Sophos ha aperto una conversazione interna sulla “CQ”, che sta per cyberseriousness quotient, ossia il quoziente di cyberserietà al mondo della cybersicurezza. Questo articolo è un’introduzione al concetto di CQ, ai fattori che essa gestisce nella vita lavorativa quotidiana di Sophos e ad alcuni esempi (ipotetici?) di “cosa non fare”.
I professionisti della sicurezza informatica sono per loro natura scettici. Il nostro lavoro consiste nel prendere tutti gli elementi che fanno funzionare tecnologicamente la società moderna, piratarli e mostrarvi che il mondo in realtà non è così sicuro, riservato e protetto come pensavate. Poi escogitiamo modi per proteggervi dalle persone che usano dolosamente le stesse abilità e curiosità per commettere crimini e mettere a rischio la riservatezza, l’integrità e la disponibilità (CIA) dei nostri sistemi e dei nostri dati.
La maggior parte di noi conosce il quoziente d’intelligenza (QI) e molti anche il quoziente d’intelligenza emotiva (QE), che mirano a misurare tali attributi. Gli esperti di Sophos ritengono fondamentale valutare il loro lavoro anche in base al suo valore, per cui hanno creato, e da anni gestiscono, una valutazione per garantire che la qualità, il rispetto, l’integrità e il valore della ricerca e dei prodotti che producono soddisfino gli standard più elevati: il quoziente di cyberserietà.
Il concetto di CQ: tre categorie di pubblico
Coniata diversi anni fa da Joe Levy, presidente di Sophos Technology Group, la CQ è una valutazione qualitativa volta a garantire che i clienti, il pubblico in generale e i ricercatori, possano contare sui migliori contenuti e prodotti possibili quando si riforniscono da Sophos.
Per Sophos la CQ è qualcosa che si vive. È l’inizio di ogni progetto a cui si lavora. I cambiamenti devono essere valutati in base al fatto che aumentano la CQ del progetto, dimostrando ai clienti che la loro sicurezza, la conoscenza del rischio informatico e l’effettiva protezione dei loro dati sono sempre al primo posto.
Per esistere e fare ricerca bisogna guadagnare per poter assumere le persone che producono le soluzioni che apportano valore al pianeta. Se si vuole continuare a seguire in Sophos la propria passione per la ricerca d’impatto, si deve anche essere sicuri che essa abbia un valore e contribuisca alla sicurezza e alla produttività dei clienti, il che alla fine garantirà il pagamento delle spese sostenute per la ricerca. Se invece le esigenze dell’azienda prevalgano su quelle dei clienti, si finisce in un territorio pericoloso. Ogni giorno vengono pubblicati articoli e ricerche da parte di chi cerca di trasformare tutto in un grande problema che solo gli esperti possono aiutare a risolvere. Questo atteggiamento non giova a nessuno e, anzi, spesso porta le organizzazioni a concentrare le energie su eventi che fanno scalpore, mentre subiscono violazioni di dati da parte di chi usa tecniche meno altisonanti per comprometterli.
Per la ricerca in particolare, c’è un terzo aspetto della CQ. Spesso, la ricerca più interessante è il risultato di quella che Sophos chiamerà il “perseguimento intellettuale della felicità”. La curiosità condurrà lungo molti sentieri piacevoli, e la soddisfazione di svelare un complicato mistero della sicurezza è ciò che guida gran parte del loro lavoro più importante. “Per ottenere i risultati più significativi dal nostro lavoro dobbiamo essere liberi di perseguire queste curiosità e di condividere le nostre scoperte con i colleghi”. Spesso questo lavoro rappresenta il CQ più elevato di tutti.
La CQ è un test che i lavori di Sophos presentati, dai risultati delle ricerche alle comunicazioni aziendali, devono superare per essere pubblicati. La valutazione ha molte componenti, che gli esperti di Sophos condivideranno in un post successivo. “Ci aspettiamo che tutto il nostro personale lo applichi ai compiti di cui è responsabile, e alle interazioni con i nostri clienti, attraverso l’assistenza tecnica, le vendite e gli eventi di marketing a cui partecipiamo. In sostanza, deve essere un ingrediente di tutte le nostre ricette, se vogliamo che abbiano un significato”.
