I professionisti della sicurezza informatica sono per loro natura scettici. Il nostro lavoro consiste nel prendere tutti gli elementi che fanno funzionare tecnologicamente la società moderna, piratarli e mostrarvi che il mondo in realtà non è così sicuro, riservato e protetto come pensavate. Poi escogitiamo modi per proteggervi dalle persone che usano dolosamente le stesse abilità e curiosità per commettere crimini e mettere a rischio la riservatezza, l’integrità e la disponibilità (CIA) dei nostri sistemi e dei nostri dati.
La maggior parte di noi conosce il quoziente d’intelligenza (QI) e molti anche il quoziente d’intelligenza emotiva (QE), che mirano a misurare tali attributi. In Sophos riteniamo fondamentale valutare il nostro lavoro anche in base al suo valore, per cui abbiamo creato, e da anni gestiamo, una nostra valutazione per garantire che la qualità, il rispetto, l’integrità e il valore della ricerca e dei prodotti che produciamo soddisfino gli standard più elevati: il quoziente di cyberserietà (CQ che sta per cyberseriousness quotient).
Questo articolo è un’introduzione al concetto di CQ, ai fattori che essa gestisce nella vita lavorativa quotidiana di Sophos e ad alcuni esempi (ipotetici?) di “cosa non fare”. Nelle prossime settimane entreremo nei dettagli: come valutiamo la CQ nei nostri progetti e come la prioritizzazione della CQ funziona per noi (anche quando comporta dei passaggi in più).
Il concetto di CQ: tre categorie di pubblico
Coniata diversi anni fa da Joe Levy, presidente di Sophos Technology Group, la CQ è una valutazione qualitativa volta a garantire che i nostri clienti, il pubblico in generale e i ricercatori, possano contare sui migliori contenuti e prodotti possibili quando si riforniscono da Sophos.
Così come la sicurezza è un viaggio, e non una destinazione, la CQ è qualcosa che viviamo. È l’inizio di ogni progetto a cui lavoriamo. I cambiamenti devono essere valutati in base al fatto che aumentano la CQ del progetto, dimostrando ai nostri clienti che la loro sicurezza, la nostra conoscenza del rischio informatico e l’effettiva protezione dei loro dati sono sempre al primo posto nei nostri pensieri.
Abbiamo tutti molte esigenze in conflitto tra loro, ma è nel mantenere in equilibrio questi obiettivi spesso contrastanti che facciamo bene a noi stessi e agli altri. Per esistere e fare ricerca dobbiamo guadagnare per poter assumere le persone che producono le soluzioni che apportano valore al pianeta. So che se voglio continuare a seguire in Sophos la mia passione per la ricerca d’impatto, devo anche essere sicuro che essa abbia un valore e contribuisca alla sicurezza e alla produttività dei miei clienti, il che alla fine garantirà il pagamento delle spese sostenute per la mia ricerca.
Se invece lasciamo che le esigenze dell’azienda prevalgano su quelle dei nostri clienti, finiamo in un territorio pericoloso. Ogni giorno vengono pubblicati articoli e ricerche da parte di chi cerca di trasformare tutto in un grande problema che solo gli esperti possono aiutare a risolvere. Questo atteggiamento non giova a nessuno e, anzi, spesso porta le organizzazioni a concentrare le energie su eventi che fanno scalpore, mentre subiscono violazioni di dati da parte di chi usa tecniche meno altisonanti per comprometterli.
Per la ricerca in particolare, c’è un terzo aspetto della CQ. Spesso, la ricerca più interessante è il risultato di quella che chiamerò il “perseguimento intellettuale della felicità”. La curiosità ci condurrà lungo molti sentieri piacevoli, e la soddisfazione di svelare un complicato mistero della sicurezza è ciò che guida gran parte del nostro lavoro più importante. Per ottenere i risultati più significativi dal nostro lavoro dobbiamo essere liberi di perseguire queste curiosità e di condividere le nostre scoperte con i colleghi. Spesso questo lavoro rappresenta il CQ più elevato di tutti.
