Una attenta valutazione degli asset IT, degli elementi caratterizzanti l’organizzazione e di quanto accade nel mondo esterno sono componenti divenuti oramai imprescindibili per la misurazione del rischio cyber.
Il processo continuo di Digital Transformation che caratterizza la nostra epoca, alimentato dalla necessità di offrire al mercato servizi più aperti all’accesso via Internet, obbliga le organizzazioni a valutare con attenzione maggiore, tra i propri rischi operativi, la componente di rischio IT.
Poter misurare l’effettiva capacità di resilienza di un’azienda alle minacce cyber e più in generare dei propri sistemi informatici a supporto del business permette alle organizzazioni di indirizzare correttamente e con il miglior ritorno possibile, gli investimenti sulle infrastrutture informatiche.
La formazione alla cyber security è un investimento che ritorna
Indice degli argomenti
Quantificazione del rischio cyber: elementi di valutazione
La quantificazione del rischio cyber rappresenta un’attività che mette in gioco diversi attori aziendali, dal CdA aziendale, al CIO e il CISO.
Il rischio cyber è ormai diventato un rischio di business, e come tale deve essere affrontato e gestito. Le aree tecniche hanno necessità di poter rappresentare al Board i rischi ai quali l’organizzazione si espone.
È dunque opportuno domandarsi quali siano gli elementi oggettivi che possono concorrere alla valutazione del rischio cyber in relazione alla tipologia e alle dimensioni dell’azienda in esame e soprattutto in relazione a quali minacce insistono su un certo settore aziendale le quali, se sfruttate da un criminale informatico, potrebbero comportare un incidente di sicurezza, con conseguente danno economico e di immagine.
I criminali informatici evolvono continuamente le loro tecniche e i loro metodi di attacco per potere raggiungere i loro obiettivi. È quindi opportuno combinare le verifiche sugli elementi organizzativi e tecnici, valutare le configurazioni dei presidi di sicurezza implementati in azienda, e tenere nella giusta considerazione il panorama delle minacce che statisticamente incombono sulla tipologia e sulla dimensione dell’azienda.
In questo quadro generale, un altro importante elemento è rappresentato dal grado di maturità rispetto al rischio cyber, prendendo in considerazione uno dei framework o degli standard internazionali di riferimento, quali gli standard ISO 27001, NIST, GDPR. Molti fattori possono influenzare il grado di maturità nel corso del tempo, quali ad esempio cambiamenti tecnologici dettati dalle esigenze di business.
Le misurazioni del rischio cyber effettuate con metodologie tradizionali possono risultare lunghe e laboriose, e fornire risultati differenti a distanza di tempo per via della eccessiva dipendenza dal fattore umano, unica fonte informativa per le rilevazioni tecniche e organizzative.
Quantificazione del rischio cyber: gli strumenti
Da quanto detto finora è palese che la sicurezza informatica nelle aziende è diventata anche un serio problema finanziario, oltre che meramente tecnologico.
Bisogna infatti partire dal presupposto che un attacco cyber può costare ad un attaccante una frazione del costo che affronta l’azienda per rafforzare le sue linee di difesa, contrastarlo o prevenirlo. È quindi indispensabile godere di strumenti in grado di supportare il CISO o il CIO in una corretta pianificazione degli investimenti in termini di fondi e di risorse umane.
Una possibile e corretta risposta difensiva è rappresentata dalla cyber insurance, cioè un’assicurazione che possa rappresentare un valido paracadute economico in particolare per gli incidenti cyber che, a causa della pervasività della dimensione digitale, possono avere importanti impatti diretti e indiretti sul bilancio aziendale. Le organizzazioni iniziano a comprenderne l’importanza, ma persiste ancora la convinzione che l’intero processo di gestione e acquisto sia complicato.
Cyber Partners a tal proposito ha progettato l’innovativa suite di prodotti digitali, HOLOS, che, sfruttando dati e software già presenti in azienda, fornisce un Sistema di Supporto alle Decisioni che basa la sua efficacia sulla capacità di raccogliere, correlare e sintetizzare le informazioni per una rappresentazione reale dei fenomeni aziendali.
