Nell’ultimo decennio si è assistito ad un crescente trend di “digitalizzazione” di molti processi di business sia interni all’azienda che nell’interazione tra azienda e ambiente esterno (clienti/utenti). Questo trend non mostra una curva di crescita lineare ma, al contrario, una curva che cresce sempre di più a ritmi sempre più accelerati. I processi quindi dipendono sempre di più da asset informatici che, se in passato rappresentavano una risorsa importante, oggi sono diventati una risorsa strategica. In tale contesto emerge per l’appunto il rischio collegato agli asset informatici ovvero il cyber risk, che se fino a poco tempo fa era considerato un rischio “residuale”, ora sta assumendo una rilevanza maggiore ed inizia ad essere considerato uno dei rischi più critici per tre motivi52:
• La strategicità e l’importanza degli asset informatici di per se’;
• L’incremento degli “attacchi” alle infrastrutture informatiche naturalmente guidato dalla maggior rilevanza e dal maggior valore che queste hanno per le aziende;
• La facilità di compiere “attacchi” anche dovuta ai bassissimi costi di realizzazione della maggior parte delle azioni offensive.
Molte aziende stanno quindi rafforzando la propria capacità di gestione del cyber risk passando da un’attività di gestione che sinora è stata prevalentemente delegata ai reparti tecnici, ad una di tipo risk management, attraverso la definizione di strategie di governo, modelli di valutazione e conseguentemente con interventi di mitigazione del rischio. Si tratta in molti casi di primi passi verso una gestione più strategica del cyber risk che però richiede un approccio molto diverso da quanto fatto sinora ovvero richiede un profondo cambiamento culturale nella gestione del tema. Uno degli elementi di cambiamento è la ponderazione dei diversi metodi di mitigazione del cyber risk, che tipicamente portano alla valutazione, possibile solo a seguito di una preventiva analisi e misurazione economica dello stesso, di quanto di questo rischio debba essere mitigato con interventi interni ad esempio organizzativi o tecnologici, quanto
80
ceduto a terzi ad esempio tramite outsourcing di attività o assicurazione, e quanto ci si possa consentire di mantenere. Gli attacchi cyber si declinano ormai in molteplici e mutevoli forme che vanno dai ransomware, ai malware, al social engineering fino alle tecniche APT sfruttando falle e vulnerabilità in ambito tecnico, organizzativo, di processo, culturale e legale. Anche gli obiettivi di questi attacchi sono molto cambiati e risultano sempre più mirati a carpire o compromettere dati ed informazioni importanti e sensibili andando così a colpire, a compromettere il patrimonio dell’azienda e andando a colpire indirettamente anche gli utenti/clienti.
La risposta delle organizzazioni al rischio cyber deve maturare rapidamente interiorizzando l’esigenza e la consapevolezza di dover abbandonare la visione tradizionale ed orientata al singolo evento tecnologico ovvero la visione che la gestione del cyber risk sia un problema squisitamente tecnologico, per passare ad una disciplina di più ampio respiro ed orientata alla gestione del rischio in maniera sistemica dato che il rischio cyber impatta su tutti i livelli dell’azienda (si potrebbe parlare di un impatto sistemico) e che se sottovalutato ne può mettere a rischio la stessa sopravvivenza. Ci troviamo di fronte ad un vero e proprio cambiamento generazionale che evidenzia come sia indispensabile uscire dai modelli tradizionali spostando il focus della sicurezza informatica dalla tecnologia al business risk.
L’information security pertanto deve essere gestita in modo organico, sistemico e perfettamente integrato all’interno delle diverse funzioni organizzative, ma soprattutto deve divenire sempre più una tematica all’attenzione del top management. L’obiettivo a cui si deve tendere è la piena integrazione del cyber risk all’interno dell’enterprise risk management framework aziendale, partendo dalla definizione di una strategia precisa e con un processo gestionale rigoroso. Solo la più radicata convinzione del top management, che questo passaggio sia necessario, segnerà una svolta epocale nella gestione di questo tema. Sicuramente una spinta in questa direzione può, ed anzi deve venire, dai Chief Information Officer o più in generale dai reparti tecnici che storicamente si sono occupati di questi temi. La capacità di rappresentare correttamente la tematica
81
attraverso degli strumenti ed un linguaggio comprensibile ai non tecnici, faciliterà e velocizzerà questo cambiamento. Possiamo delineare tre livelli del processo di cambiamento:
1° generazione ( Cyber Protection: “fortificare il perimetro”): Assessments focalizzati prevalentemente su valutazioni relative alle tecnologie e orientatati a identificare le vulnerabilità tecniche.
