It is time for research to think about security and privacy

We usually talk about cyber security and privacy related to the world of industry and personal, but today I would make some points related to research in universities.

how much security aware are universities?

This is an interesting topics, looking at the statistics on cyber security attacks I would say security and privacy awareness is not at the first point in their needs.

So bad …

well first of all let’s make a little distinction:

engineering vs the rest

it is out of doubt that engineering universities and research are more cyber security savvy than the rest. Some of them are also actively working and studying the the issue.

but nevertheless the overall cyber security and privacy approach, beside the ones actively working on the subject, is poorly implemented. on the other end engineering universities are full of guys playing with the fire … some will be the defenders of tomorrow, some are the hacker of today (hacker is not necessarily a bad term).

the rest is in a questionable situation, both cyber security and privacy lack of vision and willingness to address the point. even if there are areas that deal with very sensitive data, think healthcare industry.

the result is under our nose, a lot of people with great skills and knowledge on a lot of different subject completely unaware of the consequences of digitalization…. why do you think is so easy to break into healthcare systems, law firms and so on?….

The research issue

there was a time where being a scientist was putting your life at stake, was not easy to be Galileo Galilei at his time. But I hope that anyone with a brain can agree on the fact that science was mandatory to develop our society and way of life.  Science play an important role on human development, and I took science with the largest meaning…not only technology or physics, but medicine,  economy, social science, history, literature, philosophy … in a way culture … the connection and ramification of science with art, as an example, are undeniable… so we should ask ourselves if there can be a world without science.

But science is based on theories more than faith, trials more than prayers, and therefore need a solid trusted based …

the trust is no more here

In this security and privacy unaware environment seldom researchers that are not security focused put attention to security, but nowadays research environment and criminal landscape and geo_political warfare would suggest a different approach. if some years ago the word of a scientist was respected, nowadays seems that politics take over science and data and result are not what they are, consequences of studies and trial, but things are what your political beliefs want it to be.

so we see a rising of “creationists” or other religious para-scientific accreditation as “scientific”, as well the denial of scientific evidence in the name of political or religious beliefs (think at global warming as an example).

When you start a research you need, basically, to start collecting and managing data, use some computational power, share those data with peers…. but those data, those exchanges are what we should take a look for also in terms of privacy and security.

Depending on the nature of the research you can have direct evident privacy and security implications, but even if you are working on not apparently key areas you should put some precautions on the table. Let quickly try to explain why:

data are important

Data are what you have to work on, you sample, collect, store, analyze, transform data.

In a trusted environment you can avoid to care too much, come on i trust you and you trust the others so what can be wrong… but this is no more the reality.

1. if your data have some kind of value (and i think they have, or you would not use them) you should protect them
2. if your data are needed to prove your point you should be able to ensure they are reliable
3. if your data need to be exchanged with others you should be sure what you transmit is what they get, and what you receive comes from a equally trusted source and data itself are trustable.
4. if you work worth something may be you want some intellectual property on it, and therefore you have to be sure your result are not repudiable, subject to copy or used and\or modified without your knowledge

those 4 points are the the main areas where you should put privacy and security into the equation no matter what your research is.

what is the value?

Every time you have to invest something you make a tradeoff between the invested monetary resources and the expected output. in science this is a hard exercise so i understand most of the time you do not want to look for data protection but try to think how much you depend on those data..

what happen to your research if a ransomware encrypt you data?

what happen if a attacker or a incident poison your data with some bias?

sometimes you can also be a “collateral damage” and not the direct target but, does it make any different to you?

if you are not able to put those consideration on the table you can start wonder what is the value of your job.

protecting means?

usually you set up things using what comes to your hands. this does not means crappy thing but…how much planning have you put on this?

have you considered what happens if you lost your data for a mechanical crash?

or for a hacking attempt?

of for a genuine honest mistake of your developer that write the code that manage your data?

or if your shared repository have to give space to something more important?

and what if someone tamper your data?

and what if someone copy your data?

and what if ….

this kind of scenarios are not your research field, I know, but nevertheless are connected to your job and you should start to consider them.

backup, storage, encryption, access management, Intellectual Property protection, data exchange, computational requirements… all those thing should be managed in a sound reliable plan that foresee current and future needs…

the problem of exchange

another aspect that is really critical is how you can be sure that the data you are exchanging are managed correctly.

the first point when there is an exchange between to point is to be able to trust the point itself. this basically means you want to exchange data with this subject, but may be not with another one (i know you are not all friendly one to the other).

so the point is how you can be sure you are sending the data to the correct source…

When you send something you should assure the counterpart that what he\she\it will receive is what you are sending, data should be managed in a non repudiation and anti tampering way, and also maintain the ownership if needed.

now they can be a genoma of a rock, a clinical trial result on the effect of mars over alopecia, a set of data on relationship between gun distribution and bird control rate, the climate data of the last 100 years in neverland…whatever… you need your data be recognized as:

1) yours

2) truthful even after the transfer

the point here is that otherwise anyone can change assumption and therefore conclusion making you part of a fraud. you should always be able to say, they those were not my data….

and in a moment where politics and science collide once again this is not a minor issue.

food for thought

privacy and cyber security are sons of the current expansion of the digitalization. Those issues are not a side tough but real component of your everyday job even if you are a researcher in areas way far from cyber security, information technology or whatever.

you should also start thinking if those data should be kept public how to maintain, store and allow access to them in a consistent and secure way. Sure you can post them on facebook and tweet them but maybe, just maybe, this would not be the optimal solution.

And you should start thinking about those things before it’s too late. no matter who you are, what you do digital life is here for you too and you should start acting accordingly.

just think about it.

Antonio

 

 

Related articles

• Carnegie Mellon privacy clinic aims to help protect you from hackers (triblive.com)
• Protect Your Company’s Data (coloradotech.edu)
• The Constitutional Right to Privacy (coloradotech.edu)
• Researchers Lambast Daily Mail’s Climate Change Article (blogs.discovermagazine.com)
• Scientists disprove global warming took a break (japantimes.co.jp)
• Sure, Nature Changes The Climate, But Not Nearly As Much As Humans Do (newsy.com)
• Demand for Cybersecurity Experts is Growing Faster than Supply (coloradotech.edu)
• US panel says research editing the human genome to cure disease may be acceptable (businessinsider.com)

L'ingrato lavoro dell'ingrato recruiter

Era una giornata uggiosa, come sempre il perfido cercatore di lavoro (il questuante come li chiami tra colleghi) aveva inondato il mondo di curriculum vitae, ed uno era arrivato fino a te.

Maledizione

ti scappò di dire mentre guardavi svogliatamente la inutile quantità di informazioni di cui non ti fregava assolutamente nulla fuoriuscire da quel CV

questo è uno del mestiere, mi sa anche che devo far finta di ascoltarlo

ma almeno la tua pila di 2000 candidati da mostrare al tuo capo la avevi preparata, lui ti avrebbe chiesto di ridurla a 150 per mostrare che si fa screening, e poi sarebbe stato presentato al cliente il lavoro con la promessa che a breve avrebbero ristretto la rosa a una ventina di persone con cui si sarebbe fatto un colloquio per preparare la shortlist.

ma qualcuno di sti stronzi lo devo sentire?

ti chiedevi mentre utilizzavi la famosa tecnica “ad cazzum” per filtrare i primi cv.

quelli in corpo 10 via, non si legge bene

quelli che ai più di 37 anni via, costi troppo…ma non tutti sennò sembra che discrimini per età (e poi devi far finta di valutare le competenze, che palle)

quelli più di 3 pagine via, che mica sono pagato per leggere romanzi

siccome hai chiesto a tutti di compilare i form online aggiungo un search per parole chiave:

leccaculo e stronzo non ci sono però, servirebbero

dici ridendo tra te e te mentre metti improbabili chiavi di ricerca per buttare il maggior numero possibile di cv.