Lo sviluppo della suite HOLOS affronta l’integrazione dei seguenti tre temi, nei settori della Cyber Security e dell’IT Risk Management: Vulnerability Management, Risk management, Mobile devices management.
L’obiettivo è quello di offrire una soluzione completa, costituita da prodotti software che implementano una metodologia, utile a migliorare la gestione dei processi aziendali primari attraverso una migliore e più efficiente governance del rischio e del rischio di vulnerabilità come componente sempre più importante del rischio operativo complessivo.
In questo scenario, l’aggiunta del modulo RISK di HOLOS basato su Mastercard CyberQuant tool focalizzato sull’automazione della Cyber Risk Quantification, può cambiare il modo in cui le organizzazioni calcolano il rischio cyber e il suo impatto finanziario.
In particolare, la Automated Cyber Risk Officer (ACRO) è la piattaforma end-to-end di HOLOS RISK che raccoglie gli elementi caratterizzanti dell’organizzazione, le sorgenti dati tecnologiche, le risposte ai questionari e le informazioni sui trend delle minacce esterne, elaborando in tempo reale le informazioni per una quantificazione mirata e un supporto nella gestione del rischio cyber e delle sue conseguenze finanziarie sull’organizzazione.
Per il mercato assicurativo si aggiunge la possibilità di poter rilevare velocemente e a basso costo la postura dell’assicurando, dando uno strumento oggettivo utile al calcolo del premio assicurativo, ma tutte le organizzazioni possono avere l’opportunità di misurare la loro compliance con gli standard di riferimento e di estendere agilmente le valutazioni a tutta la propria catena di fornitura.
La piattaforma, adattabile in modo specifico alle esigenze e alle caratteristiche di ogni singola organizzazione, offre un vantaggio competitivo in termini di efficientamento delle risorse necessarie ad eseguire l’analisi e la quantificazione del rischio cyber, consentendo di arrivare rapidamente alla raccolta ed elaborazione delle informazioni utili alla valutazione.
I questionari somministrabili attraverso la piattaforma on-line, la capacità di elaborare e comparare le configurazioni tecniche con le best practice dei vendor tecnologici, la possibilità di calibrare la valutazione delle verifiche su misura dell’azienda o di una sua parte unite al confronto con le effettive minacce esterne del momento costituiscono i punti di forza della soluzione.
Le informazioni raccolte vengono elaborate prima localmente, garantendo massima riservatezza all’organizzazione, e trasformate in parametri statistici; quindi, completate con risk score e valutazioni finanziarie.
La soluzione HOLOS RISK offre indubbi vantaggi anche nel supportare gli utenti nella valutazione dei risultati ottenuti attraverso dashboard di facile lettura, ottimizzate per le esigenze delle varie figure aziendali che compartecipano alla misurazione del rischio cyber: CISO, CRO, CFO e CEO, oltre agli stakeholder aziendali.
In questo modo le aziende possono concentrarsi su ciò che conta di più, con una chiara comprensione dell’impatto e del ROI (Return On Investment) su controlli sicurezza e cyber insurance.
La componente di Threat Intelligence, inoltre, integra evoluti algoritmi di machine learning che consentono al team degli analisti di intelligence di identificare le minacce e fare una proiezione di quali impatti possono provocare nel breve periodo. In questo modo le organizzazioni possono valutare il proprio livello di maturità difensiva, stabilire le priorità di intervento per rafforzare i propri presidi e determinare in maniera proattiva come colmare le lacune nella gestione del loro rischio cyber.
Gli algoritmi di simulazione della componente CDSS (Cyber Decision Support System), consentono infine di poter effettuare simulazioni real-time dell’impatto degli investimenti tecnologici sui livelli di rischio, rendendo evidente quali possono risultare più efficaci nella riduzione della esposizione finanziaria.
Contributo editoriale sviluppato in collaborazione con Cyber Partners
