La maggior parte degli studiosi e dei responsabili politici sostiene che il cyberspazio favorisca l'illegalità mentre una minoranza di studiosi non è d'accordo. Le affermazioni approfondite sull'equilibrio tra un reato in difesa e in offesa nel cyberspazio sono fuorvianti perché un corretto bilanciamento può essere valutato solo per quanto riguarda specifiche competenze e tecnologie organizzative.
Troppo spesso si parla di equilibrio in considerazione dei costi: si tende a valutare il saldo che un caso o l'altro sono in grado di generare (dove per "saldo" si intende il valore meno i costi delle operazioni offensive e il valore meno i costi delle operazioni difensive). I costi delle operazioni informatiche sono, per lo più, calcolati in base alle competenze organizzative necessarie per creare e gestire in modo efficiente la complessa tecnologia dell'informazione.
Se guardiamo allo scenario attuale, il successo di un'attività offensiva deriva, principalmente, dalla cattiva gestione difensiva e dagli obiettivi relativamente più semplici che un'attività offensiva ha. Si parla infatti di "asimmetria" del fenomeno cyber proprio per la straordinaria differenza che c'è tra chi attacca e chi difende. Ovviamente non è sempre così.
Per fare un esempio, un'analisi empirica mostra che gli attacchi informatici basati su Stuxnet alle strutture nucleari iraniane, molto probabilmente, sono costati all'attaccante molto più che alla difesa. Però, i benefici percepiti sia dall'attaccante e, di contro, i danni percepiti dal difensore, erano probabilmente di due ordini di grandezza superiori ai costi realmente sostenuti, il che rende improbabile che i decisori si concentrassero sui costi.
In questo articolo, però, non vorrei concentrarmi sui costi che ho usato come cappello introduttivo, semplicemente per provare a rendere più "allettante" l'argomento e, forse, più alla portata di tutti.
Ciò su cui mi voglio concentrare è il fatto di provare a ragionare secondo schemi differenti in cui la difesa informatica possa venire utilizzata in modo intelligente per attribuire il giusto valore agli oggetti più preziosi di ogni organizzazione, dopo le persone: dati e informazioni.
Negli ultimi anni, le tecnologie di difesa informatica si sono evolute rapidamente per aiutare le aziende a proteggere le loro reti, limitare l'accesso e prevenire la perdita di dati. E il mercato ha assistito ad una escalation importante da questo punto di vista.
Se ora provassimo a pensare diversamente? Se si iniziassero a sfruttare tutti i principi utilizzati nelle nostre strategie difensive di sicurezza dei dati al fine di adottare un approccio più proattivo? In sostanza, cosa succederebbe se ci mettessimo nell'ottica di pensare come pensano gli hacker, non solo per contrastarli ma anche per attribuire il giusto valore “ai beni da proteggere”?
Ciò che intendo dire é che dati e informazioni hanno un valore che, se reso evidente attraverso strumenti e policy di information e knowledge management, possono aiutare i tecnici a difendere in modo differenziato “beni” di valore differente e possono aiutare i CIO e CISO a chiedere le risorse necessarie in proporzione al “valore” da proteggere.
Alcuni strumenti e tecnologie di sicurezza dei dati possono effettivamente fornire una migliore visibilità in merito all'attività quotidiana e ci possono aiutare a scoprire il reale valore di tutti i dati che abbiamo protetto. Infatti, adottare un approccio di questo tipo può in ultima analisi condurre le imprese verso una maggiore consapevolezza dei dati che hanno tra le mani e, perché no, anche ad una maggiore efficienza, a nuove idee e ad una crescita.
Machine Learning e Intelligenza Artificiale
Le organizzazioni hanno cominciato ad adottare soluzioni di apprendimento automatico e di intelligenza artificiale (AI) nell'analisi dei dati e nella gestione dei dati stessi da un po' di tempo a questa parte. Perché non applicare queste tecnologie nel nostro approccio alla sicurezza dei dati al fine di estrarre un valore aziendale simile?
Molti strumenti di protezione dei dati, utilizzati in modo difensivo, consentono di identificare e catalogare le informazioni nei sistemi di rete per comprendere meglio i diversi livelli di sensibilità di tali dati. L'apprendimento automatico e i metadati applicati durante questo processo consentono di portare questa comprensione a un livello più approfondito creando un contesto intorno ai dati che consente alle organizzazioni di impostare criteri di sicurezza più personalizzati per la gestione delle informazioni.
Queste pratiche di gestione delle informazioni, in genere, rientrano ancora nel regno della difesa informatica - si sta reagendo per proteggere i dati contro la criminalità informatica. Tuttavia, le tecnologie di protezione dei dati che utilizzano i metadati consentono di contrassegnare i dati con vari dettagli e assegnare categorie per estrarne il valore reale. Conoscere il contesto più profondo intorno ai dati permette l’impiego di strategie e strumenti di protezione dei dati differenziati così da permettere al business di spingersi molto più in là del consueto.
Poiché le tecnologie di protezione dei dati rivelano il contesto più ampio dei dati, tale contesto offre ai professionisti della sicurezza dei dati un nuovo modo di parlare con i leader esecutivi dell'organizzazione. In sintesi, possono mostrare quanto sia prezioso un dato specifico, oltre a determinare quali dati siano realmente critici (e dovrebbero avere una protezione più rigorosa) e quali dati sono adatti per il consumo pubblico (e non necessitano di protezione avanzata).