‘azz troppo pochi, riduco i filtri

mica facile arrivare al numero richiesto di cv, un lavoro durissimo…

…

Ora capiamoci, come recruiter ti trovi a dover a che fare con una serie di interfacce da corte dei miracoli che ti pressano da tutte le parti:

• da un lato c’è il cliente che non sa cosa vuole, non lo capisce, non sa spiegarlo ma vuole che costi poco, sappia fare tutto e che abbia 20 anni con esperienza trentennale ma disposto a stage
• dall’altro c’è il tuo capo che ti dice di lavorare, che se no ti trovi dall’altra parte della scrivania
• dall’altro ancora c’è il capo del tuo capo che parla col cliente, e tutti e due sono in fibrillazione, tutto è sempre molto più urgente della urgenza stessa…
• dall’altro c’è il questuante, quello che cerca lavoro, ma non potrebbe trovarselo da solo, proprio da te viene? ok lo hai chiamato tu probabilmente, o ha risposto ad un tuo annuncio, ma insomma che cosa pensa che tu sia li per lui?
• dall’altro …

aspetta ma quanti lati hai?

ok ok divagavo.

fuori piove, quella pioggia sottile che ti bagna anche se hai l’ombrello… ma finalmente hai raggiunto i 150 cv finalmente una milestone, che non sai cosa vuol dire ma il tuo capo lo dice sempre….

Bravo, adesso si che si ragiona

il tuo capo è contento, anche il suo capo è contento, anche il cliente è contento e sei contento anche tu… per il momento una “milecosa” l’abbiamo passata.

Le dannate interviste

mo mi toccano le interviste

Questo pensiero iniziò a entrarti nel cervello… come un rumore fastidioso. Già lo sapevi, avresti dovuto perdere il tuo tempo a chiamare gente, parlargli per fare almeno un certo numero di incontri, del resto deve sembrare un processo di selezione.

Adesso iniziava ad entrarti nella mente che non sapevi neanche cosa si stesse cercando, già, ma alla fine non frega niente a nessuno ne a te, ne al cliente…

ok magari interessa al candidato, ma mica sei il suo confessore…hai già i tuoi di problemi

Buon giorno dott. xyz, la disturbo?

ma che disturbo e disturbo, se mi hai mandato il cv vuoi essere chiamato no?

vorrei poter organizzare con lei un primo incontro conoscitivo per la posizione abc

insomma fai il giro dei questuanti. Alcuni no possono quando vuoi tu, lavorano dicono…andiamo non ti danno la priorità? sono matti? Altri hanno cambiato idea, pochi per fortuna il mercato del lavoro è pieno di gente disperata ed in cerca, hai i 20 che ti servono, e hai il tuo bell’elenco così organizzato:

i primi 5 che incontri li cassi subito, gli altri al secondo turno, quello col cliente. Già hai fatto capire che dei 15 rimanenti solo quelli dei cv 18, 19, 20 passeranno alla fine, ma continuiamo la farsa.

i colloqui, questi maledetti

il primo giro lo fai per telefono, così per comodità. Cosa si può capire da una conversazione telefonica? poco o niente, ma tanto a te non interessa, devi filtrare in qualche modo.

poi quelli di persona…lo so li odi, li odierei anche io se fossi te: trovarsi di fronte gente che parla di cose che non ti interessano, tu vuoi sapere solo quanto guadagnano, quando sono liberi e quelle 4 cose che ti servono per filtrare, mentre loro insistono a voler presentare competenze, esperienza …tutta roba inutile.

Maledetti i colloqui e maledetti i candidati, chi si credono di essere. Vengono qui con e loro storie e le loro speranze, ma non sanno che a me servono solo per fare numero… già ma a te non pensano mai… ingrati

Per fortuna al primo giro non devo neanche preoccuparmi di dargli il risultato:

…le farò sapere

e semplicemente cancelli il tutto dalla tua mente.

Certo quello magari rimane ad aspettare una risposta che non arriverà mai…ma tu hai altro a cui pensare.

Arrivano, tutti uguali, si siedono in giacca e cravatta o abitino business per le donne, tu metti il tuo miglior sorriso di cortesia e li accogli.

Alcuni sono anche simpatici, se non fosse per lavoro troveresti l’incontro anche piacevole, ma tu sei un professionista… devi filtrare

… questo parla di management con competenza, non va bene …

ti fai le tue note

…nel settore da 30 anni, con comprovati successi…minimo costa troppo e poi con questa esperienza è sicuramente un rompiballe, non va bene …

e via cosi …

belli, brutti, bravi o no sono tutti uguali, tu devi filtrare.

trattieni a stento uno sbadiglio

fai una domanda, hai l’elenco qui preparato dal cliente, non capisci nulla della risposta ma tanto non è questo il punto… tu devi filtrare

finalmente finisci il giro con il classico

…le farò sapere

non lo farai, lo sai tu, lo sanno loro. Ma sei un professionista, lo dici e non lo fai, perchè così si fa nel settore.

Alla fine il tuo capo ed il cliente sono contenti, siamo alla shortlist. buffo avresti potuto dargliela quasi subito, tanto sapevi sarebbe andata cosi…

Ancora non sai cosa stanno cercando, non lo sanno neanche loro, ma sono alla shortlist, perfetto.

L’ultima farsa

Finalmente l’ultimo colloquio, tutto è già deciso ma si fa sempre la scena finale, come nei migliori reality show.

Si va alla proposta economica …

… dai accetta stronzo dopo tutto il lavoro che ho fatto per darti sto ‘zzo di posizione…

se tutto va bene tutti saranno contenti, peccato le vittime collaterali, ma non hai tempo per pensarci.

aspetta…come? il candidato ha ricevuto un’altra offerta e non accetta?

…vergognoso, indecoroso, come ti sei permesso….

e non metto quell’altro che ti passa per la mente… dove hai sbagliato?

aspetta questo c’è scritto che aveva esperienza internazionale, maledizione lo hanno chiamato dall’estero… quelli la fuori pagano le competenze, assurdo … dovre andremo a finire di questo passo …

ok ricominciamo… maledetti ingrati….

beh magari non è così, ma ditemi che non lo avete immaginato se eravate dal lato sbagliato della intervista di lavoro …

L'ingrato lavoro dell'ingrato recruiter

Era una giornata uggiosa, come sempre il perfido cercatore di lavoro (il questuante come li chiami tra colleghi) aveva inondato il mondo di curriculum vitae, ed uno era arrivato fino a te.

Maledizione

ti scappò di dire mentre guardavi svogliatamente la inutile quantità di informazioni di cui non ti fregava assolutamente nulla fuoriuscire da quel CV

questo è uno del mestiere, mi sa anche che devo far finta di ascoltarlo

ma almeno la tua pila di 2000 candidati da mostrare al tuo capo la avevi preparata, lui ti avrebbe chiesto di ridurla a 150 per mostrare che si fa screening, e poi sarebbe stato presentato al cliente il lavoro con la promessa che a breve avrebbero ristretto la rosa a una ventina di persone con cui si sarebbe fatto un colloquio per preparare la shortlist.

ma qualcuno di sti stronzi lo devo sentire?

ti chiedevi mentre utilizzavi la famosa tecnica “ad cazzum” per filtrare i primi cv.

quelli in corpo 10 via, non si legge bene

quelli che ai più di 37 anni via, costi troppo…ma non tutti sennò sembra che discrimini per età (e poi devi far finta di valutare le competenze, che palle)

quelli più di 3 pagine via, che mica sono pagato per leggere romanzi

siccome hai chiesto a tutti di compilare i form online aggiungo un search per parole chiave:

leccaculo e stronzo non ci sono però, servirebbero

dici ridendo tra te e te mentre metti improbabili chiavi di ricerca per buttare il maggior numero possibile di cv.

