La cyber risk quantification, cioè misurare il rischio cyber, è utile a tutte le organizzazioni, grandi o piccole che siano, per individuare i criteri utili ad assegnare la giusta priorità agli investimenti di sicurezza.
D’altronde, il Word Economic Forum ha recentemente confermato la rilevanza dei cyber risk nel periodico studio sullo stato dei rischi globali che incombono sul pianeta (WEF Global Risk 2019). È particolarmente rilevante notare come il rischio cyber abbia raggiunto livelli di impatto e probabilità simili ai rischi che da sempre caratterizzano l’umanità, quali la siccità, i cambiamenti climatici o la disoccupazione.
Indice degli argomenti
Misurare il rischio cyber: le difficoltà
Nonostante questi dati, il rischio cyber continua ad essere ancora sottostimato dalla maggior parte delle organizzazioni appartenenti ai diversi settori produttivi. Il motivo? Sono sicuramente molteplici, ma tra queste c’è spesso la difficolta “cronica” nel misurare e comunicare efficacemente il rischio esistente.
Conseguentemente chi deve decidere quanto investire e come si trova spesso nell’imbarazzo di non saper prendere decisioni ragionate e soprattutto difendibili.
Osserviamo un tipico dialogo tra CISO e Top Management:
Top Management: “Quanto rischio cyber abbiamo sui servizi cloud?”
CISO: “Medio-Alto”
Top Management: “Rischio di accesso non autorizzato ad informazioni confidenziali dall’interno?”
CISO: “Medio-Alto”
Top Management: “Sono entrambi medio-alti. Come facciamo a decidere davvero quello più critico per noi?”
CISO: “mmm…”
Il presunto dialogo appena descritto (che poi tanto presunto non è) mette in risalto quanto sia difficile comunicare efficacemente i livelli di rischio e soprattutto i criteri da adottare per prioritizzare efficacemente un investimento di sicurezza rispetto ad un altro.
Misurare il rischio cyber: le metodologie
Ancora oggi le metodologie di analisi e gestione del rischio più diffuse sono di tipo qualitativo, ovvero tentano di esprimere con scale “finite” di valori, quanto sia più rilevante un rischio rispetto ad un altro (basso, medio, alto, altissimo o similare).
Tipicamente, tali analisi risultano essere snelle, semplici e quindi economiche. Purtroppo, però, non sempre altrettanto efficaci nel comunicare i rischi reali a chi ha l’ingrato compito di decidere come gestirli (alias: dove investire il budget a disposizione).
Il metodo più efficace in termini di determinazione e comunicazione dei rischi sono le analisi dei rischi di tipo quantitativo, ovvero che esprimo i rischi sotto forma di impatto economico: in altri termini “quanto denaro rischiamo?”.
Ecco come diventerebbe il dialogo di prima adottando una metodologia quantitativa:
Top Management: “Quanto rischio cyber abbiamo sui servizi Cloud?”
CISO: “Dai 3 ai 5 milioni di euro”
Top Management: “Rischio di accesso non autorizzato ad informazioni confidenziali dall’interno?”
CISO: “Dai 35 a 50 milioni di euro”
Top Management: “Sembra ragionevole, quindi, investire in via prioritaria sulla protezione delle informazioni…”
CISO: “probabilmente è corretto, considerando che possiamo abbattere di 45 milioni il rischio, se investiamo 2 milioni di euro in soluzioni e processi di sicurezza”
Quale dei due dialoghi vi sembra più efficace, soprattutto in termini di comprensione dei rischi e supporto alle decisioni?
L’approccio FAIR, Factor Analysis of Information Risk
Negli anni i tentativi e gli approcci metodologici per la valutazione economica del rischio cyber o in generale di “Value at Risk (VaR), hanno faticato ad affermarsi per via di due motivi principali: complessità oggettiva nell’applicazione delle stesse e difficoltà del recepire dati storici in merito alla probabilità di accadimento delle singole minacce.
Ulteriori fattori possono essere riferiti alla difendibilità stessa dei risultati o alla capacità di stabilire il valore degli asset coinvolti.
Da diversi anni lo scenario è mutato ed il merito va riconosciuto anche al progressivo affermarsi dell’approccio FAIR (Factor Analysis of Information Risk), promosso da OpenGroup e dal FAIR Institute in tutto il mondo.
L’approccio FAIR parte dal presupposto che il rischio, definito come “La frequenza probabile con cui si verifichi una potenziale perdita futura”, possa essere scomposto in fattori diversi, secondo un’ontologia molto rigorosa.
Il principio alla base di FAIR è valutare un singolo scenario di rischio, analizzando lo stesso secondo due dimensioni principali: la dimensione della frequenza (o Loss Event Frequency) con cui un determino agente di minaccia, possa entrare in contatto con un asset, arrecando un danno reale.
La stima di tale danno rappresenta la seconda dimensione di analisi, ovvero la perdita che si ottiene (Loss Magnitude) quando l’evento avverso si verifica.
Il punto di forza di questa metodologia, oltre a produrre come detto risultati in termini finanziari, consiste nel facilitare analisi ed assunzioni, anche quando non sono disponibili dati storici sugli eventi di minaccia (condizioni assai tipica nel caso del rischio cyber).
Ciò è reso possibile dalla scomposizione, appunto in “fattori” a granularità crescente, da cui prende il nome stesso la metodologia, per ridurre il grado di “incertezza” dei valori di frequenza ed impatto di cui sopra, fornendo a tale approccio una flessibilità molto elevata.
Conclusioni
Chi si occupa di Risk Management sa perfettamente che qualsiasi evento di rischio è “possibile” in un intervallo di tempo infinito. Per passare dalla possibilità alla probabilità è indispensabile valutare qualsiasi minaccia e vulnerabilità in un arco temporale ben definito (tipicamente è preso a riferimento un anno solare).
In questa ottica il calcolo del rischio, in quanto tale, produce risultati probabilistici, ovvero mostrando la concentrazione del rischio all’interno di un intervallo di probabilità (percentile). Tale distribuzione sarà tanto più accurata, quanto è approfondita l’analisi.
Maggiori informazioni sulla logica di funzionamento della metodologia sono disponibili pubblicamente rispettivamente sui siti di Open Group e FAIR Institute.
