Cyber risk management: un nuovo modello di protezione dati per l’azienda di domani

Ad ormai più di due anni dall’outbreak, possiamo dire che gli effetti della pandemia non sono stati di breve periodo: lavoro e relazioni sociali hanno subito dei cambiamenti veramente disruptive, più di ogni altra sfera del vivere associato. A partire dal lockdown, il tempo che abbiamo speso online davanti ad uno schermo è aumentato esponenzialmente, quasi ininterrottamente per lavoro o svago.

Ed è forse proprio con il Covid-19 che aziende e opinione pubblica hanno cominciato a parlare – seppur timidamente – di cyber security.

L’esigenza sempre più sentita oggi è quella di proteggere (pro)attivamente noi stessi e la nostra comunità contro le insidie tipiche della dimensione cyber: virus, ransomware, spyware, social engineering e via dicendo. Grandi passi in avanti sono stati fatti, ma c’è ancora molto da fare.

Analisi del rischio informatico, non solo sicurezza: ecco come affrontare tutti gli eventi avversi

Riservatezza, integrità e disponibilità delle informazioni: il ruolo della cyber security

Potenzialmente il rischio cyber impatta fortemente sulla sicurezza delle informazioni, compromettendone la RID (acronimo che indica la triade riservatezza, integrità e disponibilità).

“Data is the new oil of the data economy in the Information Age”^[1]: oggi i dati determinano il successo di un’azienda, e costituiscono parte del knowledge-based capital. I dati, dunque, sono da considerarsi un asset fondamentale per costruire nuovi modelli di business data driven.

Molto sinteticamente, possiamo ridurre a due le categorie di rischio cyber:

1. il rischio IT “puro”, rappresentato da eventi accidentali sui sistemi IT (incendi, blackout elettrico, errore umano ecc.;
2. il cyber crime, ovvero le attività illegali commesse tramite differenti tecniche d’attacco: le più note e famigerate oggi sono il ransomware ed il social engineering.

A fronte del verificarsi di uno o di un mix di questi eventi, un’organizzazione può subire rilevanti perdite economiche, interruzione della business continuity e, soprattutto, danni reputazionali.

Risk management secondo le norme tecniche

Oggi gli attacchi cyber rientrano tra i dieci maggiori rischi in termini di probabilità di accadimento e impatto^[2], le organizzazioni sono chiamate a proteggersi, mettendo in sicurezza i dati e l’infrastruttura informatica ospitante attraverso processi di gestione del rischio efficaci ed efficienti.

Ai fini del nostro discorso, ci vengono in aiuto due norme tecniche.

La prima è la UNI 11230:2007, secondo cui il risk management rappresenta l’insieme di attività, metodologie e risorse coordinate volte a guidare e controllare un’organizzazione rispetto ai rischi; la seconda è la ISO 31000, standard internazionale, che presenta i principi e le linee guida generali per gestire il rischio.

Brevemente, il risk management – enucleato nelle fasi di pianificazione, valutazione, trattamento e monitoraggio – ha molteplici obiettivi:

1. allocare in modo efficace il capitale e le risorse all’interno dell’organizzazione;
2. proteggere il patrimonio, l’immagine, il know how dell’organizzazione e delle persone chiave;
3. ottimizzare l’efficienza operativa.

Questi elementi sono essenziali al fine di rendere una struttura organizzativa longeva, resiliente dal punto di vista gestionale, capace di soddisfare gli obiettivi prefissati e orientata al miglioramento continuo.

Lo schema dei principi, dal punto di vista grafico, ha al centro la creazione e la protezione di valore mediante il miglioramento delle performance, l’incoraggiamento all’innovazione e il supporto nel perseguimento degli obiettivi.

Si evidenzia l’importanza dell’approccio olistico alla gestione del rischio ed il diretto coinvolgimento del top management in funzione di leadership. Dal punto di vista strutturale, viene data enfasi alla ciclicità delle fasi processuali e l’imprescindibilità di ricevere un alto grado di penetrazione del framework ISO 31000 nelle attività aziendali più rilevanti, nella governance e nei processi decisionali.

Seguendo il modello “Team of Teams”^[3] (ToTs) – ossia coinvolgere l’intero personale fin dalle fasi di reclutamento –, la gestione del rischio diventa un processo PDCA-based: circolare, continuo, graduale, proattivo e tailored.

Dunque, l’organizzazione deve essere capace di:

1. allocare le risorse necessarie in modo corretto;
2. affiancare queste a personale esperto durante le prime fasi del training;
3. assicurare coerenza tra la struttura di risk management e gli obiettivi, la strategia e la cultura aziendali;
4. definire il livello di risk appetite più idoneo e comunicarlo agli stakeholder.

Oggi le organizzazioni realmente resilienti agli attacchi informatici adottano modelli di cyber risk management capaci di identificare, analizzare e quantificare in modo automatizzato i rischi di sicurezza delle informazioni.

D’altro canto questi ultimi, sono soddisfatti solo se poggiano su un’efficace sistema di controlli di sicurezza. Innalzando la protezione contro le minacce, si riducono sensibilmente l’entità delle vulnerabilità e, di riflesso, la superficie di attacco e l’esposizione degli asset aziendali.

Di conseguenza, risulta ridimensionato il potenziale impatto che tali attacchi potrebbero avere sul business della vittima ed è così che, in linea teorica, gli effetti del rischio cyber vengono mitigati.