‘azz troppo pochi, riduco i filtri

mica facile arrivare al numero richiesto di cv, un lavoro durissimo…

…

Ora capiamoci, come recruiter ti trovi a dover a che fare con una serie di interfacce da corte dei miracoli che ti pressano da tutte le parti:

• da un lato c’è il cliente che non sa cosa vuole, non lo capisce, non sa spiegarlo ma vuole che costi poco, sappia fare tutto e che abbia 20 anni con esperienza trentennale ma disposto a stage
• dall’altro c’è il tuo capo che ti dice di lavorare, che se no ti trovi dall’altra parte della scrivania
• dall’altro ancora c’è il capo del tuo capo che parla col cliente, e tutti e due sono in fibrillazione, tutto è sempre molto più urgente della urgenza stessa…
• dall’altro c’è il questuante, quello che cerca lavoro, ma non potrebbe trovarselo da solo, proprio da te viene? ok lo hai chiamato tu probabilmente, o ha risposto ad un tuo annuncio, ma insomma che cosa pensa che tu sia li per lui?
• dall’altro …

aspetta ma quanti lati hai?

ok ok divagavo.

fuori piove, quella pioggia sottile che ti bagna anche se hai l’ombrello… ma finalmente hai raggiunto i 150 cv finalmente una milestone, che non sai cosa vuol dire ma il tuo capo lo dice sempre….

Bravo, adesso si che si ragiona

il tuo capo è contento, anche il suo capo è contento, anche il cliente è contento e sei contento anche tu… per il momento una “milecosa” l’abbiamo passata.

Le dannate interviste

mo mi toccano le interviste

Questo pensiero iniziò a entrarti nel cervello… come un rumore fastidioso. Già lo sapevi, avresti dovuto perdere il tuo tempo a chiamare gente, parlargli per fare almeno un certo numero di incontri, del resto deve sembrare un processo di selezione.

Adesso iniziava ad entrarti nella mente che non sapevi neanche cosa si stesse cercando, già, ma alla fine non frega niente a nessuno ne a te, ne al cliente…

ok magari interessa al candidato, ma mica sei il suo confessore…hai già i tuoi di problemi

Buon giorno dott. xyz, la disturbo?

ma che disturbo e disturbo, se mi hai mandato il cv vuoi essere chiamato no?

vorrei poter organizzare con lei un primo incontro conoscitivo per la posizione abc

insomma fai il giro dei questuanti. Alcuni no possono quando vuoi tu, lavorano dicono…andiamo non ti danno la priorità? sono matti? Altri hanno cambiato idea, pochi per fortuna il mercato del lavoro è pieno di gente disperata ed in cerca, hai i 20 che ti servono, e hai il tuo bell’elenco così organizzato:

i primi 5 che incontri li cassi subito, gli altri al secondo turno, quello col cliente. Già hai fatto capire che dei 15 rimanenti solo quelli dei cv 18, 19, 20 passeranno alla fine, ma continuiamo la farsa.

i colloqui, questi maledetti

il primo giro lo fai per telefono, così per comodità. Cosa si può capire da una conversazione telefonica? poco o niente, ma tanto a te non interessa, devi filtrare in qualche modo.

poi quelli di persona…lo so li odi, li odierei anche io se fossi te: trovarsi di fronte gente che parla di cose che non ti interessano, tu vuoi sapere solo quanto guadagnano, quando sono liberi e quelle 4 cose che ti servono per filtrare, mentre loro insistono a voler presentare competenze, esperienza …tutta roba inutile.

Maledetti i colloqui e maledetti i candidati, chi si credono di essere. Vengono qui con e loro storie e le loro speranze, ma non sanno che a me servono solo per fare numero… già ma a te non pensano mai… ingrati

Per fortuna al primo giro non devo neanche preoccuparmi di dargli il risultato:

…le farò sapere

e semplicemente cancelli il tutto dalla tua mente.

Certo quello magari rimane ad aspettare una risposta che non arriverà mai…ma tu hai altro a cui pensare.

Arrivano, tutti uguali, si siedono in giacca e cravatta o abitino business per le donne, tu metti il tuo miglior sorriso di cortesia e li accogli.

Alcuni sono anche simpatici, se non fosse per lavoro troveresti l’incontro anche piacevole, ma tu sei un professionista… devi filtrare

… questo parla di management con competenza, non va bene …

ti fai le tue note

…nel settore da 30 anni, con comprovati successi…minimo costa troppo e poi con questa esperienza è sicuramente un rompiballe, non va bene …

e via cosi …

belli, brutti, bravi o no sono tutti uguali, tu devi filtrare.

trattieni a stento uno sbadiglio

fai una domanda, hai l’elenco qui preparato dal cliente, non capisci nulla della risposta ma tanto non è questo il punto… tu devi filtrare

finalmente finisci il giro con il classico

…le farò sapere

non lo farai, lo sai tu, lo sanno loro. Ma sei un professionista, lo dici e non lo fai, perchè così si fa nel settore.

Alla fine il tuo capo ed il cliente sono contenti, siamo alla shortlist. buffo avresti potuto dargliela quasi subito, tanto sapevi sarebbe andata cosi…

Ancora non sai cosa stanno cercando, non lo sanno neanche loro, ma sono alla shortlist, perfetto.

L’ultima farsa

Finalmente l’ultimo colloquio, tutto è già deciso ma si fa sempre la scena finale, come nei migliori reality show.

Si va alla proposta economica …

… dai accetta stronzo dopo tutto il lavoro che ho fatto per darti sto ‘zzo di posizione…

se tutto va bene tutti saranno contenti, peccato le vittime collaterali, ma non hai tempo per pensarci.

aspetta…come? il candidato ha ricevuto un’altra offerta e non accetta?

…vergognoso, indecoroso, come ti sei permesso….

e non metto quell’altro che ti passa per la mente… dove hai sbagliato?

aspetta questo c’è scritto che aveva esperienza internazionale, maledizione lo hanno chiamato dall’estero… quelli la fuori pagano le competenze, assurdo … dovre andremo a finire di questo passo …

ok ricominciamo… maledetti ingrati….

beh magari non è così, ma ditemi che non lo avete immaginato se eravate dal lato sbagliato della intervista di lavoro …

Dear CISO, please talk about business with your board, not technicality.

Antonio Ieranò

CSO, Cyber Security Architect, technical evangelist, consultant, writer, journalist and trainer

Dear CISO and Board

I think we should always consider our job as a part of the business. We finally started to consider cyber security and data protection as a serious issue but now the question is how we evaluate a risk in our analysis and business plans…

Current documentations and reports, for risk analysis, presented to most of the boards use just a flag (High, medium, low risk) but does not seems to specify any metric. Without metric it is hard to make sound evaluation and comparison so to the question raised by any member of the board : “does a high risk in XYZ be dangerous as a high risk in ABC” can’t have a credible answer if not on “perception” which is subjective if not backed up by facts..

Security metrics are, as of now, subject of interpretation and discussion but we can simplify the approach to make security analysis somehow credible and understandable.

First of all, to answer to board question what is needed is a common framework of evaluation, that include easy to read metrics, that make comparison understandable even to not cyber security experts, as most of the board member that have to take decision based upon those inputs are.

This is something that goes beyond the Cyber and Information Security Officer tasks, this requires the whole company to start thinking about its cyber security and digital assets, but unless the approach is to take a reactive way of do thing, inputs coming from you should be provided to start outlining this framework and metrics.

Alas cyber security risk analysis is all but simple, mostly if related to business impact, since it requires understanding of cyber security issue and, as well, the business in which the risk is analyzed.

There are two main aspects that need sound and readable metrics:

1. Risk evaluation
2. Risk consequences

The first item is used to define how “risky” is something. Measure a risk requires, to simplify a complex matter, to be able to evaluate the probability that something happens, the magnitude of the damage, and the cost for fixing things. Magnitude of the damage and cost to fix things are bound to Risk consequences, that are, basically, the metric that can be used in a board meeting to describe the risk in terms understandable to a non-cyber security aware audience.

I will not enter in the realm of risk evaluation deeply here, you have a deep knowledge and understanding of the issue and I do not want to bore you with my considerations, but let me notice how there is not, apparently, yet a common framework of evaluation spread through your company’s groups and BU on the matter.

If risk evaluation is one key, but mostly technical, aspect, let me point out something on the risk consequences aspect that can be of some use in the future business plans to make them useful from a business perspective and not just a sterile exercise.

Risk consequences can be presented, basically, in some dimensions that are somehow related, the aim here is to understand if a cyber security incident occurs what can be the measures that allow your company to describe it and, therefore, compare with another event.

