Affinché i progetti di sicurezza informatica (cyber security) siano efficaci è necessario implementare una solida pratica di gestione dei progetti. Un team di Project Management con esperienza può aiutare a garantire che i progetti vengano eseguiti senza intoppi (o, quantomeno, mitigandone il numero il più possibile), rispettando il budget e siano completati entro i tempi concordati.
5 fattori per ottimizzare un progetto con la cyber security
Esecuzione del progetto ottimizzata
Secondo una survey di McKinsey & Co., “I manager hanno scoperto che l’adesione ai metodi di gestione dei progetti ha ridotto rischi, costi e migliorato le probabilità di avere successo”. I vantaggi commerciali di un Project Management Office (PMO) sono ovvi, ma il mindset del project manager può aiutare un progetto di cyber security ad avere programma e un budget proprio (e non una percentuale di quello IT).
Il PM farà in modo che il progetto abbia risultati chiaramente definiti, che venga eseguito tenendo conto dei risultati concordati e che i relativi risultati, i cambiamenti e le fasi importanti siano comunicati a tutte le parti interessate in modo tempestivo.
Allineamento strategico
Affinché un progetto abbia successo, questo deve essere allineato alla strategia aziendale e ai suoi obiettivi. Se non c’è allineamento è probabile che non si sia in grado di dimostrarne l’efficacia e l’importanza.
Per avviare correttamente un’iniziativa di cybersecurity, il PM deve essere consapevole della quantità e dell’importanza dei dati trattati, della loro collocazione nel database, della loro vulnerabilità e dell’applicabilità dei requisiti normativi. Un project manager nel mondo cyber-security può assicurarsi che i progetti e/o i programmi vengano eseguiti tenendo conto degli obiettivi aziendali, ma soprattutto che questi possano fornire un ritorno dell’investimento misurabile (ROI).
Allocazione ottimizzata delle risorse
La carenza di competenze nella sicurezza informatica ha raggiunto un livello record negli ultimi anni e si prevede che peggiorerà nei prossimi anni (se sei una delle poche aziende fortunate con risorse di sicurezza informatica qualificate, saprai che il loro tempo è molto limitato). Poiché sarà in grado di ottimizzare l’allocazione delle risorse, garantire che i critici lavorino su progetti stabili e assicurare che i compiti giusti siano assegnati alle risorse giuste, il project manager è una figura fittizia.
Ottimizzando le risorse, si può garantire che i progetti cybersec siano eseguiti tenendo conto delle prestazioni ottimali e che le capacità delle risorse siano enfatizzate.
Miglioramento continuo
Una solida pratica di gestione dei progetti nel mondo cyber-security può aiutare l’organizzazione a imparare dagli errori, evitare che simili errori si ripresentino in futuro e facilitare quindi il miglioramento continuo di persone, processi, procedure e progetti.
Spesso trascurata durante la pianificazione, la produzione di una documentazione adeguata non servirà solo a posteriori come business intelligence, ma consentirà anche di risparmiare tempo e risorse per progetti simili in futuro.
Risoluzione dei problemi e gestione del rischio
L’approccio del project management è importante perché garantisce che i rischi del progetto siano gestiti, mitigati e comunicati correttamente.
Prima dell’inizio di un progetto cyber-sec, un buon project manager identificherà ed elencherà i potenziali rischi del progetto, li comunicherà alle principali parti interessate e fornirà/valuterà se il progetto debba essere eseguito o meno. Una volta avviato il progetto, un project manager terrà conto di questi rischi, ne valuterà ulteriori periodicamente e terrà informate tutte le parti coinvolte.
In caso di problemi, il project manager può fungere da mediatore non solo tra i team interni ed esterni, ma anche tra i team stessi. Avere una risorsa obiettiva coinvolta nel progetto assicurerà che potenziali problemi (come ritardi, confusione sui risultati finali, deviazioni di budget) vengano scoperti, affrontati e risolti in modo professionale e tempestivo.
Un punto di vista tecnico
Da un punto di vista tecnico, una delle cose più importanti per la creazione di programmi di sicurezza è che tutti i membri del team comprendano i fondamenti della gestione dei progetti. Le connessioni tra una struttura di divisione del lavoro (WBS) e un Piano d’azione e pietre miliari (POA&M) mostrano come la sicurezza e la gestione dei progetti siano più frequenti di quanto si possa pensare.
Il termine POA&M proviene dal National Institute of Standards and Technology (NIST) SP800-18, che spiega i tipi di documentazione inclusi nel piano generale sulla sicurezza delle informazioni (ISP- Information Security Policy). Le due parti più importanti dell’ISP sono i ruoli e la politica di responsabilità, il piano d’azione e le milestones. Questi sono fondamentali per avvicinarsi alle best practices del settore: senza POA&M il programma di sicurezza di un’organizzazione rimarrà non ottimale. However, professionals in cyber security must recognize its significance. La WBS invece si riferisce a una scomposizione strutturata: è una suddivisione analitica di un progetto in parti elementari.
Probabilmente era molto più semplice distinguere un’organizzazione dalle violazioni e dagli incidenti nel contesto della sicurezza delle informazioni. Al giorno d’oggi e forse ancora di più in questo momento, le aziende fanno fatica a tenere il passo con la elevata quantità di minacce alla sicurezza, malware, attacchi informatici e furto di informazioni: se a questo si aggiunge la criticità legata al lockdown e al COVID-19, tutto questo viene amplificato. Ciò significa anche che le misure di sicurezza devono tenere il passo con la crescente compiacenza delle autorità preposte alla sicurezza delle informazioni e che gli amministratori IT devono essere responsabili nei confronti dei proprietari delle aziende.
