Quali sono i KPI del vulnerability managament e come misurarli

Il successo di ogni azienda si fonda su attività strategiche e operative imprescindibili. I controlli di sicurezza sono studiati per proteggere tali attività e assicurare la continuità delle operazioni aziendali e il raggiungimento degli obiettivi strategici. Tuttavia, un approccio statico, basato sul principio “install and forget”, offre scarse garanzie di protezione. Nell’attuale panorama digitale anche una singola falla di sicurezza può causare violazioni di dati con conseguenze significative. Problemi come il , la proliferazione dei server ed errori di configurazione tendono a proliferare come erbacce. Senza un monitoraggio continuo, i team di sicurezza rischiano di non individuare queste problematiche, lasciando agli aggressori l’opportunità di sfruttarle. Per questo motivo, i framework di sicurezza informatica devono essere concepiti come processi iterativi, che includano monitoraggio continuo, audit regolari e miglioramenti costanti.

I responsabili della sicurezza dovrebbero chiedersi: cosa deve misurare la nostra organizzazione per garantire una sicurezza efficace e favorire il miglioramento continuo? In questo articolo esamineremo da vicino la logica degli indicatori chiave di performance (KPI) nella sicurezza informatica, così come delineata da leader del settore come NIST e SANS Institute, e presenteremo un set di KPI specifici per la gestione delle vulnerabilità. I KPI di base possono essere un punto di partenza per le organizzazioni che avviano un programma di gestione delle vulnerabilità, mentre le metriche avanzate offrono maggiore trasparenza per quelle con programmi già consolidati.

Come i KPI di sicurezza informatica supportano i principali obiettivi aziendali

Gli indicatori chiave di performance (KPI) vengono generati attraverso la raccolta e l’analisi di dati sulle prestazioni rilevanti e sono fondamentali per due obiettivi strategici principali. Il primo è facilitare il processo decisionale basato sull’evidenza. Ad esempio, i KPI possono fornire ai responsabili informazioni per valutare le prestazioni dei programmi di gestione delle vulnerabilità, determinare il livello di raggiunto e decidere se allocare ulteriori risorse o mantenere lo status quo.

Il secondo obiettivo è promuovere la responsabilità nelle attività di sicurezza. I KPI aiutano a identificare le cause di prestazioni insufficienti e a fornire avvisi tempestivi in caso di controlli di sicurezza inadeguati o mal implementati. Monitorando correttamente le prestazioni della gestione delle vulnerabilità, è possibile valutare l’efficacia delle procedure esistenti, apportare eventuali correzioni o integrare controlli aggiuntivi. Inoltre, i dati raccolti per creare i KPI possono dimostrare la conformità a politiche interne, standard di sicurezza obbligatori o volontari, nonché leggi e regolamenti applicabili, offrendo una solida base per le attività di sicurezza informatica.

L’ambito di misurazione dei KPI può estendersi all’intera azienda oppure concentrarsi su specifici reparti o infrastrutture essenziali per le operazioni aziendali. Questo ambito può essere adattato progressivamente con la maturazione di un programma di sicurezza informatica. Nelle fasi iniziali di implementazione della gestione delle vulnerabilità, le informazioni disponibili potrebbero essere limitate a dati di base, sufficienti per definire metriche KPI iniziali.

Con il progredire del programma, tuttavia, la raccolta dei dati diventa più strutturata e consente di sviluppare KPI più sofisticati. Per le organizzazioni esposte a rischi elevati, misure più avanzate possono risultare necessarie per garantire una visibilità ottimale.