Would make sense, in my point of view, to present any risk analysis to the board and other managers in those terms:

1)     Monetary cost in terms of loss revenues

2)     Monetary cost in terms of live costs

3)     Impact on market penetration

4)     Impact on brand perception

This would allow to compare an XYZ incident to a ABC incident and answer somehow to Board question, and, moreover, to give a metric to understand where and why to invest in an area instead of another one.

Let me quickly describe the 4 points.

1)     Monetary cost in terms of loss revenues

This is a dimension that can be easily perceived by sales and financial managers. This basically means to be able to estimate how many direct selling activities will be impacted by the incident. The timeframe taken into account is key, of course, since events can have different effect in terms of immediate, medium and long term timeframe.

The evaluation can be presented both in terms of net amount of money or % compared to budget. Both make sense to understand the impact.

2)     Monetary costs in terms of live costs

This basically means to put into account all the live costs related to the incident as fines, legal issues, HWSW replacements, people working on the issue and so on. It is important to separate costs related to the incident to the loss revenue related to the incident.

3)     Impact on market penetration

This is a metric that make sense for a vendor who is trying to expand its footprint in the market as your company is trying to do. It is strictly connected to the direct revenues but also to the growth expectations. This can be represented as a % of the market share.

4)     Impact on brand perception

This last item is the hardest to measure, since it depends on the metric used to value Brand inside your company, since I have been never told what metrics are used I can here just suggest to present the %variation related to the value before the incident.

For what I know this has not been done before on Cyber and Information Security Business Plans. It could be either something sound to present in your future BP or a task for the Cyber and Information Security Office to be implemented for this year if the structure is not able to do this kind of analysis and presentation.

With those 4 points would be possible to both:

make comparison between risks

and

provide to the board an output that can be objectively used to take decision.

Let take, as an example, privacy risk related to GDPR not compliancy.

This approach would allow you to present in the BP set of data to justify expenses and investments every time a risk is presented; something like:

Let me explain the the table to you, of course values are fictitious and timeframe can be adjusted to your reality but i think this can give you almost a basic understanding of what i suggest.

GDPR not compliancy:

1)     customer personal data breach: Columns headers

Short term impact (1-3 months)

It is what happen immediately after the problem, where you have to set up the required operations to make things running again somehow. If you have a Emergency Response Team (You should) this is where you put the costs…

Midterm impact (3 months – one year)

Let be honest, if it is a minor outbreak may be things will be solved quickly, but if the problem is bigger, as your marketing database exposed, you will start considering also legal costs, fines and the impact on your market…

Long Term Impact (1-3 years)

Things have an impact also after your BP, life is nt restricted to your daterange, business is not restricted to daterange, you you should be able to make prediction and analysis way longer than the simple one year timeframe. It is common in any business, so here too.

2)     customer personal data breach: rows headers

Revenue losses

This is the revenue losses that you will have to face upon your budget expectations.

Live costs

This contains what you have to pay, your direct costs that cove, as an example:

• HWSW replacement
• Fines
• Estimated “damaged user” legal issues if someone sue you
• ransom paid
• eventual cyber security insurance policy fee rise
• stop production costs
• people working on the issue to solve the problem (eventual forensic analysts, cyber experts, lawyers …)
• …

Impact on Market Penetration

This is where you put how the incident will damage your business in terms of your presence and future outlook.

Impact on Brand Perception

this is how your credibility will be affected

With this kind of matrix would be easy to make correct evaluations and comparison. I am not sure this is at the moment something that can be done with the current analysis tools but eventually would be a sound element to put in a BP for a future sound approach to cyber security risk evaluation.

regards

Antonio

Related articles

• Security Awareness (resources.infosecinstitute.com)
• Top security expert: Trump’s unsecured Android phone could be used to spy on the president (businessinsider.com)
• Why Slack, Chatbots, And Freelance Workers Have Your IT Department Freaking Out (fastcompany.com)
• “No need for further cyber security regulation at this time” (isc2.org)
• Discover Security Threats, Speed Deployment and Get More Value (Infographic) (blogs.bromium.com)
• Cybersecurity Demands We Think Globally, Act Locally (cmswire.com)
• Assessing Cyber Security Risk: You Can’t Secure It If… (tripwire.com)

Dear CISO, please talk about business with your board, not technicality.

Antonio Ieranò

CSO, Cyber Security Architect, technical evangelist, consultant, writer, journalist and trainer

Dear CISO and Board

I think we should always consider our job as a part of the business. We finally started to consider cyber security and data protection as a serious issue but now the question is how we evaluate a risk in our analysis and business plans…

Current documentations and reports, for risk analysis, presented to most of the boards use just a flag (High, medium, low risk) but does not seems to specify any metric. Without metric it is hard to make sound evaluation and comparison so to the question raised by any member of the board : “does a high risk in XYZ be dangerous as a high risk in ABC” can’t have a credible answer if not on “perception” which is subjective if not backed up by facts..

Security metrics are, as of now, subject of interpretation and discussion but we can simplify the approach to make security analysis somehow credible and understandable.

First of all, to answer to board question what is needed is a common framework of evaluation, that include easy to read metrics, that make comparison understandable even to not cyber security experts, as most of the board member that have to take decision based upon those inputs are.

This is something that goes beyond the Cyber and Information Security Officer tasks, this requires the whole company to start thinking about its cyber security and digital assets, but unless the approach is to take a reactive way of do thing, inputs coming from you should be provided to start outlining this framework and metrics.

Alas cyber security risk analysis is all but simple, mostly if related to business impact, since it requires understanding of cyber security issue and, as well, the business in which the risk is analyzed.

There are two main aspects that need sound and readable metrics:

1. Risk evaluation
2. Risk consequences

The first item is used to define how “risky” is something. Measure a risk requires, to simplify a complex matter, to be able to evaluate the probability that something happens, the magnitude of the damage, and the cost for fixing things. Magnitude of the damage and cost to fix things are bound to Risk consequences, that are, basically, the metric that can be used in a board meeting to describe the risk in terms understandable to a non-cyber security aware audience.

I will not enter in the realm of risk evaluation deeply here, you have a deep knowledge and understanding of the issue and I do not want to bore you with my considerations, but let me notice how there is not, apparently, yet a common framework of evaluation spread through your company’s groups and BU on the matter.

If risk evaluation is one key, but mostly technical, aspect, let me point out something on the risk consequences aspect that can be of some use in the future business plans to make them useful from a business perspective and not just a sterile exercise.

Risk consequences can be presented, basically, in some dimensions that are somehow related, the aim here is to understand if a cyber security incident occurs what can be the measures that allow your company to describe it and, therefore, compare with another event.

Would make sense, in my point of view, to present any risk analysis to the board and other managers in those terms:

1)     Monetary cost in terms of loss revenues

2)     Monetary cost in terms of live costs

3)     Impact on market penetration

4)     Impact on brand perception

This would allow to compare an XYZ incident to a ABC incident and answer somehow to Board question, and, moreover, to give a metric to understand where and why to invest in an area instead of another one.

Let me quickly describe the 4 points.

1)     Monetary cost in terms of loss revenues

This is a dimension that can be easily perceived by sales and financial managers. This basically means to be able to estimate how many direct selling activities will be impacted by the incident. The timeframe taken into account is key, of course, since events can have different effect in terms of immediate, medium and long term timeframe.

The evaluation can be presented both in terms of net amount of money or % compared to budget. Both make sense to understand the impact.

2)     Monetary costs in terms of live costs

This basically means to put into account all the live costs related to the incident as fines, legal issues, HWSW replacements, people working on the issue and so on. It is important to separate costs related to the incident to the loss revenue related to the incident.

3)     Impact on market penetration

This is a metric that make sense for a vendor who is trying to expand its footprint in the market as your company is trying to do. It is strictly connected to the direct revenues but also to the growth expectations. This can be represented as a % of the market share.

4)     Impact on brand perception

This last item is the hardest to measure, since it depends on the metric used to value Brand inside your company, since I have been never told what metrics are used I can here just suggest to present the %variation related to the value before the incident.