La CQ è un test che i nostri lavori presentati, dai risultati delle ricerche alle comunicazioni aziendali, devono superare per essere pubblicati. La nostra valutazione ha molte componenti, che intendiamo condividere in un post successivo. Ci aspettiamo che tutto il nostro personale lo applichi ai compiti di cui è responsabile, e alle interazioni con i nostri clienti, attraverso l’assistenza tecnica, le vendite e gli eventi di marketing a cui partecipiamo. In sostanza, deve essere un ingrediente di tutte le nostre ricette, se vogliamo che abbiano un significato.
Come funziona la CQ in pratica? Se ci muoviamo nel modo giusto, si tratta di un meccanismo virtuoso, e i principi della CQ ci guidano a realizzare progetti che abbiano al centro la qualità, il rispetto, l’integrità e il valore aggiunto. Come già detto, in un prossimo articolo illustreremo nello specifico come affrontiamo e (quando possibile) misuriamo ciascuno di questi quattro aspetti. Per ora, però, vediamo di semplificare le cose con alcuni esempi.
Alla ricerca della CQ: tre insuccessi
Per un esempio tristemente comune del tipo di problemi che la CQ cerca di evitare, immaginate che l’azienda X abbia un nuovo prodotto in procinto di essere lanciato. Troppo spesso il pubblico assiste alla pubblicazione di una “ricerca” dell’azienda X così sensazionale da attirare i titoli dei giornali. Questa ricerca viene utilizzata per generare interesse per il lancio del prodotto, ma anche un’occhiata superficiale o una grattatina alla superficie di questa cosiddetta “ricerca” svela errori di valutazione, statistiche manipolate ed omissioni.
Ecco un altro esempio. Forse avete assistito a una presentazione dell’azienda Y sulla sua nuova soluzione che blocca senza sforzo tutte le minacce: Nex-Gen Snake Oil 2023 Professional. Il total cost of ownership è inferiore del 60%, perché non sarete più infettati, non dovrete più andare a caccia di minacce e non dovrete più gestire la risposta agli incidenti. Sembra fantastico! Iscrivetevi, ok? Un piccolo inconveniente: con il 100% di rilevamento (“blocca tutte le minacce”) si ha un tasso di falsi positivi del 10%, che si traduce in un aumento del 2.000% delle chiamate di assistenza e in un calo del 20% della produttività dei dipendenti. Non è stata applicata alcuna CQ.
La CQ può essere criticamente bassa anche al di fuori del mondo del lancio di prodotti. Prima abbiamo descritto il lavoro derivante dal perseguimento intellettuale della felicità come un utile indicatore di una CQ potenzialmente elevata. In generale è vero, ma a volte il fattore “ehi, figo!” può effettivamente sminuire una CQ elevata. Immaginate un ricercatore che teorizza che cantare al vostro computer possa migliorarne la sicurezza (abbiamo sentito di peggio). (La ricerca sulla sicurezza informatica musicale potrebbe portare prima o poi a strumenti che i clienti potrebbero adottare. Tuttavia, se dichiarassimo che ” Tutti ameranno la sicurezza informatica musicale e questo ci differenzierà dai clienti!” e ne facessimo immediatamente la nuova interfaccia dei prodotti Sophos, si tratterebbe di un messaggio di bassa qualità – qualità incerta (e francamente probabilmente bassa senza una notevole quantità di ricerca interdisciplinare alla base), rispetto e integrità potenzialmente alta, ma utilità quasi sicuramente scarsa – letteralmente un messaggio di bassa qualità.
I responsabili della ricerca – il contributo di X-Ops a Sophos nel suo complesso – non devono temere di esplorare e di pensare in modo strano, ma un’elevata qualità della vita significa che anche loro devono avere la percezione di come il proprio lavoro possa rispondere alle esigenze dell’azienda e dei clienti.
Se si applicano i principi della CQ ai prodotti e alla ricerca che porta ai suddetti, questi problemi cessano di esistere. Farete ricerche che identificano i problemi reali che portano le organizzazioni a essere compromesse. Quando è il momento di annunciare un nuovo prodotto o una nuova funzionalità, avrete a disposizione una serie di ricerche a sostegno delle vostre affermazioni. Poiché la ricerca è al servizio delle esigenze reali dei clienti, non è necessario ricorrere a giochi di prestigio ed espedienti. La vostra ricerca fa progredire lo stato della sicurezza informatica in tutto il settore e fa sì che le misure di protezione dei clienti rimangano focalizzate e pertinenti, innovando in modo mirato anziché limitarsi a inserire nei prodotti funzioni “cool” o di tendenza. Il valore del lavoro parla da sé e sostiene il bene comune.
