ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.
Il problema di costruire il budget della sicurezza è, notoriamente, che chi lo fa deve prevedere dei soldi da spendere, e li deve giustificare in qualche maniera all IT manager, al CEO, al CFO, all’HR manager e a Zio Paperone.
Non voglio stare a fare la lezioncina di come si fa un budget sulla sicurezza, ma lasciatemi evidenziare un paio di cose elementari.
- Se spendi dei soldi questi devono essere meno del valore totale della cosa che vuoi proteggere
- se quello che devi proteggere vale 100 e tu spendi 110 forse non hai fatto bene i conti
- Devi in qualche maniera rispettare eventuali termini di legge
- ricordati che vi sono delle leggi da rispettare, e in italia vige la responsabilità oggettiva, cioè se ha causa delle tue bischerate ne viene un danno a terzi, tu sei corresponsabile.
- Quello che compri o implementi deve avere un senso
- se temi che ti rubino la macchina non compri una cassetta di sicurezza, magari ti orienti verso un box ed una buona assicurazione
Le tre condizioni sarebbero da rispettare in contemporanea, perché ovvio che devi almeno fare quello che la legge chiede, che devi spendere il giusto e in maniera giusta.
Peccato sia proprio su questi 3 punti che si incontrano gli ostacoli maggiori nella costruzione del nostro budget.ma oggi voglio essere buono, limito gli insulti e mi occupo solo del primo punto:
Quanto ha senso farti spendere?
Mettiamola così, se tu dici che vuoi spendere 100 euro I tuoi capi ti diranno:
- 100 euro … ma sei matto?
- A che cosa serve tutto quel denaro li?
- A miei tempi si usava la macchina da scrivere e tutto andava meglio
- Non ci sono più le mezze stagioni
- Piove governo ladro
- Lei non sa chi sono io
- …
A meno che tu sia un ceo illuminato e i 100 euro li tiri fuori da solo di tasca tua.
Ma perché ti dicono questo?
Perché per giustificare i 100 euro dovresti spiegare che questa esosa cifra ti serve per proteggere 100000 euro di valore della azienda.
Insomma non chiedi neanche una percentuale esosa…. Meno di una assicurazione.
Il problema è che tu non sai quanto stai proteggendo, e neanche loro lo sanno.
Qualunque budget di spesa dovrebbe prevedere la analisi del valore degli asset, se lo chiedi ad un CFO ti spiegherà questa cosa in tutte le salse. Salvo poi se gli chiedi come valuta i suoi asset digitali, in questo caso generalmente ride e pensa dentro di sé: è arrivato il cretino…. (con rispetto parlando per i retini ovviamente).
Questo è il vero dramma della IT, nessuno sa valutarne il valore economico e non dico il costo, che del valore economico è una componente.
Quanta IT serve per produrre valore nella mia azienda? Che valore hanno i dati digitali che uso?…
Perché se c’è una produzione di valore legata alla IT allora possiamo iniziare a parlare di budget, altrimenti stiamo buttando il mio, il tuo ed il suo tempo.
In altre parole o la digitalizzazione serve e dà valore e allora i dati vanno gestiti e protetti, o non serve ed allora perché che ne stiamo ad occupare?
Il ricattatore informatico: un consulente al tuo servizio
Purtroppo questo conto non lo sanno fare né il CEO né il CFO né l’HR e, probabilmente, nemmeno tu.
Ma qualcuno che questo conto lo sa fare c’è, è il tuo consulente globale sulla sicurezza, quello che ti fa il deploy del ransomware e poi ti chiede i soldi.
Si insomma quello che ti ostini a chiamare criminale è in realtà l’unico che ha capito di cosa hai bisogno… e come farlo capire al tuo capo
Non dovresti denunciarlo, dovresti dargli un premio produzione….
E si perché non c’è nulla come beccarsi un bel ransomware per far capire che i dati sono una cosa preziosa ed hanno un valore.
È questo valore è proporzionale a quanto sei disposto a pagare per riaverli indietro.
Il Ransomware, in altre parole, è un formidabile strumento di valutazione del valore degli asset digitali.
Non sono i virus, non è una intrusione, è proprio il ransomware che ti fa capire il valore di quello che hai in casa.
La tua azienda se lo becca, i suoi, tuoi dati vengono messi in una bella scatolina chiusa che si apre solo se paghi.
A questo punto persino il CEO ed il CFO iniziano a sospettare, bontà loro, che c’è del marcio in Danimarca. (l’HR manager viene dopo per questioni caratteriali J)
E si perché qualcuno questi soldi li deve tirare fuori a meno che non si riesca a porre rimedio.