For what I know this has not been done before on Cyber and Information Security Business Plans. It could be either something sound to present in your future BP or a task for the Cyber and Information Security Office to be implemented for this year if the structure is not able to do this kind of analysis and presentation.

With those 4 points would be possible to both:

make comparison between risks

and

provide to the board an output that can be objectively used to take decision.

Let take, as an example, privacy risk related to GDPR not compliancy.

This approach would allow you to present in the BP set of data to justify expenses and investments every time a risk is presented; something like:

Let me explain the the table to you, of course values are fictitious and timeframe can be adjusted to your reality but i think this can give you almost a basic understanding of what i suggest.

GDPR not compliancy:

1)     customer personal data breach: Columns headers

Short term impact (1-3 months)

It is what happen immediately after the problem, where you have to set up the required operations to make things running again somehow. If you have a Emergency Response Team (You should) this is where you put the costs…

Midterm impact (3 months – one year)

Let be honest, if it is a minor outbreak may be things will be solved quickly, but if the problem is bigger, as your marketing database exposed, you will start considering also legal costs, fines and the impact on your market…

Long Term Impact (1-3 years)

Things have an impact also after your BP, life is nt restricted to your daterange, business is not restricted to daterange, you you should be able to make prediction and analysis way longer than the simple one year timeframe. It is common in any business, so here too.

2)     customer personal data breach: rows headers

Revenue losses

This is the revenue losses that you will have to face upon your budget expectations.

Live costs

This contains what you have to pay, your direct costs that cove, as an example:

• HWSW replacement
• Fines
• Estimated “damaged user” legal issues if someone sue you
• ransom paid
• eventual cyber security insurance policy fee rise
• stop production costs
• people working on the issue to solve the problem (eventual forensic analysts, cyber experts, lawyers …)
• …

Impact on Market Penetration

This is where you put how the incident will damage your business in terms of your presence and future outlook.

Impact on Brand Perception

this is how your credibility will be affected

With this kind of matrix would be easy to make correct evaluations and comparison. I am not sure this is at the moment something that can be done with the current analysis tools but eventually would be a sound element to put in a BP for a future sound approach to cyber security risk evaluation.

regards

Antonio

Related articles

• Security Awareness (resources.infosecinstitute.com)
• Top security expert: Trump’s unsecured Android phone could be used to spy on the president (businessinsider.com)
• Why Slack, Chatbots, And Freelance Workers Have Your IT Department Freaking Out (fastcompany.com)
• “No need for further cyber security regulation at this time” (isc2.org)
• Discover Security Threats, Speed Deployment and Get More Value (Infographic) (blogs.bromium.com)
• Cybersecurity Demands We Think Globally, Act Locally (cmswire.com)
• Assessing Cyber Security Risk: You Can’t Secure It If… (tripwire.com)

Caro CISO, ti suggerisco di parlare d'affari con il tuo CdA, evita tecnicismi.

Caro consiglio di amministrazione e caro CISO

Penso che dovremmo sempre considerare il nostro lavoro come una parte del business. Abbiamo finalmente iniziato a prendere in considerazione la sicurezza informatica e la protezione dei dati come un problema serio, ma ora la domanda è come valutare un rischio nei nostri piani di analisi e di business…

Usualmente la documentazione e le relazioni per l’analisi di rischio, presentati nelle aziende (se e quando vengono presentati ovvio) si limitano, per la maggior parte, all’uso di valori generici (rischio alto, medio, basso), ma non sembra che si usi specificare qualsiasi metrica. Senza metrica è difficile fare una valutazione che abbia senso e parimenti impossible fare confronti;

così alla eventuale questione sollevata da un qualsiasi membro del Consiglio:

“il rischio XYZ è grave come il rischio ABC?”

non si può avere una risposta credibile se non sulla “percezione”, che è soggettiva, se non supportata da fatti…

Costruire metriche di sicurezza è un lavoro complesso e sono oggetto di studio, interpretazione e discussione anche in sede universitaria tutt’oggi, ma nonostante questa complessità possiamo semplificare l’approccio per fare analisi di sicurezza in qualche modo comprensibili e credibili.

Prima di tutto, per rispondere alla domanda presentata dal membro del CdA è necessario avere un quadro comune e condiviso di valutazione, che includa metriche di facile lettura per permettere di fare confronti comprensibili anche ai non esperti di cyber sicurezza, caratteristica comune alla maggior parte dei membri del Consiglio di Amministrazione che, però, devono prendere decisioni basate su tali dati.

Lo so, questo è qualcosa che va oltre le attività di un Cyber e Information Security Officer, questo richiede che l’intera azienda a iniziare a pensare alla cyber sicurezza e alle risorse digitali in campo ma, a meno che l’approccio sia quello di procedere in modo reattivo in caso di problemi (tipo: “mi sono beccato il ransomware…e adesso? che faccio? quanto mi costa? …”), indicazioni da parte del CISO sono indispensabili per delineare il quadro e aiutare nella definizione delle metriche.

Haimè l’analisi del rischio per la sicurezza informatica è tutto tranne che semplice, soprattutto se le analisi sono relative all’impatto aziendale di un incidente, poiché è richiesta tanto la comprensione del problema di sicurezza dal punto di vista cyber così come la comprensione delle ricadute sul business in cui il rischio è analizzato.

Ci sono due aspetti principali che hanno bisogno di metriche leggibili:

1. Valutazione del rischio
2. Conseguenze di rischio

Il primo elemento viene utilizzato per definire quanto “rischioso” è qualcosa.

La misura del rischio richiede, per semplificare una questione complessa, di essere in grado di valutare la probabilità che qualcosa accada, l’entità del danno e il costo per aggiustare le cose.

La dimensione economica dei danni e dei costi occorrenti per sistemare le cose sono legati alle conseguenze identificate per uno specifico rischio. Queste sono, fondamentalmente, le metriche che possono essere utilizzate in una riunione col consiglio di amministrazione per descrivere il rischio in termini comprensibili ad un pubblico non-consapevole in termini di cyber sicurezza.

Non voglio qui entrare nel dettaglio della valutazione del rischio, sono sicuro che come CISO avrai una profonda conoscenza e comprensione del problema e non voglio annoiarti con le mie riflessioni al riguardo, ma permettimi di osservare come non ci sia, apparentemente, ancora un quadro comune di valutazione diffuso tra gruppi e Business Unit della tua azienda. Trovo difficile credere che la percezione del rischio del dipartimento HR sia analogo a quello del dipartimento IT o del Marketing, o della produzione o vendita,  se cosi fosse probabilmente non staresti leggendo questo articolo mentre io starei quasi sicuramente leggendo il tuo.

La valutazione del rischio è una attività prevalentemente tecnica: la comprensione delle tecniche di attacco e difesa, le risorse necessarie sono ambiti dove CISO e management IT dovrebbero essere in grado di dare risposte sensate e credibili. Discorso diverso invece è l’analisi dell’impatto dell’incidente sul business. Questo impatto richiede sia la comprensione di cosa avvenga tecnicamente, almeno a grandi linee, ma anche la comprensione di quali siano i meccanismi legati al business che sono danneggiati dall’incidente. Va da se che le metriche da usarsi devono essere comprensibili al business, altrimenti sono inutili.

Le conseguenze di un incidente ed il suo livello di rischio sono ovviamente correlate cosi come sono correlate le dimensioni che definiscono il problema, l’obiettivo è capire, nella ipotesi che si verifichi un incidente di sicurezza, quali possano essere le misure che consentono alla vostra azienda di descriverlo e effettuare un confronto con un altro evento per determinare, ad esempio, priorità di intervento e di budget.

Avrebbe senso, dal mio punto di vista, presentare qualsiasi analisi di rischio al consiglio di amministrazione e altri manager e dirigenti in questi termini:

1) costo monetario in termini di perdita di ricavi

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

3) impatto sulla penetrazione del mercato

4) impatto sulla percezione del marchio

Utilizzare queste 4 dimensioni permette di confrontare un incidente “ABC” ad un avvenimento “XYZ” e rispondere in qualche modo alla domanda del membro del consiglio fatta prima e, inoltre, a dare una metrica per capire dove e perché investire in un’area invece in un’altra.

