L’analisi dei rischi cyber o Risk Assessment è il cuore pulsante del processo di gestione dei rischi informatici.
La crescente digitalizzazione, il quadro normativo sempre più stringente (come GDPR e Direttiva NIS), l’evoluzione delle tecnologie e delle minacce rendono necessario implementare strategie adeguate di previsione e gestione dei cyber-risk.

Analisi dei rischi cyber nella gestione della sicurezza 

L’analisi dei rischi è solo una delle molteplici attività necessarie all’implementazione di un sistema di gestione della sicurezza delle informazioni (SGSI). Le attività necessarie per raggiungere il traguardo possono così riassumersi:
 

1. identificazione e classificazione degli asset informativi di valore per l’organizzazione

L’obiettivo di questo step è quello di censire gli asset informativi importanti per l’azienda e di classificarli in base alla criticità e strategicità di business. La prima domanda alla quale rispondere dovrebbe essere “qual è il confine cybernetico dell’azienda?”. I trend dell’esternalizzazione, dell’outsourcing e della corsa ai Cloud Provider rappresentano la maggiore espressione della “sfumatura” dei confini aziendali dal resto del cyber-spazio e l’attribuzione delle responsabilità.
 

2. identificazione delle minacce cyber e vulnerabilità che potrebbero mettere a rischio tali asset

L’identificazione delle minacce è generalmente considerata la parte più complessa del risk management. Definire un profilo di minaccia vuole dire costruire scenari e catene causa-effetto dove causa ed effetto sono minacce, vulnerabilità, conseguenze con innumerevoli combinazioni. Per progettare un efficace sistema di identificazione e analisi dei rischi occorre tener conto dell’evoluzione degli scenari di minaccia e degli attaccanti, delle tecnologie emergenti e soprattutto delle caratteristiche dell’organizzazione.
Il tipo di minacce dovrebbe dipendere anche dai tipi di asset censiti nel passo precedente. Questi potrebbero essere suddivisi fra materiali e immateriali, fra apparati di rete, middleware o interi building ed edifici fisici.
 

3. Identificazione delle contromisure di sicurezza a protezione di tali asset

L’attività ha lo scopo di valutare la maturità dei controlli di sicurezza a protezione degli asset. Solitamente la valutazione è svolta mediante intervista o compilazione di una checklist (o questionario) da parte del referente, non sempre corrispondente all’effettivo “custode” dell’asset in esame.
Più l’azienda è frammentata (dal punto di vista dei ruoli, responsabilità e conoscenza) e dinamica (job rotation, acquisizioni, fusioni, riorganizzazioni) più è probabile che la raccolta informativa sia difficoltosa. 


 

4. Analisi e valutazione dei rischi

L’attività “cuore” della gestione dei rischi è il calcolo vero e proprio dei rischi. Questa spesso avviene mediante l’implementazione di algoritmi di valutazione dei rischi, i quali utilizzano matrici o altri costrutti utili alla pesatura di ogni controllo di sicurezza su ciascuna vulnerabilità e ciascuna minaccia.
Lo sforzo per mantenere efficace un modello è tanto più elevato quanto più l’algoritmo è generalizzabile senza perdere però di accuratezza e sensatezza nel calcolo. Il numero di casi d’analisi possibili dipende dalla disomogeneità degli asset e sistemi IT, tenendo conto anche dei servizi gestiti da terzi o in cloud.

 

5. Definizione e attuazione di un piano di risposta ai rischi selezionati

Una volta decise le strategie aziendali di gestione del rischio (accettazione, trasferimento, annullamento e mitigazione), occorre redarre un piano di risposta per il miglioramento delle contromisure di sicurezza, utili alla riduzione del rischio fino al livello desiderato.
Il piano di risposta comprende l’insieme di tutte le azioni puntuali associate ai relativi responsabili i quali possono corrispondere, si auspica, agli stessi custodi della conoscenza che hanno partecipato all’assessment.
 

6. Reporting, monitoraggio e verifica del piano di risposta

Alla definizione e messa in atto di un piano di risposta devono seguire alcune attività come:

  • la sensibilizzazione e formazione di tutti gli attori coinvolti;
  • la creazione di un ecosistema “favorevole” alla cyber security;
  • la verifica del piano di risposta e i ritorni dal campo (ad esempio il monitoraggio dei sistemi, le attività di vulnerability assessment e penetration test, la gestione degli incident).
Per ulteriori informazioni contattaci