Ora, ad esempio, se i backup li gestisci come non si dovrebbe fare (che è la norma) e quindi sono abbondantemente inutili, e se non hai una chiave per decrittare i tuoi dati ti trovi nella situazione seguente:
- La gente non può lavorare a causa del blocco di qualcosa a cui prima non attribuiva valore
- Tutti sono incazzati con te e ti danno la colpa, ma questo è normale
- Vengono alla luce le cazzate fatte nella implementazione della tua struttura IT
- La azienda perde dei soldi
A questo punto il CFO si mette una mano sul portafoglio e dà l’OK al pagamento del riscatto con il benestare del CEO, l’accordo del presidente, l’assenso dell’HR manager, il conforto dell’avvocato, le lacrime del marketing manager e l’assoluzione plenaria del padre confessore.
Bene, questo significa che hai appena dato un valore economico all’asset digitale. O meglio il valore glielo ha dato quel pio criminale che ha pensato di infettarti e ricattarti. È grazie a lui che ora tutti devono a denti stretti ammettere che quei dati hanno un valore.
Più alto il riscatto che il cfo è disposto a pagare, più alto è il valore che assegna a quell’asset.
Ovviamente vi sono considerazioni accessorie tipo:
- Quanti soldi perdo per il blocco derivante da questo incidente sui miei asset digitali?
- Quanto inciderà la figura di cacca che sto facendo sul mio mercato?
- Quanto mi costerà il ripristino alla funzionalità normale?
- Quanto mi costerà mettere in sicurezza la cosa perché non si ripeta?
- Vado incontro a conseguenze legali?
- …
Ma non voglio tediarti con particolari inutili. Carpe diem, cogli l’attimo.
Quello che risulta è che quello che, per motivi a me oscuri, continui a chiamare criminale informatico in realtà ti ha appena fatto una analisi del valore dei tuoi asset digitali come nemmeno il più persuasivo dei consulenti farebbe.
Certo non è proprio fatto secondo canali strettamente legali, ma se la legalità ti interessasse avresti intrapreso da un po’ l’adeguamento dei tuoi sistemi al GDPR… purtroppo per quella consulenza devi aspettare l’ispezione e la multa conseguente (da quelle parti si svegliano anche l’HR manager e il responsabile marketing).
Se proprio volessimo buttarla in polemica si potrebbe osservare che essere costretti a dare una valutazione economica di un bene a seguito di un atto criminoso denota una scarsa lungimiranza, e allo stesso tempo se dobbiamo agire di concerto alla legge solo perché vogliamo evitare le multe forse abbiamo un approccio leggermente discutibile dal punto di vista etico.
Ma siccome non vogliamo scendere in queste sterili polemiche limitiamoci ad osservare che se sei fortunato ti capita una brutta cosa che mette in luce un valore che nessuno VUOLE vedere, se sei sfortunato ti obbligano a farne una peggiore, i budget di sicurezza come li hai fatti fino ad adesso.
Chiaro che poi hai ancora i punti 2 e 3 da affrontare, ma almeno il punto 1 hai iniziato ad affrontarlo
Ci trovo una sottile ironia i questo, ma magari sono solo io…
Buon insicuro 2017
Antonio
PS: spero si sia colta l’ironia ed il sarcasmo del pezzo, ma siccome ho una scarsa fiducia nel genere umano permetti di precisare questo. Ben lungi dall’essere apologia di reato non sto dicendo che fanno bene ad attaccarti, né che i criminali siano giustificati, so solo utilizzando le figure retoriche del paradosso e dell’iperbole per evidenziare come talvolta è solo a seguito di un incidente che ne priva la fruizione che si capisce il valore di un beneservizioasset.
Related articles
- Ransomware: When to pay (and when not to) (oreilly.com)
- December 2016: The Month in Ransomware (tripwire.com)
- Ransomware blamed for cyber attack which forced hospitals to cancel operations and shut down systems (zdnet.com)
- Ransomware-based attacks: Should you pay the ransom? (resources.infosecinstitute.com)
- How a hacked phone number cost Jered Kenna millions of bitcoins (nakedsecurity.sophos.com)
- Bad Press Forces Shark Ransomware Project to Rebrand (news.softpedia.com)
- Ransomware Growing More Common, More Complex; Modern Endpoint Backup Isn’t Scared (cloudsecurityalliance.org)
- Mr. Robot-Inspired FSociety Ransomware Emerges (infosecisland.com)
- Android Ransomware Quadrupled in the Past Year (news.softpedia.com)
- Crime Pays: Ransomware Bosses Make $90K Annually (technewsworld.com)