In un momento storico dove il numero degli attacchi non è mai stato così elevato, per effetto della maggiore attività del cybercrime ma anche per l’accresciuto incremento della superficie di attacco e della diffusione di fenomeni quali cloud, mobile e Internet of Things, gli investimenti di privati e aziende nella cybersecurity sono sempre maggiori, tanto che persino le microimprese, tradizionalmente restie a investire su questo fronte, stanno iniziando a stanziare i budget. E molti investimenti vanno diretti, sempre più e necessariamente, sull’analisi del rischio.
Come ci ricorda Alessandro Vallega, Information & Cyber Security Advisor, P4I – Partners4Innovation nell’articolo Sicurezza informatica, nessun passo indietro è possibile di Digital4Trade: «La sicurezza al 100% è impossibile e occorre considerare che ha un costo crescente. In un contesto di scarsità di risorse è fondamentale utilizzare una logica di analisi del rischio. Come si può calcolare il beneficio di un investimento in sicurezza? Occorre convincere i clienti che la sicurezza è le fondamenta dell’azienda, non se ne può fare a meno, anche perché poi aggiunta successivamente ha anche un costo unitario più alto».
In tutte le organizzazioni dove il sistema di gestione della sicurezza delle informazioni ha raggiunto un livello minimo di maturità, è difatti presente un documento di analisi dei rischi che viene applicato a processi, applicazioni, classi di informazioni e/o altri asset. Questi documenti elencano le minacce da cui l’organizzazione intende tutelarsi e come lo fa.
Come descrive in modo dettagliato Alessio Pennasilico in un articolo per ZeroUnoWeb, GDPR: l’analisi del rischio, è necessario innanzitutto definire il risk appetite, vale a dire quanto l’organizzazione è disposta ad esporsi all’impatto del realizzarsi di una minaccia.
Definito il risk appetite viene attribuito ad ogni minaccia il suo grado di probabilità potenziale di realizzarsi e l’impatto che questo rischio avrebbe sull’organizzazione, in termini di riservatezza, integrità e disponibilità. Verificate quali misure sono state adottate per proteggere l’asset oggetto di valutazione, il rischio viene riclassificato, per verificare se l’impatto residuo è accettabile, secondo quanto definito dal risk appetite. Nel caso in cui l’impatto non sia accettabile, va pianificata una strategia tesa a mitigare il rischio, fino a renderlo accettabile.
Un errore da evitare con attenzione è il considerare l’analisi dei rischi privacy una attività di esclusiva competenza dei Sistemi informativi/Dipartimenti IT. L’analisi del rischio, infatti, deve tener conto di tutti i processi ed asset coinvolti nel trattamento, anche quelli non informatici. Tanto dovrò proteggere i database, ad esempio, tanto dovrò proteggere i faldoni ed i locali in cui essi sono conservati.
L’analisi dei rischi, come molti altri documenti, va aggiornata ogni volta in cui vengano introdotti nuovi trattamenti o avvengano variazioni sostanziali su quelli in essere al fine di adottare eventuali misure necessarie a garantire il livello di sicurezza adeguato.
Un’organizzazione che voglia tutelare in modo efficace sé stessa, il proprio business e i propri stakeholder, dovrebbe mantenere un sistema efficace di data protection, indipendentemente dai requisiti di legge.
A cura di Jusef Khamlichi, Consulente senior presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