Un approccio semi-quantitativo al cyber risk management

Alla base dei moderni modelli di cyber risk management c’è un approccio semi-quantitativo all’analisi del rischio, che si caratterizza per essere meno oneroso e più oggettivo e preciso.

A comporre la matrice di rischio ci sono classi di rischio (basso, medio, alto) espresse matematicamente, mettendo in rapporto la frequenza degli attacchi, l’impatto sugli asset e le perdite attese.

Pertanto, sono impiegati quattro indici

1. Exposure Factor;
2. Single Loss Expectancy;
3. Annualized Rate of Occurrence;
4. Annualized Loss Expectancy.

Favorire l’adozione di un approccio semi-quantitativo all’analisi del rischio permetterà di misurare la frequenza e l’impatto degli eventi informatici nel contesto della propria governance, delle capacità difensive e della cyber threat intelligence.

Questo processo condurrà a catalogare e prioritizzare i rischi, ma anche ad implementare ed automatizzare i controlli e ridurre, di conseguenza, l’impatto di scenari specifici, imprevedibili e futuristici.

La strada più semplice è adottare una piattaforma con cui monitorare gli eventi, acquisire i dati ed elaborare report affinché il top management possa comprendere e gestire al meglio il rischio cyber quantificandolo in termini economici.

Da ciò è possibile: tracciare la reale esposizione dell’azienda al rischio informatico; monitorare l’impatto dell’evoluzione tecnologica; individuare le modifiche di policy e procedure, infine, avere un quadro chiaro, ampio ed attendibile del profilo di rischio complessivo.

Un assetto innovativo di tal fatta consente una collaborazione orizzontale ToTs-based tra i diversi dipartimenti aziendali: una collaborazione più agevole e orientata all’incremento dei livelli di cross-check, innovazione e sicurezza. Quindi, l’organizzazione ottiene una performance migliore in termini di efficienza, efficacia ed economicità.

Human factor e supply chain: i target degli attacchi cyber

La maggiore interazione uomo-macchina ha reso labili i confini aziendali ed esteso il perimetro di sicurezza da proteggere. Un domani i dipendenti potranno essere connessi da casa tramite visori Virtual Reality e Augmented Reality, attraverso cui immergersi in meta-uffici ed interagire con gli avatar dei colleghi.

Per giunta siamo dell’avviso che un’organizzazione, specialmente di grandi dimensioni, debba agire soprattutto su human factor e supply chain.

Per un verso, il fattore umano è il vero anello debole della catena su cui è necessario intervenire per responsabilizzarlo. Il fattore umano continuerà ad essere il principale vettore di attacchi cyber, ponendo a rischio il patrimonio informativo aziendale.

Le eccezioni possono essere:

1. una forte cultura di sicurezza aziendale;
2. i dipendenti con skill ed expertise, in grado dir riconoscere ed evitare i rischi informatici attuali e futuri;
3. capacità finanziaria di affrontare il costo di attacchi;
4. strategie di mitigazione efficaci (servizio in outsourcing totale o parziale, buone coperture assicurative, piani di disaster recovery e business continuity all’avanguardia).

Per un altro verso, gli attacchi alla supply chain si diffonderanno sempre più. A differenza delle grandi aziende, i piccoli fornitori continuano a prestare meno attenzione alla sicurezza, specialmente all’interno dei propri processi.

Ancora una volta, anche in questo contesto, è decisivo adottare un modello organizzativo ed un modus operandi ToTs-based. Invero, un attaccante inocula più facilmente un malware all’interno di un componente – hardware o software – di un fornitore, attendendo che questo venga installato sul prodotto finale per sferrare l’attacco.

Per questo motivo, le aziende devono valutare e persistere nel trattare questo rischio, adottando azioni di mitigation, intessendo relazioni di fiducia con fornitori certificati da SLA e NDA, potenziando gli audit di seconda parte e la due diligence.

Conclusioni

Dunque, riteniamo che un’organizzazione debba investire in formazione individuale e addestramento dei team di livello innovativo, nonché infondere una vera cultura della sicurezza.

Restano sempre e comunque necessari investimenti in tecnologie innovative per raggiungere varie e differenti scopi: automatizzare il risk management, sfruttare la data analytics, impiegare algoritmi e modelli statistici per generare un rating del rischio cyber, stabilire un quadro di controlli.

Tutto ciò permetterà ad un’organizzazione di fornire una risposta efficace ad attacchi e incidenti di sicurezza, in tempi rapidi e con il minimo impatto a livello sistemico.

NOTE

1. Zuboff S. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, New York, 2019. ↑

2. ENISA, Threat Landscape 2021, in https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021. ↑

3. McChrystal S., Silverman D., Collins T., Team of Teams: New Rules of Engagement for a Complex World, New York, 2015. Dall’esperienza in Iraq nel 2003 come comandante delle forze statunitensi, il Gen. McChrystal, propone un approccio fondato sulla massima “orizzontalità” possibile che valorizzi sia l’interazione costante tra i gradi (alti e medio-alti) e il team, sia la condivisione di informazioni ed esperienze, nel segno di obiettivi comuni. In questo modo, tutti i membri del team sono responsabilizzati e, a prescindere dal grado, possono essere leader ed esercitare un effetto trainante verso gli altri collaboratori dal punto di vista emotivo e comportamentale. Quindi, il top management è invitato a sfruttare le potenzialità e il desiderio di teamworking di ogni individuo che non coltivi obiettivi puramente personali ed egoistici. Infine, il collante di questo approccio è la fiducia reciproca che un leader capace ed empatico infonde ai membri di un’organizzazione. ↑