Cyber Risk Management - CYBER SECURITY - La gestione strategica del Cyber Risk: Il caso Nesti &

2.3 CYBER SECURITY

2.3.3 Cyber Risk Management

Il fatto che il cyber risk, considerato fino a poco tempo fa come un rischio residuale, stia adesso assumendo una rilevanza maggiore, sta portando le aziende verso un rafforzamento della propria capacità di gestione di tale rischio, passando da una conduzione che finora è stata prevalentemente delegata ai reparti tecnici, ad una di tipo “risk management”, attraverso cioè la definizione di strategie di governo, modelli di valutazione e successivi interventi di mitigazione del rischio. I rischi cyber, come già detto, non sono un problema relativo alla sola funzione ICT dell’azienda, ma riguardano anche altri aspetti, tra i quali la sostenibilità del business e la competitività delle aziende nel lungo periodo; per questo motivo è necessario non solo l’intervento della funzione IT, ma anche del Business, delle Risorse Umane, del Marketing, dell’area legale e via dicendo.

~ 65 ~

L’obiettivo da raggiungere è quello di integrare i processi di gestione del rischio cyber all’interno dell’Enterprise risk management framework30_{aziendale in maniera da poter}

gestire l’information security in modo organico ed integrato all’interno delle diverse funzioni organizzative. A tal fine è necessario allora un processo di cyber risk management evoluto per una corretta valutazione della redditività delle attività di business, oltre che per assicurare una struttura tecnologica coerente con gli obiettivi di business.

Figura 15: Nuova conformazione dell’ERM. Fonte: Rapporto Clusit 2017

Per cyber risk management s’intende l’insieme di tutte le tecniche volte ad assicurare la protezione dell'integrità, della disponibilità, della confidenzialità e della riservatezza dei dati e delle informazioni. In particolare, il cyber risk management si svolge attraverso un articolato processo che mira ad identificare le vulnerabilità del sistema informatico, le possibili minacce e la relativa probabilità di accadimento, nonché a stimarne i potenziali danni.

30_{ERM: framework proposto nel 2004 dal Coso of the Tradeway commission: ha come obiettivo principale}

quello di guidare i manager nell’identificazione, valutazione e gestione dei rischi, attraverso la definizione di un modello generale di riferimento.

~ 66 ~

Affinchè questo processo si riveli sostenibile ed efficace, è necessario in primo luogo modificare ed espandere l’elenco dei rischi da tenere in considerazione, andando cioè ad inserire il rischio cyber all’interno della gestione del rischio tradizionale: questo significa dover conseguentemente interpretare i framework, gli standard, le normative e le best practices per far sì che tengano di conto della nuova tassonomia di rischi e che siano quindi applicabili dal punto di vista operativo.

Andando nello specifico, è possibile sintetizzare il processo di Cyber risk management suddividendolo in 5 fasi:

1. Identificazione delle risorse e del loro grado di vulnerabilità: questo significa andare ad individuare gli asset chiave da proteggere, che possono essere hardware, software, infrastrutture, dati, etc, e valutarne la vulnerabilità, ovvero la facilità con cui possono essere attaccati;

2. Individuazione delle minacce a cui le risorse sono esposte: è la vera e propria fase di “identificazione dei rischi”. Queste minacce possono essere:

– esterne all’impresa: derivando esempio, da fattori riguardanti lo scenario macroambientale (come nei casi di eventi naturali: fulmini, incendi, terremoti, alluvioni o allegamenti), oppure da fattori relativi allo scenario competitivo (es: furto di dati o spionaggio da parte di concorrenti o potenziali entranti) o altri casi come virus, crash rete, denial of service (Dos), guasti nell’hardware o del software dovuti a cause esterne, etc; – interne all’impresa: cioè derivanti da fattori legati ai processi interni

all’azienda, o ad altri legati alle infrastrutture, oppure a causa di comportamenti errati o illeciti da parte del personale, etc.

Molto spesso si parla di cyber risk con l’errata concezione che sia dovuto unicamente ad attacchi esterni, sottovalutando l’importante evidenza degli

Insider Threats, ovvero delle minacce originate dall’interno, contando non solo

~ 67 ~

3. Individuazione dei danni: si tratta in questa fase di andare a “valutare i rischi”, ovvero andare a misurare l’esposizione al rischio, valutandone sia la probabilità di accadimento in un certo arco temporale, sia l’impatto economico del suo manifestarsi sui risultati della gestione. Le tecniche di valutazione possono essere:

- tecniche quantitative: la valutazione di probabilità e impatto si basa su tecniche matematico-statistiche, quindi su specifici modelli;

- tecniche qualitative: la valutazione d probabilità e impatto si basa sull’esperienza, la conoscenza e l’analisi svolta dai soggetti. Questo significa, esempio, che si classifica la magnitudo di un possibile impatto di una minaccia come alto, medio o basso e non attraverso valori numerici.

