Priority Intelligence Requirements

Priority Intelligence Requirements: le domande che guidano la threat intelligence

I Priority Intelligence Requirements sono le poche domande prioritarie a cui un programma di threat intelligence deve rispondere per essere davvero utile. Definiscono, prima ancora di raccogliere un solo dato, che cosa l’organizzazione ha bisogno di sapere per prendere le decisioni che contano. Senza di essi un programma di intelligence raccoglie tutto e non risponde a nulla, sommerso da informazioni che nessuno ha chiesto; con essi, la raccolta e l’analisi acquistano una direzione, perché sanno a quali domande servire. I PIR sono, in altre parole, il motore della fase di direzione del ciclo di intelligence.

Il concetto non nasce nella sicurezza informatica. Viene dalla dottrina militare, dove un requisito prioritario di intelligence è, secondo la dottrina militare congiunta statunitense, un’esigenza informativa che il comandante e il suo staff devono soddisfare per comprendere l’avversario o l’ambiente operativo. Sono la manciata di domande a cui un comandante ha bisogno di una risposta prima di prendere una decisione che può determinare il successo o il fallimento di una missione. La cyber threat intelligence ha ereditato quell’idea e l’ha portata dentro le organizzazioni.

Dalla dottrina militare alla sicurezza aziendale

Il passaggio dal campo di battaglia all’azienda non è automatico. Come spiega il curriculum CTI del FIRST, il settore privato non dispone delle risorse di un’agenzia di intelligence militare, e applicare i PIR significa spostarli da una logica di combattimento a una di gestione del rischio: la domanda non è più soltanto “che cosa fa l’avversario”, ma “quali minacce potrebbero incidere concretamente sugli obiettivi di questa organizzazione”.

Da questo discende un principio spesso trascurato: i PIR non sono affare esclusivo del team di intelligence. Se chi li redige lo fa senza il contributo dei vertici, dell’ufficio legale, delle risorse umane e della sicurezza, il risultato non rifletterà il rischio reale dell’organizzazione. Definire buoni PIR, sintetizza il FIRST, “richiede un intero villaggio”: è un lavoro di gruppo, e i suoi prodotti vanno espressi nel linguaggio del business, non in quello dei “bit e byte” che allontana i decisori invece di coinvolgerli.

Questa attenzione al destinatario non è un dettaglio di forma. Il fine di un PIR, ricorda sempre il FIRST, è fornire informazione di qualità decisionale, tempestiva e predittiva, che risponda alla domanda “e quindi?” e sostenga una scelta, non un aggiornamento puramente informativo. Una riunione con i vertici impostata come semplice resoconto di eventi non porta lontano; ciò che i decisori chiedono è che cosa è in gioco, quali sono i punti di decisione e quale linea d’azione si raccomanda, possibilmente in poche frasi. I PIR servono proprio a tenere l’intelligence ancorata a quella esigenza fin dall’inizio.

Come si scrivono dei buoni Priority Intelligence Requirements

Alcune qualità distinguono un PIR ben formulato. Ogni PIR pone una sola domanda: accorparne due in uno garantisce che una delle due venga trascurata. Ogni PIR è legato a una decisione concreta che qualcuno, ai vertici, dovrà prendere, e non a una curiosità generica. I PIR sono ordinati per priorità, così che, quando le risorse di raccolta sono contese, si sappia a quale domanda rispondere per prima. E soprattutto sono pochi e ben delimitati: meno è meglio, perché una lista infinita di requisiti non è una lista di priorità.

Un esempio chiarisce la differenza. “Quali sono le minacce per la nostra azienda” non è un PIR, è un tema: troppo ampio per orientare la raccolta e impossibile da chiudere con una risposta. “Nei prossimi sei mesi, quali gruppi che colpiscono il nostro settore hanno la capacità e l’intenzione di attaccare i nostri sistemi di pagamento, e con quali tecniche” è un PIR: circoscrive il tempo, il bersaglio e la decisione che alimenta, cioè dove rafforzare le difese di quei sistemi. Il primo produce una rassegna che nessuno userà, il secondo indirizza l’analista verso ciò che serve davvero sapere.

È qui che i PIR si saldano alla gestione del rischio. Un requisito ben scritto traduce una preoccupazione di business in una domanda a cui l’intelligence può rispondere, e si collega in modo naturale agli strumenti con cui l’organizzazione misura ciò che ha in gioco, come la quantificazione del rischio cyber. Il punto non è sapere tutto sulle minacce, ma sapere ciò che serve a decidere dove investire la difesa.

Una volta fissati, i PIR diventano anche la guida pratica della raccolta. Sono loro a stabilire quali fonti vale la pena attivare, quali dati cercare e quali ignorare, e a fornire il criterio per dire di no alle infinite informazioni che, pur interessanti, non rispondono ad alcuna domanda prioritaria. In questo senso un buon insieme di PIR non orienta soltanto l’analisi finale, ma disciplina ogni fase a monte, evitando che il programma di intelligence si disperda dietro tutto ciò che capita.

I PIR non sono statici

Un errore comune è trattare i PIR come un documento da scrivere una volta e archiviare. Sono invece fluidi per natura: quando l’ambiente cambia, vanno rivisti, raffinati e aggiornati. Il FIRST lo riassume con una frase presa dalla dottrina militare: “se i tuoi PIR non cambiano, stai combattendo il piano e non il nemico”. Un requisito a cui si è già risposto, o che gli eventi hanno reso irrilevante, va ritirato e sostituito da uno nuovo, agganciato alla decisione emergente. È esattamente ciò che chiude e rilancia il ciclo di intelligence: il feedback che ridefinisce le domande.

Perché i PIR cambiano il valore dell’intelligence

La differenza tra un programma di intelligence che produce decisioni e uno che si limita a fare cronaca sta quasi tutta nei PIR. Un’organizzazione che gestisce infrastrutture critiche avrà requisiti diversi da una banca o da un produttore di software, e sono proprio quelle differenze a stabilire che cosa vale la pena raccogliere e analizzare. Un PIR ben posto costringe a rispondere alla domanda che i decisori si pongono davvero, quella del “e quindi?”: non che cosa è successo, ma che cosa comporta per noi e che cosa conviene fare. È il filtro che trasforma un flusso di notizie in supporto alla decisione.

I Priority Intelligence Requirements non sono un adempimento formale, sono la dichiarazione di ciò che un’organizzazione ha deciso di considerare importante. Stabilirli bene significa accettare in anticipo che non si può sapere tutto e scegliere con cura le poche domande che meritano risorse e attenzione. È da quella scelta, più che dalla quantità di dati raccolti, che dipende se la threat intelligence finirà per orientare le decisioni o per riempire l’ennesimo report che nessuno legge.

Condividi sui Social Network:

Ultimi Articoli