Non è possibile sfuggire alla necessità di sviluppare competenze di Project Management quando si parla di cyber security, oggi più che mai.
Avere idea di cosa significhi la gestione di un progetto assicura che, in un mondo connotato da evoluzioni rapide e disruptive (basti osservare la situazione determinata dal COVID-19), non si finisca in un cul de sac.
Chiunque abbia un ruolo di responsabilità nella gestione di progetti legati alla cyber-security è probabile che conosca quanto può essere difficile gestirli tutti in modo fluido ed efficace: mentre si sta supervisionando una serie di tasks ricorrenti e quotidiane, arrivano attività una tantum da includere, priorità, “E i progetti a lungo termine a che punto sono? Il bdg? E il lockdown? Ma la VPN regge?” E così via.
Affinché i progetti di sicurezza informatica siano efficaci è necessario implementare una solida pratica di gestione dei progetti. Un team di Project Management con esperienza può aiutare a garantire che i progetti vengano eseguiti senza intoppi (o, quantomeno, mitigandone il numero il più possibile), rispettando il budget e siano completati entro i tempi concordati.
Osservando i progetti in cui siamo stati coinvolti e che hanno avuto successo, abbiamo notato cinque fattori degni di particolare attenzione:
Secondo una survey di McKinsey & Co., “I manager hanno scoperto che l’adesione ai metodi di gestione dei progetti ha ridotto rischi, costi e migliorato le probabilità di avere successo”. I vantaggi commerciali di un Project Management Office (PMO) sono ovvi, ma il mindset del project manager può aiutare un progetto di cyber security ad avere programma e un budget proprio (e non una percentuale di quello IT).
Il PM farà in modo che il progetto abbia risultati chiaramente definiti, che venga eseguito tenendo conto dei risultati concordati e che i relativi risultati, i cambiamenti e le fasi importanti siano comunicati a tutte le parti interessate in modo tempestivo.
Affinché un progetto abbia successo, questo deve essere allineato alla strategia aziendale e ai suoi obiettivi. Se non c’è allineamento è probabile che non si sia in grado di dimostrarne l’efficacia e l’importanza.
Per far partire in modo corretto un progetto di cybersecurity, il PM dev’essere consapevole della quantità e della pertinenza dei dati trattati, del livello di esposizione alle minacce, della propensione al rischio e del livello di applicabilità dei requisiti normativi.
Un project manager nel mondo cyber-security può assicurarsi che i progetti e/o i programmi vengano eseguiti tenendo conto degli obiettivi aziendali, ma soprattutto che questi possano fornire un ritorno dell’investimento misurabile (ROI).
La carenza di competenze nella sicurezza informatica ha raggiunto un livello record negli ultimi anni e si prevede che peggiorerà nei prossimi anni (se sei una delle poche aziende fortunate con risorse di sicurezza informatica qualificate, saprai che il loro tempo è molto limitato).
Un project manager diventa una figura chiave perché sarà in grado di ottimizzare l’allocazione delle risorse, assicurarsi che le risorse critiche stiano lavorando su progetti stimolanti e si assicurerà di assegnare i tasks giusti alle giuste risorse.
Ottimizzando le risorse, si può garantire che i progetti cybersec siano eseguiti tenendo conto delle prestazioni ottimali e che le capacità delle risorse siano enfatizzate. La formazione è indispensabile.
Di recente su Twitter un post citava: “L’errore è quando sbagli una volta. Due volte è stupidità. Oppure, amore”.
Una solida pratica di gestione dei progetti nel mondo cyber-security può aiutare l’organizzazione a imparare dagli errori, evitare che simili errori si ripresentino in futuro e facilitare quindi il miglioramento continuo di persone, processi, procedure e progetti.
Spesso trascurata durante la pianificazione, la produzione di una documentazione adeguata non servirà solo a posteriori come business intelligence, ma consentirà anche di risparmiare tempo e risorse per progetti simili in futuro.
L’approccio del project management è importante perché garantisce che i rischi del progetto siano gestiti, mitigati e comunicati correttamente.
Prima dell’inizio di un progetto cyber-sec, un buon project manager identificherà ed elencherà i potenziali rischi del progetto, li comunicherà alle principali parti interessate e fornirà/valuterà se il progetto debba essere eseguito o meno. Una volta avviato il progetto, un project manager terrà conto di questi rischi, ne valuterà ulteriori periodicamente e terrà informate tutte le parti coinvolte.
In caso di problemi, un project manager può svolgere il ruolo di mediatore tra team interni e risorse, ma anche tra il team e l’esterno. Avere una risorsa obiettiva coinvolta nel progetto assicurerà che potenziali problemi (come ritardi, confusione sui risultati finali, deviazioni di budget) vengano scoperti, affrontati e risolti in modo professionale e tempestivo.
Tecnicamente, invece?
Da un punto di vista tecnico, uno degli aspetti cruciali per la creazione di programmi di sicurezza è che tutti i membri del team conoscano i concetti fondamentali delle discipline di gestione del progetto.
