determinerà i mezzi e le opportunità per proteggere, rilevare o rispondere a tale attacco. Questo individuo di solito crede che non ci sia un modo possibile per conoscere ogni metodo o opportunità, quindi invece di tentare di fermare tutto, ferma ciò che è più probabile in base a quello che sarebbe il motivo più probabile per un attacco da effettuare. Se si capisce il perché, allora si vedrà come qualcuno sarebbe in grado di orchestrare un attacco e bloccare la loro capacità di farlo.
Il CISO “dell’opportunità”
Quando una porta si chiude, qualcun altro apre una finestra. Questa è la mentalità del CISO “opportunità”. Questo tipo di leader della sicurezza si concentrerà sull’idea che c’è più di un modo per spellare un gatto. Si concentrerà sui rischi che si trovano non solo all’interno della propria sfera di competenza e controllo, ma su quelli che si trovano oltre. L’attenzione sarà sulla disponibilità di tutte le risorse a disposizione dell’attaccante. Questo CISO si concentrerà sulla risposta e sul recupero di altre organizzazioni al fine di garantire che stanno raccogliendo tutti i dati sulle varie risorse disponibili o opportunità per un attacco. Attingono dall’esperienza degli altri e li applicano per restringere le risorse disponibili che possono essere utilizzate in un attacco. Togli a qualcuno l’opportunità di fare del male e non farà danni.
La difesa perfetta
In realtà, non esiste un crimine perfetto e, viceversa, non esiste una difesa perfetta. Tutti e tre i fattori devono essere considerati quando si sviluppa una strategia di sicurezza e un CISO deve concentrarsi su tutti e tre. È importante auto-identificare, come leader della sicurezza, qual è il vostro focus preferito o predefinito di un rischio, perché potete poi identificare dove avete bisogno di personale per riempire o concentrarvi sugli altri due. È come un triangolo. Non c’è un angolo corretto o sbagliato per guardarlo. Un CISO esperto sarà in grado di vedere e identificare tutte e tre le sfaccettature nella progettazione della loro strategia. Sarà in grado di articolare come il programma affronta mezzi, motivi e opportunità in termini e modi realistici e perseguibili.
Un obiettivo non è migliore dell’altro, sono tutti ugualmente importanti. Si tratta semplicemente di un modo di pensare e di identificare il modo in cui si preferisce guardare un rischio per primo.
.