Project Management e Cyber security: perché la gestione dei progetti è fondamentale per una sicurezza informatica efficace

Non è possibile sfuggire alla necessità di sviluppare competenze di Project Management quando si parla di cyber security, oggi più che mai.
Avere idea di cosa significhi la gestione di un progetto assicura che, in un mondo connotato da evoluzioni rapide e disruptive (basti osservare la situazione determinata dal COVID-19), non si finisca in un cul de sac.

Chiunque abbia un ruolo di responsabilità nella gestione di progetti legati alla cyber-security è probabile che conosca quanto può essere difficile gestirli tutti in modo fluido ed efficace: mentre si sta supervisionando una serie di tasks ricorrenti e quotidiane, arrivano attività una tantum da includere, priorità, “E i progetti a lungo termine a che punto sono? Il bdg? E il lockdown? Ma la VPN regge?” E così via.

Affinché i progetti di sicurezza informatica siano efficaci è necessario implementare una solida pratica di gestione dei progetti. Un team di Project Management con esperienza può aiutare a garantire che i progetti vengano eseguiti senza intoppi (o, quantomeno, mitigandone il numero il più possibile), rispettando il budget e siano completati entro i tempi concordati.

Osservando i progetti in cui siamo stati coinvolti e che hanno avuto successo, abbiamo notato cinque fattori degni di particolare attenzione:

  1. Esecuzione ottimizzata
  2. Allineamento strategico
  3. Allocazione ottimizzata delle risorse
  4. Miglioramento continuo
  5. Risoluzione dei problemi e gestione dei rischi (in particolare).

1. Esecuzione del progetto ottimizzata

Secondo una survey di McKinsey & Co., “I manager hanno scoperto che l’adesione ai metodi di gestione dei progetti ha ridotto rischi, costi e migliorato le probabilità di avere successo”. I vantaggi commerciali di un Project Management Office (PMO) sono ovvi, ma il mindset del project manager può aiutare un progetto di cyber security ad avere programma e un budget proprio (e non una percentuale di quello IT).

Il PM farà in modo che il progetto abbia risultati chiaramente definiti, che venga eseguito tenendo conto dei risultati concordati e che i relativi risultati, i cambiamenti e le fasi importanti siano comunicati a tutte le parti interessate in modo tempestivo.

2. Allineamento strategico

Affinché un progetto abbia successo, questo deve essere allineato alla strategia aziendale e ai suoi obiettivi. Se non c’è allineamento è probabile che non si sia in grado di dimostrarne l’efficacia e l’importanza.

Per far partire in modo corretto un progetto di cybersecurity, il PM dev’essere consapevole della quantità e della pertinenza dei dati trattati, del livello di esposizione alle minacce, della propensione al rischio e del livello di applicabilità dei requisiti normativi.

Un project manager nel mondo cyber-security può assicurarsi che i progetti e/o i programmi vengano eseguiti tenendo conto degli obiettivi aziendali, ma soprattutto che questi possano fornire un ritorno dell’investimento misurabile (ROI).

3. Allocazione ottimizzata delle risorse

La carenza di competenze nella sicurezza informatica ha raggiunto un livello record negli ultimi anni e si prevede che peggiorerà nei prossimi anni (se sei una delle poche aziende fortunate con risorse di sicurezza informatica qualificate, saprai che il loro tempo è molto limitato).

Un project manager diventa una figura chiave perché sarà in grado di ottimizzare l’allocazione delle risorse, assicurarsi che le risorse critiche stiano lavorando su progetti stimolanti e si assicurerà di assegnare i tasks giusti alle giuste risorse.

Ottimizzando le risorse, si può garantire che i progetti cybersec siano eseguiti tenendo conto delle prestazioni ottimali e che le capacità delle risorse siano enfatizzate. La formazione è indispensabile.

4. Miglioramento continuo

Di recente su Twitter un post citava: “L’errore è quando sbagli una volta. Due volte è stupidità. Oppure, amore”.

Una solida pratica di gestione dei progetti nel mondo cyber-security può aiutare l’organizzazione a imparare dagli errori, evitare che simili errori si ripresentino in futuro e facilitare quindi il miglioramento continuo di persone, processi, procedure e progetti.

Spesso trascurata durante la pianificazione, la produzione di una documentazione adeguata non servirà solo a posteriori come business intelligence, ma consentirà anche di risparmiare tempo e risorse per progetti simili in futuro.

5. Risoluzione dei problemi e gestione dei rischi

L’approccio del project management è importante perché garantisce che i rischi del progetto siano gestiti, mitigati e comunicati correttamente.

Prima dell’inizio di un progetto cyber-sec, un buon project manager identificherà ed elencherà i potenziali rischi del progetto, li comunicherà alle principali parti interessate e fornirà/valuterà se il progetto debba essere eseguito o meno. Una volta avviato il progetto, un project manager terrà conto di questi rischi, ne valuterà ulteriori periodicamente e terrà informate tutte le parti coinvolte.

In caso di problemi, un project manager può svolgere il ruolo di mediatore tra team interni e risorse, ma anche tra il team e l’esterno. Avere una risorsa obiettiva coinvolta nel progetto assicurerà che potenziali problemi (come ritardi, confusione sui risultati finali, deviazioni di budget) vengano scoperti, affrontati e risolti in modo professionale e tempestivo.

Tecnicamente, invece?

Da un punto di vista tecnico, uno degli aspetti cruciali per la creazione di programmi di sicurezza è che tutti i membri del team conoscano i concetti fondamentali delle discipline di gestione del progetto.