Convinzione di fondo che il rischio informatico può essere eliminato .
2° generazione ( Cyber Awareness: “fortificare il perimetro e promuovere la consapevolezza cibernetica”): Diagnosi di processo ed organizzativa abbinata a valutazioni basate sulla tecnologia.
Consapevolezza che il rischio informatico può venire dall’interno del azienda . 3° generazione ( Cyber Resilience: “definire e proteggere gli asset più rilevanti e ottimizzare le risorse”): Indispensabili valutazioni integrate tra organizzazione, processo e tecnologia e misurazione economica del rischio.
Consapevolezza che il rischio informatico non può essere completamente eliminato.
Un processo di cyber risk management evoluto è essenziale per la corretta valutazione della redditività delle attività di business e per assicurare che la struttura tecnologica sia coerente con gli obiettivi di business. La rappresentazione dell’esposizione al rischio, che oggi tradizionalmente avviene attraverso analisi tecniche e misurazioni qualitative, deve invece tradursi in un linguaggio in grado di essere facilmente compreso da un manager o da un CEO . In questo senso un grande aiuto può venire dall’analisi del rischio effettuata in maniera quantitativa. Questa metodologia rivoluziona in maniera radicale la misurazione e la gestione del rischio, poiché attraverso un’analisi profonda, volta a misurare economicamente il singolo rischio in funzione delle caratteristiche specifiche di ogni realtà, permette di definire le più opportune strategie di mitigazione in funzione al rischio correlato. Inoltre utilizzando un linguaggio comune a tutti i livelli aziendali, determinato dalla valorizzazione economica dei singoli rischi, renderà possibile una più facile condivisione di questi scenari con il top management, dando di fatto, operativa ancor prima che formale,
82
integrazione del cyber risk all’interno dell’enterprise risk management framework. Cinque elementi critici (fattori critici di successo) devono essere tenuti in debita considerazione al fine di realizzare una strategia di cyber risk efficace.
Il 1° elemento ritenuto indispensabile è riuscire ad acquisire una visione globale del rischio, ciò significa:
- Effettuare screening sistematici in ambito information security al fine di prefigurare i possibili scenari di minacce, identificare quali siano i target potenziali e verificare i livelli di protezione in tutte le funzioni ed aree aziendali; - Ripartizione completa delle informazioni protette, poiché ritenute critiche e potenziali bersagli;
- Valutazione del rischio, a cui sono soggette le informazioni protette, dal punto di vista economico, che includa anche le misure di protezione.
Il 2° elemento da tenere in considerazione è l’identificazione dei target potenziali ed il relativo impatto strategico per l’organizzazione, ciò significa ottenere: - Una chiara visione del possibile pericolo causato anche da elementi “periferici” dei target potenziali, ( es. nuovi processi o servizi connessi.. );
- Un abbinamento efficiente tra il probabile bersaglio e quelli imminenti ed attesi, nonché la loro valorizzazione economica e prioritizzazione per criterio di rischio e di potenziale impatto.
Il 3° elemento prevede lo sviluppo di un percorso di criticità relativamente agli scenari di rischio, ciò significa:
- Utilizzare in modo mirato l’esperienza ed i dati storici aziendali per calcolare sulla base delle probabilità l’insorgenza del potenziale rischio;
- Dare priorità alle minacce più significative, attraverso la rappresentazione di modelli e schemi di attacco creati su tipologie di minaccia analoghe.
Il 4° elemento definisce una strategia di “risk appetite” la quale prevede:
- La stesura di un’adeguata strategia di “risk appetite”, la quale deve risultare condivisa non solo con i vertici delle aree funzionali ma anche con la Corporate Strategy;
83
- La definizione di un’appropriata estensione di misure per la protezione delle informazioni incentrata sui potenziali effetti, catalogati secondo criterio di probabilità ed impatto.
Il 5° evidenzia l’esigenza di aggregare le misure di sicurezza adottate per la protezione dei dati, prevedendo:
- Creazione di un processo integrato di misure per la sicurezza delle informazioni che va ad abbracciare le differenti funzioni aziendali;
- Aggregazione di un insieme di strategie di mitigazione del rischio a livello organizzativo, procedurale e di sistemi;
- Attuazione di interventi mirati e processi di controllo relativi al governo delle terze parti (es. fornitori, personale esterno...).
