A ogni ciclo di budget si ripete la stessa scena nelle organizzazioni con cui lavoriamo. Il responsabile della sicurezza prepara la richiesta per il programma di Cybersecurity awareness, la presenta con tassi di clic e corsi completati, e il direttore finanziario ascolta con cortesia prima di approvare il minimo indispensabile. Il CFO capisce il rischio. Ci\u00f2 che non gli arriva \u00e8 una cifra nella lingua che parla ogni giorno per allocare il capitale.<\/p>\n
Dirigo il team di ingegneria di SMARTFENSE e il mio compito \u00e8 pensare a come i dati del programma arrivano a chi decide. Da quella posizione vedo che il problema raramente \u00e8 l\u2019importo richiesto. \u00c8 la lingua. Il responsabile della sicurezza parla di comportamento e il CFO ragiona in perdite attese, ritorno e costo evitato. Finch\u00e9 la richiesta non viene tradotta in quella valuta, compete in svantaggio rispetto a ogni progetto che invece \u00e8 arrivato espresso in euro.<\/p>\n
Ecco come funziona quella traduzione, quali condizioni deve soddisfare il dato perch\u00e9 il CFO lo prenda sul serio, e perch\u00e9 la paura \u00e8 l\u2019argomento peggiore per sostenere una voce di budget.<\/p>\n
Perch\u00e9 un tasso di clic non \u00e8 una cifra finanziaria. Il CFO ordina ogni richiesta dell\u2019organizzazione confrontando il capitale che consuma con il valore che restituisce, e per questo servono numeri nella stessa unit\u00e0. Una percentuale di comportamento lo costringe a fare lui stesso la conversione in denaro, e raramente ha il contesto per farla bene.<\/p>\n
Quando la richiesta di awareness arriva come \u201cabbiamo dimezzato il tasso di clic\u201d, il CFO non sa quanto vale quel cambiamento. Non perch\u00e9 non lo capisca, ma perch\u00e9 nessuno gli ha detto quanto rischio monetario rappresenta ogni punto. La richiesta dell\u2019unit\u00e0 di business accanto, invece, arriva gi\u00e0 con il suo ritorno calcolato. La decisione pende da sola verso chi ha fatto il lavoro di traduzione.<\/p>\n
Il responsabile della sicurezza spesso legge quell\u2019esito come una mancanza di impegno del comitato verso la cybersecurity. La mia lettura, dal lato dei dati, \u00e8 pi\u00f9 semplice. Il comitato alloca ci\u00f2 che pu\u00f2 confrontare, e un programma descritto con metriche di attivit\u00e0 \u00e8 proprio ci\u00f2 che non si pu\u00f2 confrontare con il resto del budget.<\/p>\n
\u00c8 l\u00ec che appare il primo errore di inquadramento. Finch\u00e9 la richiesta viaggia con l\u2019etichetta di Cybersecurity awareness, il comitato la archivia come una spesa di attivit\u00e0 che si ripete ogni anno. La gestione del rischio umano (Human Risk Management) imposta le cose in modo diverso. Tratta il comportamento delle persone come un rischio misurabile, che si gestisce e si riduce con un numero che il CFO pu\u00f2 seguire trimestre dopo trimestre. Cambiare l\u2019etichetta fa un lavoro reale, perch\u00e9 sposta la conversazione dal terreno dell\u2019attivit\u00e0 a quello del rischio, dove il CFO alloca il capitale.<\/p>\n
Quantificare il rischio umano in linguaggio finanziario significa esprimere l\u2019esposizione dell\u2019organizzazione agli errori delle sue persone come una perdita monetaria attesa. \u00c8 la probabilit\u00e0 che si verifichi un incidente originato da una persona, moltiplicata per il costo stimato di quell\u2019incidente, e il modo in cui quel numero si muove quando si investe nel programma.<\/p>\n
Non \u00e8 un esercizio di precisione contabile. Nessuno si aspetta che il responsabile della sicurezza azzecchi il costo esatto di una violazione che non \u00e8 ancora avvenuta. Ci\u00f2 di cui il CFO ha bisogno \u00e8 direzione e ordine di grandezza: se stiamo parlando di un\u2019esposizione di decine di migliaia o di diversi milioni, e se l\u2019investimento proposto muove quel numero in modo sostanziale o marginale.<\/p>\n
La differenza rispetto al report abituale \u00e8 di inquadramento. Il report operativo descrive ci\u00f2 che \u00e8 successo nell\u2019ultima campagna. La cifra finanziaria descrive ci\u00f2 che \u00e8 in gioco in avanti e ci\u00f2 che cambia a seconda della decisione presa in quella riunione. Uno guarda allo specchietto retrovisore, l\u2019altra attraverso il parabrezza, e il CFO guida guardando avanti.<\/p>\n
La traduzione ha cinque passaggi, e nessuno richiede di inventare dati. Richiede di collegare quelli che hai gi\u00e0 a una fonte di costo credibile.<\/p>\n
Nessuno di questi passaggi richiede un modello finanziario sofisticato. Richiede la disciplina di non saltare la traduzione e di non riempire con cifre inventate i vuoti dove manca il dato.<\/p>\n
Si chiede mostrando il costo del non decidere, non la catastrofe. La paura ottiene un\u2019approvazione una tantum il giorno in cui appare un titolo su un attacco, e svanisce al ciclo successivo. Un controfattuale quantificato ottiene qualcosa di pi\u00f9 prezioso, una voce di budget che regge anche quando in quel trimestre non \u00e8 successo nulla di grave.<\/p>\n