Permettimi di descrivere rapidamente i 4 punti.

1) costo monetario in termini di perdita di ricavi

Si tratta di una dimensione che può essere facilmente percepita dai responsabili commerciali e finanziari. Comporta l’essere in grado di stimare quanta attività di vendita sarà influenzata dall’incidente. Il lasso di tempo preso in considerazione è, ovviamente, una delle criticità chiave, dal momento che gli eventi possono avere un effetto diverso in termini di intervallo di tempo breve, medio e lungo termine.

La valutazione può essere presentata sia in termini di importo netto di denaro o % rispetto al bilancio. Entrambi sono utili per capire l’impatto dell’evento.

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

Questo significa mettere in considerazione tutti i costi vivi relazionati all’incidente come multe, questioni legali, interventi di sostituzione o aggiornamento del parco HWSW , persone che lavorano sull’incidente e così via. È importante separare i costi collegati all’incidente, dalle perdite economiche collegate all’incidente stesso, perché la natura degli interventi correttivi è estremamente diversa nei diversi casi.

3) impatto sulla penetrazione del mercato

Si tratta di una metrica che ha senso per un fornitore che sta cercando di espandere la sua presenza nel mercato come la tua azienda sta probabilmente cercando di fare. È strettamente connesso ai ricavi diretti, ma anche con le aspettative di crescita. Ciò può essere rappresentato come una % della quota di mercato.

4) impatto sulla percezione del marchio

Questo ultimo elemento è il più difficile da misurare, ma dato che dipende dalla metrica utilizzata per valutare il valore del Brand all’interno dell’azienda, dal momento che non mi è stato detto quali parametri vengono utilizzati qui posso solo suggerirti di presentare la variazione % correlata al valore stimato prima dell’incidente.

Per quello che so se questo non è stato fatto prima potrebbe essere qualcosa di intelligente da presentare in un futuro Business Plan o un’attività per il Cyber e Information Security Office da effettuarsi quest’anno in maniera da essere in grado, in futuro, di fare presentazioni e proiezioni che abbiano un senso.

Con quei 4 punti sarebbe possibile per entrambi (tu ed il consiglio di amministrazione):

a) fare confronto tra rischi

e

b) fornire al Consiglio una serie di elementi che possono essere oggettivamente utilizzati per prendere decisioni strategiche e di indirizzo.

Prendiamo come esempio la analisi dei rischi concernenti ad una violazione delle normative sulla privacy europea, il famigerato GDPR

L’approccio che ti ho proposto consentirebbe di presentare nel BP un insieme di dati comprensibili ed adatti a giustificare le spese e gli investimenti per ogni tipologia di rischio presentato; qualcosa di simile alla seguente tabella:

Permettimi di spiegare la tabella, considera naturalmente che i valori sono fittizi e il lasso di tempo considerato può essere regolato in base alla tua realtà.

Non conformità al GDPR

1) violazione di dati personali del cliente: intestazioni di colonne

Impatto a breve termine (1-3 mesi)

È cosa succedere immediatamente dopo il problema, quando è necessario intraprendere le operazioni necessarie per riprendere la operatività. Se hai un Emergency Response Team (dovresti) va computato qui…

Impatto di medio termine (3 mesi – un anno)

Permettimi di essere onesto, se è un problema di minore entità può accadere che le cose si possano risolvere rapidamente, ma se il problema è più grande, come ad esempio il tuo database di marketing esposto al pubblico su internet, devi iniziare a considerare anche le spese legali, multe e l’impatto sul tuo mercato…

Impatto a lungo termine (1-3 anni)

Le cose hanno un impatto anche dopo il tuo Business Plan, la vita non è limitata alla tua arbitraria finestra temporale, il business non si limita a finestre temporali limitate, tu dovresti essere in grado di fare previsione e analisi di più lungo periodo, oltre alla visione, orrore, trimestrale o annuale. È una esigenza comune in qualsiasi attività commerciale, e qui è o stesso.

2) violazione dei dati personali cliente: intestazioni di riga

Perdita di entrate

Questa è la perdita di gettito, legata all’incidente, che si dovrà affrontare rispetto le vostre aspettative di bilancio.

Costi diretti

Questo contiene ciò che si deve pagare per causa diretta  dell’incidente ad esempio:

• Sostituzione, aggiornamento, implementazione soluzioni HWSW
• Multe
• Stima dell’eventuale costo legato alla richiesta di risarcimento di eventuali parti lese
• riscatto pagato (ad esempio in caso di ransomware)
• aumento di costo di eventuali polizze assicurative sulla cyber security
• costi di fermo porduzione
• persone che lavorano sulla questione per risolvere il problema (eventuali analisti forensi, esperti informatici, avvocati…)
• …

Impatto sulla penetrazione del mercato

Questo è il posto dove mettere come l’incidente danneggerà il vostro business in termini della vostra presenza sul mercato (quote di mercato) e le prospettive future.

Impatto sulla percezione del marchio

Questo indica quanto la tua credibilità risentirà dell’incidente

Con questo tipo di matrice sarebbe facile fare valutazioni corrette e confronti sensati. Non so se questo è, al momento, qualcosa che può essere fatto con gli attuali strumenti di analisi in tuo possesso, ma sarebbe un elemento utile da mettere in un BP e per un futuro corretto approccio alla valutazione del rischio per la sicurezza informatica (cyber security, data seurity e data privacy).

ciao

Antonio

Caro CISO, ti suggerisco di parlare d'affari con il tuo CdA, evita tecnicismi.

Caro consiglio di amministrazione e caro CISO

Penso che dovremmo sempre considerare il nostro lavoro come una parte del business. Abbiamo finalmente iniziato a prendere in considerazione la sicurezza informatica e la protezione dei dati come un problema serio, ma ora la domanda è come valutare un rischio nei nostri piani di analisi e di business…

Usualmente la documentazione e le relazioni per l’analisi di rischio, presentati nelle aziende (se e quando vengono presentati ovvio) si limitano, per la maggior parte, all’uso di valori generici (rischio alto, medio, basso), ma non sembra che si usi specificare qualsiasi metrica. Senza metrica è difficile fare una valutazione che abbia senso e parimenti impossible fare confronti;

così alla eventuale questione sollevata da un qualsiasi membro del Consiglio:

“il rischio XYZ è grave come il rischio ABC?”

non si può avere una risposta credibile se non sulla “percezione”, che è soggettiva, se non supportata da fatti…

Costruire metriche di sicurezza è un lavoro complesso e sono oggetto di studio, interpretazione e discussione anche in sede universitaria tutt’oggi, ma nonostante questa complessità possiamo semplificare l’approccio per fare analisi di sicurezza in qualche modo comprensibili e credibili.

Prima di tutto, per rispondere alla domanda presentata dal membro del CdA è necessario avere un quadro comune e condiviso di valutazione, che includa metriche di facile lettura per permettere di fare confronti comprensibili anche ai non esperti di cyber sicurezza, caratteristica comune alla maggior parte dei membri del Consiglio di Amministrazione che, però, devono prendere decisioni basate su tali dati.

Lo so, questo è qualcosa che va oltre le attività di un Cyber e Information Security Officer, questo richiede che l’intera azienda a iniziare a pensare alla cyber sicurezza e alle risorse digitali in campo ma, a meno che l’approccio sia quello di procedere in modo reattivo in caso di problemi (tipo: “mi sono beccato il ransomware…e adesso? che faccio? quanto mi costa? …”), indicazioni da parte del CISO sono indispensabili per delineare il quadro e aiutare nella definizione delle metriche.

Haimè l’analisi del rischio per la sicurezza informatica è tutto tranne che semplice, soprattutto se le analisi sono relative all’impatto aziendale di un incidente, poiché è richiesta tanto la comprensione del problema di sicurezza dal punto di vista cyber così come la comprensione delle ricadute sul business in cui il rischio è analizzato.

Ci sono due aspetti principali che hanno bisogno di metriche leggibili:

1. Valutazione del rischio
2. Conseguenze di rischio

Il primo elemento viene utilizzato per definire quanto “rischioso” è qualcosa.