Tipi di misure di sicurezza informatica

Il framework NIST SP 800-55 V1 (e il precedente NIST SP 800-55 r2) identifica tre categorie principali di misure di sicurezza da sviluppare e registrare:

• Misure di attuazione: valutano l’implementazione delle politiche di sicurezza e il progresso delle relative attività. Esempi includono il numero totale di sistemi informativi sottoposti a scansione e la percentuale di sistemi critici analizzati per rilevare vulnerabilità.
• Misure di efficacia/efficienza: monitorano i risultati delle attività di sicurezza e valutano i processi a livello di programma e di sistema. Queste misure indicano se i controlli di sicurezza sono implementati correttamente, funzionano come previsto e raggiungono gli obiettivi prefissati. Ad esempio, la percentuale di vulnerabilità critiche identificate e mitigate nell’infrastruttura critica operativa.
• Misure di impatto: quantificano le implicazioni aziendali delle attività di sicurezza, come i risparmi sui costi, le spese sostenute per risolvere vulnerabilità di sicurezza o altri effetti rilevanti legati alla protezione delle informazioni.

Principali indicatori per la gestione delle vulnerabilità

La gestione delle vulnerabilità si concentra sull’identificazione e sull’eliminazione delle vulnerabilità note. Pertanto, i KPI più rilevanti sono quelli che offrono informazioni su questi due aspetti. Inoltre, valutare l’efficacia di uno specifico tool di gestione delle vulnerabilità può aiutare a comparare diversi prodotti. Poiché questi rappresentano i metodi più logici per analizzare le attività di gestione delle vulnerabilità, abbiamo suddiviso i KPI in tre categorie principali. Ogni elemento include anche tag che evidenziano quale scopo, tra quelli definiti nel NIST SP 800-55, la metrica soddisfa.

Sebbene il seguente elenco non sia esaustivo, di seguito riportiamo alcuni KPI rilevanti per valutare le prestazioni nella gestione delle vulnerabilità:

Indicatori di performance per il rilevamento

• Estensione della scansione (implementazione): misura la percentuale delle risorse totali di un’organizzazione sottoposte a scansione per rilevare vulnerabilità. Questo indicatore è cruciale nelle prime fasi di attuazione del programma per definire obiettivi e monitorare la maturità del programma nel tempo. Può anche aiutare a identificare lacune non identificate nell’infrastruttura IT, che potrebbero rappresentare rischi significativi.
• Mean time to detect (MTTD) (efficienza): calcola il tempo medio intercorrente tra la pubblicazione delle informazioni su una vulnerabilità e il momento in cui un controllo di sicurezza la rileva. Miglioramenti possono essere ottenuti regolando la frequenza di aggiornamento dei moduli dello scanner di vulnerabilità o aumentando la periodicità delle scansioni.
• Rapporto di vulnerabilità non identificate (efficacia): rappresenta il rapporto tra le vulnerabilità rilevate proattivamente tramite scansioni e quelle scoperte in seguito a incidenti o analisi post-mortem. Più alto è il rapporto, più la capacità di rilevamento proattivo è efficace.
• Tasso di rilevamento automatizzato (efficienza): misura la percentuale di vulnerabilità identificate attraverso strumenti automatizzati rispetto ai metodi manuali. Un maggiore utilizzo dell’automazione può migliorare coerenza e rapidità nel rilevamento.

Indicatori correttivi di performance

• Mean time to remediate (MTTR; efficienza): misura il tempo medio necessario per correggere le vulnerabilità dopo il rilevamento. Monitorare il MTTR aiuta a valutare la reattività alle minacce e il rischio derivante dal tempo di esposizione. Un MTTR più breve indica solitamente un approccio di sicurezza più rapido e agile.
• Remediation coverage (efficacia): rappresenta la percentuale di vulnerabilità rilevate che sono state risolte con successo. È un indicatore essenziale dell’efficacia dei team di sicurezza nel mitigare i rischi. La copertura può essere personalizzata per riflettere la chiusura di vulnerabilità critiche o ad alta gravità, consentendo di concentrare gli sforzi sulle minacce più pericolose.
• Riduzione del punteggio di rischio (impatto): misura l’impatto delle attività di gestione delle vulnerabilità sul rischio complessivo. Monitorando le variazioni del punteggio di rischio, è possibile valutare quanto efficacemente vengono gestite le minacce. Questo KPI si basa spesso su strumenti di valutazione del rischio che contestualizzano il profilo di rischio specifico dell’infrastruttura IT di un’organizzazione.
• Tasso di conformità (impatto): indica la percentuale di sistemi conformi a normative, standard, o politiche interne di sicurezza. È un KPI essenziale per dimostrare la conformità alle parti interessate e per avvertire se non vengono soddisfatti i requisiti, minimizzando così il rischio di sanzioni e migliorando la postura di sicurezza.
• Tasso di riapertura delle vulnerabilità (efficienza): misura la percentuale di vulnerabilità che vengono riaperte dopo essere state contrassegnate come risolte. Un basso tasso di riapertura riflette una maggiore efficacia delle misure correttive e la qualità degli interventi di mitigazione.
• Costo della risoluzione (impatto): calcola il costo totale associato alla risoluzione delle vulnerabilità, includendo spese dirette e indirette. Analizzare i costi aiuta nella pianificazione del budget e nell’allocazione delle risorse, valutando il tempo e l’impegno richiesti per rilevare e correggere le vulnerabilità.