La domanda che sposta di pi\u00f9 l\u2019ago mette da parte il \u201ccosa succede se ci attaccano?\u201d e punta ad altro, \u201ccome evolve la nostra perdita attesa se non facciamo nulla nel prossimo anno?\u201d. Quella proiezione obbliga a trattare la gestione del rischio umano come un asset che si deprezza se non viene mantenuto, e d\u00e0 al CFO esattamente il tipo di ragionamento con cui \u00e8 a suo agio. Il costo dell\u2019inazione, messo in numeri, pesa pi\u00f9 di qualsiasi scenario drammatico.<\/p>\n
Costruire quell\u2019argomento \u00e8 lavoro da business case, non da allarme. Se vuoi approfondire come ottenere il sostegno del vertice senza appoggiarti allo spavento, abbiamo scritto su come ottenere il sostegno del vertice con i business case<\/a>. La logica \u00e8 la stessa di qualsiasi investimento: confrontare il costo di agire con il costo di non farlo.<\/p>\n Tutta questa traduzione crolla se il numero di partenza arriva vecchio o costa una settimana di lavoro da assemblare. Perch\u00e9 il responsabile della sicurezza possa sedersi davanti al CFO con una perdita attesa difendibile, il programma ha bisogno di tre cose: un rischio umano aggregato che si aggiorni da solo, la capacit\u00e0 di proiettare quel numero in avanti, e la possibilit\u00e0 di rispondere a una nuova domanda nella stessa riunione senza tornare al foglio di calcolo.<\/p>\n Quella freschezza del dato \u00e8 un problema di piattaforma prima che di criterio. Sul primo punto, cosa misurare per arrivare a un rischio umano aggregato che abbia senso, abbiamo gi\u00e0 scritto in dettaglio: vale la pena leggere se il tuo programma di awareness sta misurando ci\u00f2 che conta<\/a>. Sul secondo, come quel dato arriva fresco al comitato senza quattro ore di tabelle pivot, lo abbiamo raccontato dal lato dell\u2019ingegneria in perch\u00e9 il report di awareness arriva tardi al comitato<\/a>.<\/p>\n Quel livello di risposta in tempo reale lo risolviamo in SMARTFENSE con una funzionalit\u00e0 che chiamiamo Insight Agent, oggi nella sua fase di early adopter. Permette di formulare in linguaggio naturale la domanda che il CFO ha appena posto e ottenere la cifra e la sua sensibilit\u00e0 senza ricostruire il report. Il protagonista di questa conversazione resta la traduzione del rischio in denaro, che \u00e8 criterio umano. La piattaforma si occupa solo di rendere disponibile il numero che sostiene quella traduzione quando serve e non due settimane dopo. Se vuoi vederlo sui tuoi dati, scrivici per unirti al programma<\/a> o scopri il resto della piattaforma<\/a>.<\/p>\n Il responsabile della sicurezza che esce dalla riunione del comitato con meno budget di quello che ha chiesto raramente ha perso per mancanza di argomenti tecnici. Ha perso perch\u00e9 ha presentato in una valuta che il CFO non usa per allocare il capitale. Tradurre il rischio umano in perdita attesa non garantisce un s\u00ec. Ma mette la conversazione sull\u2019unico terreno dove il s\u00ec \u00e8 possibile.<\/p>\n Cosa significa quantificare il rischio umano in linguaggio finanziario?<\/strong> Perch\u00e9 il CFO non approva budget di awareness presentati con i tassi di clic?<\/strong> Quale fonte usare per stimare il costo di un incidente?<\/strong> Come si chiede un budget di cybersecurity senza ricorrere alla paura?<\/strong> Come tradurre il rischio umano in linguaggio finanziario perch\u00e9 il CFO approvi il budget di awareness, senza ricorrere alla paura. Dal CTO di SMARTFENSE.<\/p>\n","protected":false},"author":4,"featured_media":42812,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3,339],"tags":[344,2277,390,2282,2198,2201,2168],"class_list":["post-42816","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-awareness-it","tag-budget","tag-ciso-it","tag-gestione-del-rischio-umano","tag-programa-de-concienciacion","tag-reporting-en-tiempo-real","tag-riesgo-humano"],"acf":[],"yoast_head":" \nQuali dati della piattaforma sostengono quella conversazione?<\/h2>\n
\nDomande frequenti<\/h2>\n
\nSignifica esprimere l\u2019esposizione dell\u2019organizzazione agli errori delle sue persone come una perdita monetaria attesa: la probabilit\u00e0 di un incidente originato da una persona moltiplicata per il suo costo stimato, e come quel numero cambia con l\u2019investimento nel programma di gestione del rischio umano.<\/p>\n
\nPerch\u00e9 un tasso di clic non \u00e8 nell\u2019unit\u00e0 che il CFO usa per confrontare le richieste. Alloca il capitale confrontando il costo con il valore restituito, e una percentuale di comportamento lo costringe a tradurre in denaro senza il contesto per farlo. La richiesta che arriva gi\u00e0 convertita in perdita evitata compete meglio.<\/p>\n
\nConviene ancorare il costo a un report pubblico e neutrale come il Cost of a Data Breach di IBM o il Verizon Data Breach Investigations Report, scegliendo il valore del settore e della regione pertinenti. Una fonte esterna riconosciuta genera pi\u00f9 fiducia di una cifra interna.<\/p>\n
\nMostrando il costo del non decidere invece della catastrofe. Un controfattuale quantificato, di quanto cresce la perdita attesa se non si investe nel prossimo ciclo, sostiene una voce di budget stabile, mentre la paura ottiene solo approvazioni una tantum che svaniscono il trimestre successivo.<\/p>\n","protected":false},"excerpt":{"rendered":"