Le somiglianze tra Plan of Action & Milestones – POA&M – e una struttura di suddivisione del lavoro (WBS), mostrano come la sicurezza e la gestione del progetto si fondano più frequentemente di quanto si pensi.

Il termine POA&M proviene dal National Institute of Standards and Technology (NIST) SP800-18, che spiega i tipi di documentazione inclusi nel piano generale sulla sicurezza delle informazioni (ISP- Information Security Policy).

Le due parti più importanti dell’ISP sono i ruoli e la politica di responsabilità, il piano d’azione e le milestones. Questi sono fondamentali per avvicinarsi alle best practices del settore: senza POA&M il programma di sicurezza di un’organizzazione rimarrà non ottimale. Pertanto, i professionisti della cyber security devono comprenderne l’importanza.

La WBS invece si riferisce a una scomposizione strutturata: è una suddivisione analitica di un progetto in parti elementari. È un deliverable chiave che organizza il lavoro del team in tasks gestibili.

Il Project Management Body of Knowledge definisce la wbs come “Una scomposizione gerarchica di tutto il lavoro che deve essere svolto dal team per raggiungere gli obiettivi di progetto e creare i risultati richiesti”.

Bene, perché abbiamo bisogno di entrambi?

Sia il POA&M che la WBS scompongono il progetto in pezzi più piccoli e gestibili, ma la WBS fa molto di più. Nei programmi di sicurezza sani e maturi, attraverso la WBS si arriva a monitorare molto meglio il carico di lavoro e la raccolta delle metriche sulle attività.

Ogni analista è in grado così di tenere traccia dei propri sforzi personali o di sapere quando tempo passa a controllare gli eventi di sicurezza (v. SIEM) rispetto alle ore spese su attività di classificazione dei dati…

Lavorare con entrambi aiuta a lavorare con sforzi coordinati, identificando e assegnando correttamente ruoli e responsabilità. Pertanto, quando mettiamo insieme un team di sicurezza, preferiamo che tutti, che abbiano o meno un ruolo tecnico, posseggano una comprensione consolidata dei concetti di project management. Non è necessario che siano project manager, ma per intendersi, serve che sappiano cos’è una WBS e a che cosa serve.

Oggi la forza lavoro, cyber security e operations incluse, si troverà sempre di più a doversi confrontare con ambienti e strutture a progetto. Che siate dei tecnici o meno, è fondamentale mettere a terra e digerire i concetti fondamentali di PM.

Conclusione

Agli albori della sicurezza informatica, probabilmente difendere un’organizzazione da violazioni e incidenti era decisamente più semplice. Al giorno d’oggi e forse ancora di più in questo momento, le aziende fanno fatica a tenere il passo con la elevata quantità di minacce alla sicurezza, malware, attacchi informatici e furto di informazioni: se a questo si aggiunge la criticità legata al lockdown e al COVID-19, tutto questo viene amplificato. Ciò significa anche che i meccanismi di protezione devono tenere il passo con la crescente complessità all’interno del dominio della sicurezza informatica e i responsabili IT devono essere consapevoli dei lacks in azienda.
Un esempio tratto dall’attualità: come si fa a garantire lo stesso livello di protezione ai devices per il remote working, quando non possono usare i sistemi di difesa aziendali?

Come posso considerare la VPN uno strumento di protezione dei miei terminali, quando in realtà è solo un’estensione del perimetro da difendere?

Tutte queste modifiche all’infrastruttura, che impatto hanno sull’analisi dei rischi?

In caso di attacco, l’impatto all’interno dell’organizzazione rimane sostanzialmente uguale o cambia di un ordine di grandezza?

In definitiva, la gestione della cyber security è molto simile alla gestione (continua) di un progetto: ci sono strategie da attuare, budget da rispettare, programmi da seguire e processi da attuare.

Con l’implementazione di un mind-set orientato al project management si ottiene un duplice effetto: da un lato i manager comprenderanno che “i progetti cyber” (e relativi costi) sono allineati con la strategia aziendale e le risorse verranno ottimizzate facilitando il miglioramento continuo della società nel suo complesso; dall’altro, con una gestione dei rischi applicata coscienziosamente si incrementa la probabilità di sopravvivere (business continuity) a un attacco informatico, anche quando siamo comodamente seduti sul divano e/o in call con i colleghi.

 

Articolo a cura di Marco Zonta e Virginie Pasquon

Profilo Autore

Ingegnere Elettronico (Università di Padova) con un master in telecomunicazioni.
Per 20 anni consulente e docente in ambito IT ed ICT su tecnologie di nicchia in progetti nazionali ed internazionali come UN, NATO e clienti istituzionali.
Grazie alla profonda conoscenza delle tecnologie unita alla capacità di analizzare il mercato, supporta le aziende disegnando con loro strategie innovative per sviluppare mercati e realizzare prodotti/servizi IT ed OT.
Consigliere all’interno dell’associazione APM-Ticino, fotografo, viaggiatore e velista per passione.

Profilo Autore

Ingegnere Gestionale (Politecnico di Torino) attualmente direttore di CyberArmor e lecturer di Project Management in SUPSI.
Decennale esperienza nel mondo IT a livello internazionale ha sviluppato programmi di sicurezza informatica e gestito numerosi team all’interno di progetti di innovazione IT e IoT.
Membro del comitato direttivo di APM-Ticino, "non lasciare che la macchina fotografica accumuli polvere" è la sua scusa preferita per viaggiare.

Condividi sui Social Network:

Articoli simili