La
maggior parte degli studiosi e dei responsabili politici sostengono
che il cyberspazio favorisce il reato mentre una minoranza di
studiosi non sono d'accordo. Le affermazioni approfondite
sull'equilibrio tra il reato difesa e offesa nel cyberspazio sono
fuorvianti perché un corretto bilanciamento può essere valutato
solo per quanto riguarda specifiche competenze e tecnologie
organizzative. Invece, troppo spesso si parla di equilibrio in
considerazione dei costi; ossia, si tende a valutare il saldo che un
caso o l'altro sono in grado di generare, dove per saldo si intende
il valore meno i costi delle operazioni offensive e il valore meno i
costi delle operazioni difensive. I costi delle operazioni
informatiche sono, per lo più, calcolati in base alle competenze
organizzative necessarie per creare e gestire in modo efficiente la
complessa tecnologia dell'informazione. Se guardiamo allo scenario
attuale, inoltre, il successo di un'attività offensiva deriva,
principalmente, dalla cattiva gestione difensiva e dagli obiettivi
relativamente più semplici che un'attività offensiva ha. Infatti si
parla di asimmetria del fenomeno cyber proprio per la straordinaria
differenza che c'è tra chi attacca e chi difende. Ovviamente non è
sempre così.
Per
fare un esempio, un'analisi empirica mostra che gli attacchi
informatici basati su Stuxnet alle strutture nucleari iraniane, molto
probabilmente, sono costati all'attaccante molto più che alla
difesa. Però, i benefici percepiti sia dall'attaccante e, di contro,
i danni percepiti dal difensore, erano probabilmente di due ordini di
grandezza superiori ai costi realmente sostenuti, il che rende
improbabile che i decisori si concentrassero sui costi.
In
questo articolo, però, non vorrei concentrarmi sui costi che ho
usato come cappello introduttivo, semplicemente per provare a rendere
più "allettante" l'argomento e, forse, più alla portata
di tutti. Ciò su cui mi voglio concentrare, invece, è il fatto di
provare a ragionare secondo schemi differenti in cui la difesa
informatica possa venire utilizzata in modo intelligente per
attribuire il giusto valore agli oggetti più preziosi di ogni
organizzazione, dopo le persone 😁: dati e informazioni.
Negli ultimi anni, le tecnologie di difesa informatica si sono evolute
rapidamente per aiutare le aziende a proteggere le loro reti,
limitare l'accesso e prevenire la perdita di dati. E il mercato ha
assistito ad una escalation importante da questo punto di vista.
Bene; e se ora provassimo a pensare diversamente? E se si iniziassero
a sfruttare tutti i principi utilizzati nelle nostre strategie
difensive di sicurezza dei dati al fine di adottare un approccio più proattivo?
In sostanza, cosa succederebbe se ci
mettessimo nell'ottica di pensare come pensano gli hacker, non solo
per contrastarli ma anche per attribuire il giusto valore “ai beni
da proteggere”?
Ciò che intendo dire é che dati e informazioni
hanno un valore che,
se reso evidente attraverso strumenti e policy di information e knowledge management, possono aiutare
i tecnici a difendere in modo differenziato “beni” di valore
differente e possono aiutare i CIO e CISO a chiedere le risorse
necessarie in proporzione al “valore” da proteggere.
Alcuni
strumenti e tecnologie di sicurezza dei dati possono effettivamente
fornire una migliore visibilità in merito all'attività quotidiana
e ci possono aiutare a scoprire il reale valore di tutti i dati che
abbiamo protetto. Infatti, adottare un approccio di questo tipo può
in ultima analisi condurre le imprese verso una maggiore
consapevolezza dei dati che hanno tra le mani e, perché no, anche ad
una maggiore efficienza, a nuove idee e ad una crescita.
Machine
Learning e Intelligenza Artificiale
Le
organizzazioni hanno cominciato ad adottare soluzioni di
apprendimento automatico e di intelligenza artificiale (AI)
nell'analisi dei dati e nella gestione dei dati stessi da un po' di
tempo a questa parte. Perché non applicare queste tecnologie nel
nostro approccio alla sicurezza dei dati al fine di estrarre un
valore aziendale simile?
Molti
strumenti di protezione dei dati, utilizzati in modo difensivo,
consentono di identificare e catalogare le informazioni nei sistemi
di rete per comprendere meglio i diversi livelli di sensibilità di
tali dati. L'apprendimento automatico e i metadati applicati durante
questo processo consentono di portare questa comprensione a un
livello più approfondito creando un contesto intorno ai dati che
consente alle organizzazioni di impostare criteri di sicurezza
più personalizzati per la gestione delle informazioni.
Queste
pratiche di gestione delle informazioni, in genere,
rientrano ancora nel regno della difesa informatica - si sta reagendo
per proteggere i dati contro la criminalità informatica. Tuttavia,
le tecnologie di protezione dei dati che utilizzano i metadati
consentono di contrassegnare i dati con vari dettagli e assegnare
categorie per estrarne il valore reale. Conoscere il
contesto più profondo intorno ai dati
permette l’impiego di strategie e strumenti di protezione
dei dati differenziati così da permettere al business di spingersi
molto più in là del consueto.
Poiché
le tecnologie di protezione dei dati rivelano il contesto più ampio
dei dati, tale contesto offre ai professionisti della sicurezza dei
dati un nuovo modo di parlare con i leader esecutivi
dell'organizzazione. In sintesi, possono mostrare quanto sia
prezioso un dato specifico , oltre a determinare quali dati siano
realmente critici (e dovrebbero avere una protezione più rigorosa) e
quali dati sono adatti per il consumo pubblico (e non necessitano di
protezione avanzata).