4. Definizione di un piano di azioni per affrontate le minacce previste o certe: azioni sia preventive che correttive e da rivedere ed aggiornare periodicamente. E’ la fase di “risk response”, fase in cui si va a “gestire il rischio”, scegliendo tra varie possibilità a seconda del prodotto tra probabilità e impatto che abbiamo precedentemente valutato: evitare i rischi con alta probabilità ed alto impatto, accettare quelli con bassa probabilità e basso impatto, mitigare ed eventualmente trasferire, tramite le coperture assicurative disponibili sul mercato, quelli con basso impatto ma alta probabilità o alto impatto e bassa probabilità

Le varie contromisure attuabili possono essere classificate come segue:

• In base alla natura è possibile individuare azioni:

- di natura tecnologica: controllo degli accessi, identificazione e autenticazione utenti, sistemi di protezione nel trattamento e trasferimento dati, firewall, ecc.

- di natura organizzativa: l’insieme di norme e regole adottate dall’impresa volte a garantire una sufficiente conoscenza ed un corretto utilizzo del sistema informativo nell’impresa. Ne sono esempi l’elaborazione di una

~ 68 ~

policy per la sicurezza informatica o anche la previsione di corsi di formazione.

- di natura comportamentale: azioni strettamente collegate a quelle di natura organizzativa, mirate a sensibilizzare il comportamento di tutti gli attori dell’impresa verso l’importanza di adottare comportamenti che non mettano a repentaglio la sicurezza o a intervenire tempestivamente al loro verificarsi.

• In base all’obiettivo perseguito è possibile individuare azioni di: - prevenzione: impedire ex ante che l’attacco si manifesti;

- rilevazione: rilevare, a fronte di un attacco, l’evento e le sue conseguenze dannose;

- ripristino: cercare di ridurre i danni attraverso il ripristino, quanto più immediato possibile, dei sistemi.

5. effettuare un'analisi costi/benefici degli investimenti necessari per dotarsi delle contromisure individuate: tenendo ben presente che velocità ed efficacia del team della security stanno diventando sempre di più un elemento chiave della competitività delle aziende.

Per poter mettere in atto questo processo, le aziende devono dotarsi di strumenti che diano una visibilità completa delle anomalie che riguardano l’utilizzo delle infrastrutture (esempio database activity monitoring) e di piani di Incident Response31 testati ed efficaci. La problematica cyber deve essere presentata all’intera organizzazione ed in particolar modo al Top Management, che potrà e dovrà effettuare scelte e prendere decisioni di investimento solo in seguito ad una comprensione chiara della situazione di rischio.

31_I_{ncident response: serie di comportamenti finalizzati a minimizzare gli effetti di una violazione, a garantire} l'integrità dei dati e delle risorse del sistema, e a tentare di prevenire violazioni future.

~ 69 ~

Affinché questo sia possibile, è necessario un forte impegno e coinvolgimento da parte del Board dell’azienda in tutti gli aspetti strategici, e non solo, di impostazione del programma di Cyber Risk Management e del piano di Incident Response.

3° CAPITOLO: Nesti & Bonsignori Spa

Il seguente capitolo tratta il caso specifico di una piccola-media impresa.

Nel primo paragrafo andremo a descrivere brevemente la metodologia utilizzata per lo studio del caso, al quale seguirà poi la trattazione vera e propria. Inizialmente sarà data una breve descrizione dell’azienda, fornendone le informazioni principali ed analizzandone il settore di appartenenza. In seguito verrà descritto il modello di business, andando nello specifico per quanto riguarda la struttura organizzativa e l’attività operativa quotidiana dell’azienda e sottolineando in particolare quelli che sono stati i cambiamenti apportati in seguito all’introduzione di nuove tecnologie conseguenti l’evoluzione digitale. Procederemo, infine, con la descrizione dell’attacco informatico subito dall’azienda nel 2016, soffermandoci sulla nuova consapevolezza riguardo le minacce cyber che questo ha creato nella dirigenza ed analizzando quelli che sono gli strumenti di cybersecurity di cui l’azienda, da quel momento, si è avvalsa.

Nel documento La gestione strategica del Cyber Risk: Il caso Nesti & Bonsignori Spa (pagine 64-69)