Misurazione, monetizzazione e gestione dei dati
Quanti parlano dei dati come "il nuovo petrolio"?! In fondo, questa affermazione è diventata uno slogan. Come possiamo, però, realmente, quantificare il valore di questa nuova merce? Se riusciamo a classificare i nostri dati usando i metadati e cominciamo a capire il contesto intorno ad esso, il valore inizierà ad emergere.
Potremmo cominciare, quando produciamo un documento, con il porci delle domande differenti:
- Si tratta di un documento riservato o é di libero accesso?
- È stato taggato da qualcuno in R&d?
- Si tratta di un documento riservato che è stato taggato da qualcuno in finanza?
- Si tratta di informazioni finanziarie di natura patrimoniale o rappresentano, semplicemente, un rendiconto del flusso di cassa?
- Per quanto tempo deve essere conservato?
E cosi via...
Supponiamo che si possano identificare, nel proprio sistema, 10.000 documenti contenenti dati R&D. Se si conosce il contesto intorno a quei documenti, si può iniziare a capire quanto vale ognuno di quei documenti oppure qual è il rischio finanziario per l'azienda in caso di perdita o furto.
Alcuni file e documenti contengono informazioni personali o informazioni sanitarie personali (PHI). I rischi finanziari legati a questo tipo di dati hanno più a che fare con le multe di inosservanza, la possibile responsabilità monetaria per clienti e dipendenti e i costi per superare i danni inerenti la reputazione del marchio. Altri documenti contengono dati che potrebbero stimolare l'innovazione e la crescita del business e il rischio finanziario può essere calcolato in base alle potenziali opportunità di guadagno.
Tramite i tag di metadati su altri tipi di file, e-mail e documenti, si possono ottenere ulteriori informazioni sui clienti o sui cicli di vendita. Ad esempio, se un'azienda ha un buon trimestre, si può guardare a ritroso per scoprire quante volte la parola "citazione" o "RFP" è apparsa nelle e-mail e nei documenti negli ultimi tre mesi e iniziare a prevedere i risultati del trimestre successivo.
Secondo la ricerca Gartner, entro il 2022, il 90% delle strategie aziendali menzionerà esplicitamente le informazioni come un asset aziendale critico. Attualmente, però, Gartner dice, "...la maggior parte delle informazioni e i business leader mancano delle informazioni e degli strumenti per monetizzare le informazioni ...perché il valore delle informazioni stesse è ancora in gran parte non riconosciuto, anche se il valore di altri beni immateriali, come i diritti d'autore, i marchi e i brevetti, viene misurato e riportato."
La monetizzazione delle informazioni fa parte della tendenza più ampia verso l'infonomics, un termine coniato da Gartner per descrivere la disciplina dell'attribuzione di importanza economica all'informazione, nonostante i limiti degli attuali standard contabili. Sempre secondo Gartner, Infonomics identifica anche "i costi tangibili e intangibili di gestione, archiviazione, analisi e protezione dei dati".
Le aziende che misurano il valore dei propri dati possono effettuare investimenti più intelligenti in iniziative correlate ai dati stessi. Monetizzando i dati, le organizzazioni possono creare flussi di entrate supplementari, introdurre una nuova linea di business, ottenere efficienze nelle pratiche aziendali quotidiane e altro ancora.
Una strategia di protezione dei dati che estrae in modo proattivo il valore dai dati protetti pone l'IT in una nuova posizione di consulenza con la leadership esecutiva. I parametri cambiano drasticamente: invece di dire semplicemente, "Abbiamo un sacco di dati sensibili, e abbiamo bisogno di proteggerli", si può andare dai leader aziendali e dire, "Hey! Abbiamo circa un miliardo di dollari di dati e dovremmo gestirli adeguatamente, valorizzarli e proteggerli visto che, probabilmente, non lo stiamo facendo."
Non possiamo farcela da soli
Estrarre valore non è qualcosa che gli esseri umani possono fare da soli con un alto grado di precisione, e quando si tratta di sicurezza dei dati, la precisione è fondamentale, indipendentemente dal fatto che si stia tenendo un approccio difensivo o offensivo. Se si ha intenzione di fornire un livello di profondità intorno ai dati per proteggerli correttamente o per determinarne il valore, bisogna essere precisi.
Il training e la riqualificazione degli algoritmi di apprendimento automatico per riconoscere le categorie di dati personalizzati, l'accuratezza e la profondità del contesto intorno alle informazioni si espandono in modo esponenziale. Nel corso del tempo, gli utenti si abitueranno a taggare i dati con dettagli sempre più specifici per spiegarne il contesto; il che farà in modo di aumentarne il valore a dismisura. È l'esempio perfetto di esseri umani e tecnologie che lavorano in modo intelligente insieme.
Non solo i comportamenti relativi alla gestione delle informazioni possono diventare più specifici per un'azienda, proteggendo i dati ai livelli appropriati e soddisfacendo i requisiti di conformità alla sicurezza, ma si può iniziare a comprendere i dati, o per meglio dire l’informazione e la conoscenza, come un vero e proprio asset aziendale con la possibilità di portare il business ad un livello più alto di efficienza e successo.
Foto: web