Una strategia “orientata al rischio” deve essere sostenuta da un piano CISO (chief information security officer) che agisce tra la 1° e la 2° linea di difesa. La configurazione a tre linee di difesa è la seguente53:
1 Prima linea di difesa: Business Units;
2 Seconda linea di difesa: Risk Committee, Risk Management, Compliance; 3 Terza linea di difesa: Audit.
84
Configurazione integrale CISO54:
Figura 9 – Configurazione integrale CISO
• Politiche di sicurezza per rendere la strategia di gestione del rischio cyber conforme agli standard internazionali;
• Struttura di governance per il controllo e la misurazione del rischio e della sicurezza informatica nonché delle attività di Awareness necessarie per creare la «cultura del rischio» in azienda;
• Procedure operative di sicurezza in linea con quanto definito all’interno degli standard e delle policy (precedentemente identificate);
• Infrastruttura tecnologica pensata ed implementata per supportare i processi di sicurezza identificati.
54 © Clusit - Rapporto 2017 sulla Sicurezza ICT in Italia - aggiornamento giugno 2017
Standard e Policy
Organizzazione e Governance
Procedure
Tecnologia e Infrastruttura Fisica
Audit e Compliance CYBER RISK MANAGEMENT
85
- Infrastruttura fisica realizzata per offrire la base sicura sulla quale implementare l’infrastruttura tecnologica adeguata;
- Audit periodici condotti per assicurare la conformità con quanto sancito all’interno delle norme e degli standard internazionali di sicurezza .
Nell’attuale scenario, le organizzazioni stanno maturando rapidamente la convinzione dell’esigenza di integrazione di molteplici input al fine di sviluppare di una strategia di Cyber Risk Governance esaustiva. Quanto maggiore è la capacità di identificare gli asset più rilevanti per l’organizzazione, tanto più efficace risulterà una cyber risk strategy. Bisogna definire con chiarezza quali siano gli asset da difendere che permettono cosi di stabilire di fatto quali siano i perimetri da “presidiare” con maggiore attenzione e conseguentemente di identificare a quali potenziali minacce siano esposti e quali ne siano le cause; ultimo ma fondamentale passaggio di questo processo sta nella valorizzazione economica di ogni singolo rischio identificato. Attraverso l’elaborazione di una strategia che si sviluppi su questi quattro elementi cardine, si riuscirà a pianificare delle azioni correttive e preventive definite in funzione delle specifiche vulnerabilità presenti nell’organizzazione. Tutte le azioni di mitigazione saranno pertanto guidate da una logica risk/cost based, realizzata sulle caratteristiche peculiari della singola organizzazione, il che permetterà inoltre una razionalizzazione degli investimenti per il governo del rischio.
Qui di seguito sono rappresentati gli elementi identificati come cardine nella stesura di una cyber risk strategy e declinati in modalità discendente per livello di maturità ed adozione all’interno delle aziende55.
Classificare gli assets Aziendali:
1. Definizione degli asset ritenuti più rilevanti per l’organizzazione; 2. Classificazione degli assets critici in termini di sicurezza delle
informazioni;
86
3. Verifica dell’efficacia degli strumenti di monitoraggi e protezione esistenti
Identificare il tipo di minaccia cyber che può coinvolgere l’azienda:
1. Identificazione dei potenziali attaccanti, dei motivi e delle modalità di attacco;
2. Individuazione degli asset ritenuti potenziali target e dei relativi processi di mitigazione
Comprendere le cause di esposizione al rischio cyber :
1. Le vulnerabilità e le cause sottostanti a questo tipo di minaccia si possono identificare attraverso la comprensione della struttura organizzativa, dei suoi processi e delle sue funzionalità tecnologiche;
2. Le vulnerabilità presenti, nella maggior parte dei casi, sono inerenti al processo operativo e pertanto devono essere valutate con l’obiettivo di “minimizzare il rischio”.
Misurare il rischio cyber in termini quantitativi:
1. La misurazione quantitativa del rischio include le perdite di fatturato, il danno economico diretto ed i danni reputazionali;
87
Capitolo 3
L’ASSESSMENT DEL CYBER RISK: UNA VALUTAZIONE EMPIRICA
3.1 Analisi dei principali attacchi noti a livello globale del primo semestre