Come funziona la CQ in pratica? Se ci muoviamo nel modo giusto, si tratta di un meccanismo virtuoso, e i principi della CQ ci guidano a realizzare progetti che abbiano al centro la qualità, il rispetto, l’integrità e il valore aggiunto.
Alla ricerca della CQ: tre insuccessi
“Per un esempio tristemente comune del tipo di problemi che la CQ cerca di evitare, immaginate che l’azienda X abbia un nuovo prodotto in procinto di essere lanciato. Troppo spesso il pubblico assiste alla pubblicazione di una “ricerca” dell’azienda X così sensazionale da attirare i titoli dei giornali. Questa ricerca viene utilizzata per generare interesse per il lancio del prodotto, ma anche un’occhiata superficiale o una grattatina alla superficie di questa cosiddetta “ricerca” svela errori di valutazione, statistiche manipolate ed omissioni.
Ecco un altro esempio. Forse avete assistito a una presentazione dell’azienda Y sulla sua nuova soluzione che blocca senza sforzo tutte le minacce: Nex-Gen Snake Oil 2023 Professional. Il total cost of ownership è inferiore del 60%, perché non sarete più infettati, non dovrete più andare a caccia di minacce e non dovrete più gestire la risposta agli incidenti. Sembra fantastico! Iscrivetevi, ok? Un piccolo inconveniente: con il 100% di rilevamento (“blocca tutte le minacce”) si ha un tasso di falsi positivi del 10%, che si traduce in un aumento del 2.000% delle chiamate di assistenza e in un calo del 20% della produttività dei dipendenti. Non è stata applicata alcuna CQ.
La CQ può essere criticamente bassa anche al di fuori del mondo del lancio di prodotti. Prima abbiamo descritto il lavoro derivante dal perseguimento intellettuale della felicità come un utile indicatore di una CQ potenzialmente elevata. In generale è vero, ma a volte il fattore “ehi, figo! ” può effettivamente sminuire una CQ elevata. Immaginate un ricercatore che teorizza che cantare al vostro computer possa migliorarne la sicurezza (abbiamo sentito di peggio). (La ricerca sulla sicurezza informatica musicale potrebbe portare prima o poi a strumenti che i clienti potrebbero adottare. Tuttavia, se dichiarassimo che “Tutti ameranno la sicurezza informatica musicale e questo ci differenzierà dai clienti!” e ne facessimo immediatamente la nuova interfaccia dei prodotti Sophos, si tratterebbe di un messaggio di bassa qualità – qualità incerta (e francamente probabilmente bassa senza una notevole quantità di ricerca interdisciplinare alla base), rispetto e integrità potenzialmente alta, ma utilità quasi sicuramente scarsa – letteralmente un messaggio di bassa qualità.
I responsabili della ricerca – il contributo di X-Ops a Sophos nel suo complesso – non devono temere di esplorare e di pensare in modo strano, ma un’elevata qualità della vita significa che anche loro devono avere la percezione di come il proprio lavoro possa rispondere alle esigenze dell’azienda e dei clienti.
Se si applicano i principi della CQ ai prodotti e alla ricerca che porta ai suddetti, questi problemi cessano di esistere. Farete ricerche che identificano i problemi reali che portano le organizzazioni a essere compromesse. Quando è il momento di annunciare un nuovo prodotto o una nuova funzionalità, avrete a disposizione una serie di ricerche a sostegno delle vostre affermazioni. Poiché la ricerca è al servizio delle esigenze reali dei clienti, non è necessario ricorrere a giochi di prestigio ed espedienti. La vostra ricerca fa progredire lo stato della sicurezza informatica in tutto il settore e fa sì che le misure di protezione dei clienti rimangano focalizzate e pertinenti, innovando in modo mirato anziché limitarsi a inserire nei prodotti funzioni “cool” o di tendenza. Il valore del lavoro parla da sé e sostiene il bene comune”.
Nelle prossime settimane Sophos pubblicherà la seconda parte della loro serie sulla CQ, in cui gli esperti illustreranno come valutano la CQ nei progetti e come la prioritizzazione della CQ funziona (anche quando comporta dei passaggi in più) e spiegheranno come i clienti possono utilizzare la CQ per orientarsi nell’attuale panorama della sicurezza.