Indicatori sull’efficacia degli scanner di vulnerabilità

• Tasso di rilevamento di positivi reali (efficacia): misura la percentuale di vulnerabilità reali rilevate con precisione da uno strumento. Questa metrica consente di valutare la copertura effettiva dello scanner e di confrontare diversi prodotti in base al loro valore relativo. Un tasso di rilevamento più elevato indica uno strumento altamente preciso e affidabile.
• Tasso di rilevamento di falsi positivi (efficacia): misura la frequenza con cui lo strumento identifica erroneamente vulnerabilità inesistenti. Un tasso elevato di falsi positivi può comportare uno spreco di risorse, mentre uno basso riflette maggiore affidabilità. Questa metrica è essenziale per garantire che lo strumento sia coerente con i requisiti operativi e non generi allarmi inutili.

Conclusioni

Generando e analizzando gli indicatori chiave di prestazione (KPI), le organizzazioni possono soddisfare i requisiti fondamentali di sicurezza informatica per un monitoraggio e un miglioramento continuo. I KPI supportano anche strategie di core business come il processo decisionale e la responsabilità basati sull’evidenza.

Con una visione quantitativa dei processi di gestione delle vulnerabilità, le organizzazioni possono valutare meglio i progressi e comprendere con maggiore precisione la loro posizione di rischio per la sicurezza informatica. Aggregando un insieme appropriato di KPI, è possibile monitorare la maturità delle attività di gestione delle vulnerabilità, identificare le lacune nei controlli, nelle politiche e nelle procedure che limitano l’efficacia e l’efficienza delle correzioni, garantendo l’allineamento con i requisiti di rischio interni e con standard, leggi e regolamenti di sicurezza pertinenti.

Fonti

National Institute of Standards and Technology. Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures. NIST, gennaio 2024, https://csrc.nist.gov/pubs/sp/800/55/v1/ipd

National Institute of Standards and Technology. Performance Measurement Guide for Information Security, Revision 2. NIST, novembre 2022, https://csrc.nist.gov/pubs/sp/800/55/r2/iwd

National Institute of Standards and Technology. Assessing Security and Privacy Controls in Information Systems and Organizations Revision 5. NIST, gennaio 2022, https://csrc.nist.gov/pubs/sp/800/53/a/r5/final

National Institute of Standards and Technology. Guide for Conducting Risk Assessments Revision 1. NIST, settembre 2012, https://csrc.nist.gov/pubs/sp/800/30/r1/final

National Institute of Standards and Technology. Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology Revision 4. NIST, aprile 2022, https://csrc.nist.gov/pubs/sp/800/40/r4/final

SANS Institute. Report di SANS del 2021: Making Visibility Definable and Measurable. SANS Institute, giugno 2021, https://www.sans.org/webcasts/2021-report-making-visibility-definable-measurable-119120/

SANS Institute. A Guide to Security Metrics. SANS Institute, giugno 2006, https://www.sans.org/white-papers/55/