La misura del rischio richiede, per semplificare una questione complessa, di essere in grado di valutare la probabilità che qualcosa accada, l’entità del danno e il costo per aggiustare le cose.

La dimensione economica dei danni e dei costi occorrenti per sistemare le cose sono legati alle conseguenze identificate per uno specifico rischio. Queste sono, fondamentalmente, le metriche che possono essere utilizzate in una riunione col consiglio di amministrazione per descrivere il rischio in termini comprensibili ad un pubblico non-consapevole in termini di cyber sicurezza.

Non voglio qui entrare nel dettaglio della valutazione del rischio, sono sicuro che come CISO avrai una profonda conoscenza e comprensione del problema e non voglio annoiarti con le mie riflessioni al riguardo, ma permettimi di osservare come non ci sia, apparentemente, ancora un quadro comune di valutazione diffuso tra gruppi e Business Unit della tua azienda. Trovo difficile credere che la percezione del rischio del dipartimento HR sia analogo a quello del dipartimento IT o del Marketing, o della produzione o vendita,  se cosi fosse probabilmente non staresti leggendo questo articolo mentre io starei quasi sicuramente leggendo il tuo.

La valutazione del rischio è una attività prevalentemente tecnica: la comprensione delle tecniche di attacco e difesa, le risorse necessarie sono ambiti dove CISO e management IT dovrebbero essere in grado di dare risposte sensate e credibili. Discorso diverso invece è l’analisi dell’impatto dell’incidente sul business. Questo impatto richiede sia la comprensione di cosa avvenga tecnicamente, almeno a grandi linee, ma anche la comprensione di quali siano i meccanismi legati al business che sono danneggiati dall’incidente. Va da se che le metriche da usarsi devono essere comprensibili al business, altrimenti sono inutili.

Le conseguenze di un incidente ed il suo livello di rischio sono ovviamente correlate cosi come sono correlate le dimensioni che definiscono il problema, l’obiettivo è capire, nella ipotesi che si verifichi un incidente di sicurezza, quali possano essere le misure che consentono alla vostra azienda di descriverlo e effettuare un confronto con un altro evento per determinare, ad esempio, priorità di intervento e di budget.

Avrebbe senso, dal mio punto di vista, presentare qualsiasi analisi di rischio al consiglio di amministrazione e altri manager e dirigenti in questi termini:

1) costo monetario in termini di perdita di ricavi

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

3) impatto sulla penetrazione del mercato

4) impatto sulla percezione del marchio

Utilizzare queste 4 dimensioni permette di confrontare un incidente “ABC” ad un avvenimento “XYZ” e rispondere in qualche modo alla domanda del membro del consiglio fatta prima e, inoltre, a dare una metrica per capire dove e perché investire in un’area invece in un’altra.

Permettimi di descrivere rapidamente i 4 punti.

1) costo monetario in termini di perdita di ricavi

Si tratta di una dimensione che può essere facilmente percepita dai responsabili commerciali e finanziari. Comporta l’essere in grado di stimare quanta attività di vendita sarà influenzata dall’incidente. Il lasso di tempo preso in considerazione è, ovviamente, una delle criticità chiave, dal momento che gli eventi possono avere un effetto diverso in termini di intervallo di tempo breve, medio e lungo termine.

La valutazione può essere presentata sia in termini di importo netto di denaro o % rispetto al bilancio. Entrambi sono utili per capire l’impatto dell’evento.

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

Questo significa mettere in considerazione tutti i costi vivi relazionati all’incidente come multe, questioni legali, interventi di sostituzione o aggiornamento del parco HWSW , persone che lavorano sull’incidente e così via. È importante separare i costi collegati all’incidente, dalle perdite economiche collegate all’incidente stesso, perché la natura degli interventi correttivi è estremamente diversa nei diversi casi.

3) impatto sulla penetrazione del mercato

Si tratta di una metrica che ha senso per un fornitore che sta cercando di espandere la sua presenza nel mercato come la tua azienda sta probabilmente cercando di fare. È strettamente connesso ai ricavi diretti, ma anche con le aspettative di crescita. Ciò può essere rappresentato come una % della quota di mercato.

4) impatto sulla percezione del marchio

Questo ultimo elemento è il più difficile da misurare, ma dato che dipende dalla metrica utilizzata per valutare il valore del Brand all’interno dell’azienda, dal momento che non mi è stato detto quali parametri vengono utilizzati qui posso solo suggerirti di presentare la variazione % correlata al valore stimato prima dell’incidente.

Per quello che so se questo non è stato fatto prima potrebbe essere qualcosa di intelligente da presentare in un futuro Business Plan o un’attività per il Cyber e Information Security Office da effettuarsi quest’anno in maniera da essere in grado, in futuro, di fare presentazioni e proiezioni che abbiano un senso.

Con quei 4 punti sarebbe possibile per entrambi (tu ed il consiglio di amministrazione):

a) fare confronto tra rischi

e

b) fornire al Consiglio una serie di elementi che possono essere oggettivamente utilizzati per prendere decisioni strategiche e di indirizzo.

Prendiamo come esempio la analisi dei rischi concernenti ad una violazione delle normative sulla privacy europea, il famigerato GDPR

L’approccio che ti ho proposto consentirebbe di presentare nel BP un insieme di dati comprensibili ed adatti a giustificare le spese e gli investimenti per ogni tipologia di rischio presentato; qualcosa di simile alla seguente tabella:

Permettimi di spiegare la tabella, considera naturalmente che i valori sono fittizi e il lasso di tempo considerato può essere regolato in base alla tua realtà.

Non conformità al GDPR

1) violazione di dati personali del cliente: intestazioni di colonne

Impatto a breve termine (1-3 mesi)

È cosa succedere immediatamente dopo il problema, quando è necessario intraprendere le operazioni necessarie per riprendere la operatività. Se hai un Emergency Response Team (dovresti) va computato qui…

Impatto di medio termine (3 mesi – un anno)

Permettimi di essere onesto, se è un problema di minore entità può accadere che le cose si possano risolvere rapidamente, ma se il problema è più grande, come ad esempio il tuo database di marketing esposto al pubblico su internet, devi iniziare a considerare anche le spese legali, multe e l’impatto sul tuo mercato…

Impatto a lungo termine (1-3 anni)

Le cose hanno un impatto anche dopo il tuo Business Plan, la vita non è limitata alla tua arbitraria finestra temporale, il business non si limita a finestre temporali limitate, tu dovresti essere in grado di fare previsione e analisi di più lungo periodo, oltre alla visione, orrore, trimestrale o annuale. È una esigenza comune in qualsiasi attività commerciale, e qui è o stesso.

2) violazione dei dati personali cliente: intestazioni di riga

Perdita di entrate

Questa è la perdita di gettito, legata all’incidente, che si dovrà affrontare rispetto le vostre aspettative di bilancio.

Costi diretti

Questo contiene ciò che si deve pagare per causa diretta  dell’incidente ad esempio:

• Sostituzione, aggiornamento, implementazione soluzioni HWSW
• Multe
• Stima dell’eventuale costo legato alla richiesta di risarcimento di eventuali parti lese
• riscatto pagato (ad esempio in caso di ransomware)
• aumento di costo di eventuali polizze assicurative sulla cyber security
• costi di fermo porduzione
• persone che lavorano sulla questione per risolvere il problema (eventuali analisti forensi, esperti informatici, avvocati…)
• …

Impatto sulla penetrazione del mercato

Questo è il posto dove mettere come l’incidente danneggerà il vostro business in termini della vostra presenza sul mercato (quote di mercato) e le prospettive future.

Impatto sulla percezione del marchio

Questo indica quanto la tua credibilità risentirà dell’incidente

Con questo tipo di matrice sarebbe facile fare valutazioni corrette e confronti sensati. Non so se questo è, al momento, qualcosa che può essere fatto con gli attuali strumenti di analisi in tuo possesso, ma sarebbe un elemento utile da mettere in un BP e per un futuro corretto approccio alla valutazione del rischio per la sicurezza informatica (cyber security, data seurity e data privacy).

ciao

Antonio

Guida al GDPR per chi non ne vuole sapere: a chi hai dato i dati ("so spariti i dati")?