Le somiglianze tra Plan of Action & Milestones – POA&M – e una struttura di suddivisione del lavoro (WBS), mostrano come la sicurezza e la gestione del progetto si fondano più frequentemente di quanto si pensi.
Il termine POA&M proviene dal National Institute of Standards and Technology (NIST) SP800-18, che spiega i tipi di documentazione inclusi nel piano generale sulla sicurezza delle informazioni (ISP- Information Security Policy).
Le due parti più importanti dell’ISP sono i ruoli e la politica di responsabilità, il piano d’azione e le milestones. Questi sono fondamentali per avvicinarsi alle best practices del settore: senza POA&M il programma di sicurezza di un’organizzazione rimarrà non ottimale. Pertanto, i professionisti della cyber security devono comprenderne l’importanza.
La WBS invece si riferisce a una scomposizione strutturata: è una suddivisione analitica di un progetto in parti elementari. È un deliverable chiave che organizza il lavoro del team in tasks gestibili.
Il Project Management Body of Knowledge definisce la wbs come “Una scomposizione gerarchica di tutto il lavoro che deve essere svolto dal team per raggiungere gli obiettivi di progetto e creare i risultati richiesti”.
Bene, perché abbiamo bisogno di entrambi?
Sia il POA&M che la WBS scompongono il progetto in pezzi più piccoli e gestibili, ma la WBS fa molto di più. Nei programmi di sicurezza sani e maturi, attraverso la WBS si arriva a monitorare molto meglio il carico di lavoro e la raccolta delle metriche sulle attività.
Ogni analista è in grado così di tenere traccia dei propri sforzi personali o di sapere quando tempo passa a controllare gli eventi di sicurezza (v. SIEM) rispetto alle ore spese su attività di classificazione dei dati…
Lavorare con entrambi aiuta a lavorare con sforzi coordinati, identificando e assegnando correttamente ruoli e responsabilità. Pertanto, quando mettiamo insieme un team di sicurezza, preferiamo che tutti, che abbiano o meno un ruolo tecnico, posseggano una comprensione consolidata dei concetti di project management. Non è necessario che siano project manager, ma per intendersi, serve che sappiano cos’è una WBS e a che cosa serve.
Oggi la forza lavoro, cyber security e operations incluse, si troverà sempre di più a doversi confrontare con ambienti e strutture a progetto. Che siate dei tecnici o meno, è fondamentale mettere a terra e digerire i concetti fondamentali di PM.
Agli albori della sicurezza informatica, probabilmente difendere un’organizzazione da violazioni e incidenti era decisamente più semplice. Al giorno d’oggi e forse ancora di più in questo momento, le aziende fanno fatica a tenere il passo con la elevata quantità di minacce alla sicurezza, malware, attacchi informatici e furto di informazioni: se a questo si aggiunge la criticità legata al lockdown e al COVID-19, tutto questo viene amplificato. Ciò significa anche che i meccanismi di protezione devono tenere il passo con la crescente complessità all’interno del dominio della sicurezza informatica e i responsabili IT devono essere consapevoli dei lacks in azienda.
Un esempio tratto dall’attualità: come si fa a garantire lo stesso livello di protezione ai devices per il remote working, quando non possono usare i sistemi di difesa aziendali?
Come posso considerare la VPN uno strumento di protezione dei miei terminali, quando in realtà è solo un’estensione del perimetro da difendere?
Tutte queste modifiche all’infrastruttura, che impatto hanno sull’analisi dei rischi?
In caso di attacco, l’impatto all’interno dell’organizzazione rimane sostanzialmente uguale o cambia di un ordine di grandezza?
In definitiva, la gestione della cyber security è molto simile alla gestione (continua) di un progetto: ci sono strategie da attuare, budget da rispettare, programmi da seguire e processi da attuare.
Con l’implementazione di un mind-set orientato al project management si ottiene un duplice effetto: da un lato i manager comprenderanno che “i progetti cyber” (e relativi costi) sono allineati con la strategia aziendale e le risorse verranno ottimizzate facilitando il miglioramento continuo della società nel suo complesso; dall’altro, con una gestione dei rischi applicata coscienziosamente si incrementa la probabilità di sopravvivere (business continuity) a un attacco informatico, anche quando siamo comodamente seduti sul divano e/o in call con i colleghi.
Articolo a cura di Marco Zonta e Virginie Pasquon
Un tempo il compito di traghettare l'azienda verso il futuro tramite lo sviluppo di nuove…
Negli ultimi mesi causa il lento e inesorabile declino della redditività nella stipula delle Polizze…
Attiva da più di 30 anni e oggi parte del gruppo internazionale Zucchetti, Cybertec è…
Il focus sulla formazione professionale in Europa Nello spirito di favorire gli investimenti destinati a…
Nel complesso e volatile panorama aziendale odierno, le pratiche tradizionali delle supply chains non sono…
I dati sono chiari. L'Intelligenza Emotiva (EQ) è un fattore chiave di differenziazione per i…