Tutto il nostro lavoro nasce da una ricerca costante dei fatti. I nostri esperti usano poi la loro esperienza per interpretare queste informazioni e stabilire una verità di base su cui gli altri possano basarsi. Le pubbliche relazioni, il marketing, la gestione dei prodotti e gli altri team lavorano a partire da questa verità di base per garantire che il loro lavoro sia in linea con ciò che sappiamo, e non il contrario.
Con canali di notizie aperti 24 ore su 24 e un panorama mediatico alla disperata ricerca di pubblicità e clic per sopravvivere, può essere allettante per i fornitori di sicurezza informatica sfruttare le peggiori paure della gente e la sete di titoli stravaganti per promuovere il proprio business. Il problema è che quando i fornitori aderiscono a questo tipo di operazioni, non solo confondono le acque, ma distraggono il pubblico dalla verità e riducono la sua capacità di rispondere alle minacce reali e concrete.
Vivere la CQ: tre esempi
Per ulteriori informazioni, seguite questo spazio per la seconda parte della nostra serie sulla CQ, in cui spiegheremo come i clienti possono utilizzare la CQ per orientarsi nell’attuale panorama della sicurezza, soprattutto quando valutano potenziali partner e fornitori. (Parleremo anche di alcune interessanti considerazioni commerciali che emergono quando la CQ fa parte del nostro lavoro quotidiano). Nel frattempo – e nel caso in cui abbiate finito con i brutti esempi ipotetici e vogliate qualche buon esempio reale – ecco alcuni progetti Sophos che indichiamo internamente come esempi di alta CQ, con alcune riflessioni sul perché:
Il blog di Sophos X-Ops – Questa è una zona senza clamore. I ricercatori sono incoraggiati a scavare in profondità, a citare ricerche non-Sophos dove appropriato, a mettere in discussione tutto e, in generale, a mostrare il loro lavoro.
- Qualità: non negoziabile. Ogni post, articolo e (presto!) video di Sophos viene controllato durante il processo di sviluppo e a più livelli dell’azienda. Inoltre, disponiamo di un team di ricercatori specializzati in infosecurity che portano in Sophos anche una vasta esperienza giornalistica e editoriale. Ogni articolo pubblicato sul blog di X-Ops è accompagnato da uno o più di questi specialisti che raccolgono i feedback tecnici e editoriali dei colleghi di Sophos e si assicurano che i risultati siano leggibili e accattivanti.
- Rispetto: il processo di verifica e pubblicazione delle ricerche richiede rigore e precisione per assicurarsi che le informazioni siano chiare, accurate e comprensibili. Inoltre, è importante mantenere un atteggiamento rispettoso durante la collaborazione, al fine di minimizzare conflitti e promuovere un clima di lavoro positivo. I ricercatori di Sophos sono incoraggiati a citare adeguatamente i colleghi, sia all’interno che all’esterno dell’azienda, che hanno contribuito al loro lavoro, riconoscendo così il valore della collaborazione e dell’apporto di tutti i partecipanti.
- Integrità: nel nostro processo di verifica prima della pubblicazione, attribuiamo grande importanza alla qualità e all’integrità delle nostre ricerche. Riconosciamo che siamo parte di una comunità più ampia di difensori e comprendiamo che nessuna ricerca nel campo dell’infosecurity avviene isolatamente. Pertanto, promuoviamo attivamente la citazione delle fonti nella nostra ricerca pubblicata, incoraggiando i ricercatori a riconoscere e attribuire adeguatamente le informazioni provenienti da altre fonti, inclusi i siti web dei concorrenti. Preferibilmente, vengono forniti link alle fonti citate per consentire ai lettori di accedere direttamente alle informazioni originali. Questo impegno per l’integrità e la corretta attribuzione contribuisce a promuovere una comunità di ricerca e difesa informatica responsabile e collaborativa.
- Utilità: a volte il lavoro che pubblichiamo è immediatamente utilizzabile, altre volte è un approfondimento di un argomento di infosecurity che è interessante o che vale la pena analizzare a fondo, sia come base per ulteriori ricerche, sia singolarmente. La cosa più utile che possiamo fare è garantire che ciò che pubblichiamo sia accurato, preciso e chiaro.