Se ricordi ho scritto nel post precedente (faccio finta che qualcuno li legga, sai) di cosa dovresti fare per iniziare ad affrontare questa rogna del GDPR. La prima era assumere un DPO, la seconda riguardava i dati…

Ma che sono ‘sti dati?

voglio dire tutti parlano di dati, ma cosa vuol dire? dove sono? chi sono? cosa fanno?

Allora visto che sto scrivendo in italiano assumo che tu che leggi sia italiano e probabilmente interessato alla versione italiana della storia.

Quindi vediamo cosa dice il garante al riguardo:

 

---

http://www.garanteprivacy.it/web/guest/home/diritti/cosa-intendiamo-per-dati-personali

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Particolarmente importanti sono:

• i dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
• i dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
• i dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

LE PARTI IN GIOCO

Interessato è la persona fisica cui si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l”interessato” (articolo 4, comma 1, lettera i), del Codice);

Titolare è la persona fisica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., cui spettano le decisioni sugli scopi e sulle modalità del trattamento, oltre che sugli strumenti utilizzati (articolo 4, comma 1, lettera f), del Codice);

Responsabile è la persona fisica, la società, l’ente pubblico o privato, l’associazione o l’organismo cui il titolare affida, anche all’esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati (articolo 4, comma 1, lettera g), del Codice). La designazione del responsabile è facoltativa (articolo 29 del Codice);

Incaricato è la persona fisica che, per conto del titolare, elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare e/o dal responsabile (articolo 4, comma 1, lettera h), del Codice).

____________________________________________________________________________________________________

Partiamo dalla definizione:

I dati che rendono identificabile o identificano una persona significa tutte le informazioni che ci permettono di risalire ad una persona fisica, con l’estensione anche al capire cosa fa, cosa gli piace ….

La quantità di dati che rientrano in questa categoria è estremamente ampia, il garante si è espresso diverse volte in merito mettendo persino gli indirizzi IP in questa categoria. Cosa significa?

Gestiamo quotidianamente una enorme mole di dati: li distribuiamo in giro, sia nostri che di altri, senza spesso neanche rendercene conto. Se usi un telefono, la posta elettronica, le chat, i social media allora magari sai di cosa sto parlando anche senza rendertene pienamente conto. Se vuoi sapere dove si trova il tuo amico, collega, cliente puoi magari verificare su una qualche funzione di geolocalizzazione offerta da diverse apps o condividere direttamente coordinate o …

Ops scusa sto divagando.

Il punto è che magari non ti rendi neanche conto di questa cosa.

Cosa sono questi fantomatici dati:

Proviamo a trasferirla in area aziendale per vedere se riesci ad allargare i tuoi confini di comprensione.

Molto di quello che si fa in una azienda è, oggi come oggi, legato a doppio filo con la digitalizzazione.

Pensaci bene:

• Comunichi principalmente via e-mail: offerte, contratti, proposte, CV per le assunzioni, comunicazioni interne, chiacchiere …ci passa un sacco di roba
• Utilizzi il web sia per recuperare informazioni (hai presente la pagina di google che interroghi sempre) quanto per comunicare esternamente (magari vendi online, magari hai un sito web, magari fai marketing online…)
• Forse hai anche una presenza social (traduco roba tipo facebook o linkedin)
• Probabilmente usi un sistema di contabilità informatizzato
• Un CRM magari
• Hai un elenco dei clienti, con le loro email, i telefoni, forse anche i riferimenti Skype e social e altre informazioni da qualche parte…se sei in gamba forse hai anche le date di nascita (sa come è, per fare gli auguri) e altri particolari.
• hai un elenco di dipendenti con i loro dati tipo conto corrente, contatto familiare, stipendio …
• trasporti questi dati, li salvi, li processi e magari qualche volta li vendi anche (ci sono aziende che lo fanno come mestiere)
• …

E la cosa interessante è che magari non ti rendi conto che in quello scambio di informazioni hai mescolato elementi di business e personali.

Ora il problema del signor GDPR e del suo perfido assistente DPO che pretende di sapere dove sono questi dati per farteli gestire e proteggere.

Dove sono?

ti ho scritto qualche giorno fa che le prime 2 cose dovresti fare è iniziare a mappare i dati per capire dove sono e se sono importanti.

per fare questa operazione la cosa più semplice è passare piano piano le vare funzioni, operazioni e tools che usi, mappare i dati relativi in termini di:

1. cosa sono
2. come li raccolgo
3. dove sono
4. come li gestisco
5. sono importanti per GDPR
6. …

ti suggerisco di usare un duplice approccio: uno funzionale e uno per tecnologia e ppoi incroci

ad esempio quello funzionale può essere:

1. vendite -come gestisco la vendita, come viene fatta l’offerta, come viene comunicata, che dati trattengo del cliente, offro servizi post vendita …
2. marketing – tramite che canali comunico, faccio eventi, uso database …
3. gestione del personale – come gestisco i dati dei dipendenti, dove metto i cv se faccio richieste personali
4. produzione – …
5. …

quello tecnologico invece può essere:

1. cosa comunico tramite la posta elettronica
2. gestisco l’accesso al web dei dipendenti, proxy
3. uso app, chat, videoconferenza
4. uso servizi cloud
5. uso database
6. uso archivi cartacei (si contano anche quelli)
7. …

il consiglio è, ovviamente, quello di incrociare poi le due cose per aiutarti a capire:

1. quali dati effettivamente usi
2. a cosa ti servono
3. come li gestisci

siccome non ci hai mai pensato fare un lavoro su due fronti ti aiuta ad evitare a dimenticarti dei pezzi, e ti risulterà utilissimo poi quando dovrai fare la PIA … (non  nel senso di una persona molto religiosa…)

l’idea è quella di aiutarti a capire i dati nel suo complesso.

ricordi il mio post sulla gestione dei curriculum? ecco quello è un esempio.

ma voglio anche farti altri esempi: se fai andare i tuoi utenti su internet registri, anche se non lo sai, un sacco di dati che sarebbe opportuno tu gestissi correttamente:

i log dei tuoi firewall o proxy contengono dati a rischio, tipo l’IP, L’utente e il sito visitato

se hai un sito web con delle email pubbliche, servizi vari, blog, newsletter potresti ricevere comunicazioni che vanno gestite opportunamente o potresti ricevere sottoscrizioni che vanno gestite.

ma anche il semplice database dei tuoi dipendenti se dovesse essere attaccato e i relativi dati resi pubblici ti esporrebbe al rischio, se non hai messo in piedi le norme minime di protezione, di una sonora (e meritata) multa.

 

Che fare poi?

ok una volta che hai fatto la mappa dei dati ti ritrovi in mano un nuovo strumento che ti dice

• che dati hai
• a cosa ti servono
• come li usi

a questo punto puoi iniziare a capire cosa dovresti fare per essere compliant con il GDPR.

Il primo punto è capire cosa rischi, qui entra in gioco la PIA

Il secondo punto è definire il valore di questi dati

Il terzo punto è iniziare a definire le azioni correttive che servono a gestire i dati.

Le azioni correttive coprono:

1. la definizione delle procedure operative di raccolta e gestione dei dati
   1. metriche di misurazione e controllo per l’auditing
   2. definizione delle responsabilità operative
   3. …
2. l’introduzione delle corrette tecnologie
   1. valutazione delle tecnologie correnti
   2. definizione delle eventuali introduzioni tecnologiche di sicurezza o gestione dati
   3. …
3. la definizione delle procedure di monitoraggio ed auditing
4. la definizione delle procedure di gestione delle eccezioni e degli incidenti
5. …

ora non voglio e non posso andare in ulteriori dettagli, non fosse per altro che:

1. non esiste una soluzione adatta a tutti
2. anche esistesse, se faccio io il lavoro qui gratis non ci guadagno
3. mica sto scrivendo un libro, ma solo una serie di amichevoli consigli.

dai sorridi, almeno io ti ho lanciato qualche avvertimento, e sai come si dice: uomo avvisato ….