Misurazione,
monetizzazione e gestione dei dati
Quanti
parlano dei dati come "il nuovo petrolio". In fondo, questa
affermazione è diventata uno slogan. Come possiamo, però,
realmente, quantificare il valore di questa nuova merce? Se riusciamo
a classificare i nostri dati usando i metadati e cominciamo a capire
il contesto intorno ad esso, il suo valore inizierà ad emergere.
Potremmo
cominciare, quando produciamo un documento, con il porci delle
domande differenti.
- Si tratta di un documento riservato o é di libero accesso?
- è stato taggato da qualcuno in R&d?
- Si tratta di un documento riservato che è stato taggato da qualcuno in finanza?
- Si tratta di informazioni finanziarie di natura patrimoniale o rappresentano, semplicemente, un rendiconto del flusso di cassa?
- Per quanto tempo deve essere conservato?
E cosi via...
Supponiamo
che si possano identificare, nel proprio sistema, 10.000 documenti
contenenti dati R&D . Se si conosce il contesto intorno a quei
documenti, si può iniziare a capire quanto vale ognuno di quei
documenti oppure qual è il rischio finanziario per l'azienda in caso
di perdita o furto.
Alcuni
file e documenti contengono informazioni personali o informazioni
sanitarie personali (PHI). I rischi finanziari legati a questo tipo
di dati hanno più a che fare con le multe di inosservanza, la
possibile responsabilità monetaria per clienti e dipendenti e i
costi per superare i danni inerenti la reputazione del marchio. Altri
documenti contengono dati che potrebbero stimolare l'innovazione e la
crescita del business e il rischio finanziario può essere calcolato
in base alle potenziali opportunità di guadagno.
Tramite
i tag di metadati su altri tipi di file, e-mail e documenti, si
possono ottenere ulteriori informazioni sui clienti o sui cicli di
vendita. Ad esempio, se un'azienda ha un buon trimestre, si può
guardare a ritroso per scoprire quante volte la parola "citazione"
o "RFP" è apparsa nelle e-mail e nei documenti negli
ultimi tre mesi e iniziare a prevedere i risultati del trimestre
successivo.
Secondo
la ricerca Gartner, entro il 2022, il 90% delle strategie aziendali
menzionerà esplicitamente le informazioni come un asset aziendale
critico. Attualmente, però, Gartner dice, "... la maggior parte
delle informazioni e i business leader mancano delle informazioni e
degli strumenti per monetizzare le informazioni ... perché il valore
delle informazioni stesse è ancora in gran parte non riconosciuto,
anche se il valore di altri beni immateriali, come i diritti
d'autore, i marchi e i brevetti, viene misurato e riportato."
La
monetizzazione delle informazioni fa parte della tendenza più ampia
verso l'"infonomics", un termine coniato da Gartner per
descrivere la disciplina dell'attribuzione di importanza economica
all'informazione, nonostante i limiti degli attuali standard
contabili. Sempre secondo Gartner, Infonomics identifica anche "i
costi tangibili e intangibili di gestione, archiviazione, analisi e
protezione dei dati".
Le
aziende che misurano il valore dei propri dati possono effettuare
investimenti più intelligenti in iniziative correlate ai dati
stessi. Monetizzando i dati, le organizzazioni possono creare
flussi di entrate supplementari, introdurre una nuova linea di
business, ottenere efficienze nelle pratiche aziendali quotidiane e
altro ancora.
Una
strategia di protezione dei dati che estrae in modo proattivo
il valore dai dati protetti pone l'IT in una nuova posizione di
consulenza con la leadership esecutiva. Le conversazioni
cambiano drasticamente. Invece di dire semplicemente, "Abbiamo
un sacco di dati sensibili, e abbiamo bisogno di proteggerli,"
si può andare dai leader aziendali e dire, "Hey abbiamo circa
un miliardo di dollari di dati e dovremmo gestirli adeguatamente,
valorizzarli e proteggerli visto che, probabilmente, non lo stiamo
facendo."
Non
possiamo farcela da soli
Estrarre
valore non è qualcosa che gli esseri umani possono fare da soli con
un alto grado di precisione, e quando si tratta di sicurezza dei
dati, la precisione è fondamentale, indipendentemente dal fatto che
si stia tenendo un approccio difensivo o offensivo.
Se si ha intenzione di fornire un livello di profondità intorno ai
dati per proteggerli correttamente o per determinarne il valore,
bisogna essere precisi.
Il
training e la riqualificazione degli algoritmi di apprendimento
automatico per riconoscere le categorie di dati personalizzati,
l'accuratezza e la profondità del contesto intorno alle informazioni
si espandono in modo esponenziale. Nel corso del tempo, gli utenti si
abitueranno a taggare i dati con dettagli sempre più specifici per
spiegarne il contesto; il che farà in modo di aumentarne il valore a
dismisura. È l'esempio perfetto di esseri umani e tecnologie che
lavorano in modo intelligente insieme.
Non
solo i comportamenti relativi alla gestione delle informazioni
possono diventare più specifici per un'azienda, proteggendo i dati
ai livelli appropriati e soddisfacendo i requisiti di conformità
alla sicurezza, ma si può iniziare a comprendere i dati, o per
meglio dire l’informazione e la conoscenza, come un
vero e proprio asset aziendale con la possibilità di portare il
business ad un livello più alto di efficienza e successo.
Nessun commento:
Posta un commento