Sophos Trust Center: la fiducia va guadagnata, ma di certo non dovreste fidarvi della nostra parola. Per guadagnarci la vostra fiducia, riteniamo di dover essere il più trasparenti possibile per quanto riguarda la nostra sicurezza, le pratiche di codifica e la governance.
- Qualità: siamo certi che le nostre procedure siano all’altezza degli standard più elevati e condividiamo non solo quello che facciamo, ma anche come lo facciamo. Questo non solo è trasparente e aperto, ma può essere una guida utile per altri che cercano un punto di partenza per seguire le nostre orme.
- Rispetto: che si tratti di lavorare con penetration tester esterni o di gestire il nostro programma di bug bounty, il nostro rispetto per la comunità può essere quantificato attraverso le nostre azioni. Come ogni organizzazione, anche i nostri migliori sforzi non portano a una sicurezza perfetta. Il nostro modo migliore per migliorare continuamente è trattare la comunità dei ricercatori di sicurezza con rispetto e prendere a cuore i loro feedback.
- Integrità: nel nostro Trust Center pubblichiamo le nostre politiche aziendali in materia di etica, conformità alle normative, impatto ambientale, gestione dei dati dei clienti e altro ancora. Sebbene ci aspettiamo che tutti i dipendenti leggano e rispettino questi standard, riteniamo che debbano essere resi pubblici in modo che i nostri partner e clienti sappiano come conduciamo le nostre operazioni.
- Utilità: in molte circostanze è importante poter accedere rapidamente a ciò di cui si ha bisogno, valutando al contempo la posizione di sicurezza del partner. È anche un modo per confrontare le opzioni nella ricerca di nuovi fornitori o datori di lavoro.
L’ Active Adversary Report (il link va all’edizione di aprile 2023): giunto al terzo anno (e al momento in cui scriviamo è in fase di realizzazione la seconda delle tre edizioni del 2023), questo report riferisce ciò che i nostri team di Incident Response hanno riscontrato sul campo negli ultimi tempi.
- Qualità: le relazioni annuali di attività si basano sui dati IR raccolti in ogni fase del processo, dalle informazioni relative alla presa in carico del cliente al rapporto finale sull’incidente. Tutti i dati utilizzati nel rapporto sono scrupolosamente standardizzati prima dell’analisi, e vengono condotte revisioni multiple dei dati durante il processo di creazione di ogni relazione. Inoltre, le revisioni e le analisi precedenti sono riesaminate se i dati vengono riutilizzati (ad esempio, nell’analisi storica), per assicurarsi che siano normalizzati e analizzati secondo le migliori prassi attuali.
- Rispetto: adottiamo misure piuttosto estreme (e intraprendiamo revisioni multiple all’interno dell’azienda) per garantire che i clienti rappresentati nel report non vengano mai rivelati dai dati…
- Integrità: … ma ci impegniamo a essere il più trasparenti possibile su come lavoriamo con i dati e su quale porzione del panorama dell’infosec sia rappresentata in essi, informazioni reperibili nella sezione Metodologia inclusa alla fine delle relazioni annuali di attività a partire da quest’anno.
- Utilità: sin dal lancio nel 2021 abbiamo lavorato per trovare, in queste montagne di dati, spunti che possano aiutare i difensori che ogni giorno affrontano le minacce ai loro sistemi. Per il 2023 ci siamo resi conto che potevamo migliorare l’utilità dell’Active Adversary Report osservando i dati attraverso più lenti: dopo tutto, i responsabili aziendali, i responsabili tecnologici e i cacciatori di minacce sono tutti difensori, ma le loro esigenze informative non sono le stesse. Ed è così che un Active Adversary Report si è triplicato
La cybersecurity è più difficile che mai e, in qualità di fornitori responsabili in questo settore, dobbiamo contribuire a evidenziare i rischi maggiori e, inoltre, aiutare gli altri a comprenderli in modo che possano intervenire in modo appropriato per difendersi. La pratica della CQ ci assicura di essere sempre dalla parte giusta della linea. La cybersecurity è un business basato sulla affidabilità, e nei 38 anni in cui Sophos ha protetto le persone, abbiamo sempre messo la loro fiducia al primo posto.