Cybersecurity Risk Management: le basi

Ogni attività legata alla sicurezza informatica, qualsiasi programma di formazione del personale in ambito di information security, tutte le azioni intraprese dalle organizzazioni per proteggersi, hanno un unico obiettivo: evitare i danni che potrebbe comportare un attacco informatico.

Per raggiungere questo scopo non può però essere trascurata la gestione del rischio (per la sicurezza delle informazioni), ovvero il momento durante il quale si valuta adeguatamente cosa esso comporti e si elabora una strategia per gestirlo nel modo più efficace possibile.

Proteggere allo stesso modo tutti gli asset aziendali è impossibile. Anche nel migliore degli scenari si avranno comunque risorse limitate, come tempi, denaro e persone, che porteranno a fare delle scelte. Ciò non significa che verrà meno la prospettiva complessiva dell’attività, ma che semplicemente gli sforzi dovranno essere concentrati sugli aspetti più critici, sia in termini di dati da proteggere che in termini di sistemi.

Attraverso un'analisi del rischio è possibile definire delle priorità ed identificare i processi su cui focalizzare la propria attenzione.

Identificare il rischio

Continuiamo a parlare di rischi ma cosa intendiamo con "rischio"? Il rischio è uno stato di incertezza (o un evento potenziale) che può avere un impatto negativo sull'organizzazione (ad esempio perdita economica diretta o danno di immagine).

E il Risk management? È il processo che parte dall’identificazione del rischio, passa alla valutazione dello stesso e in ultimo stabilisce delle misure per ridurlo a un livello accettabile. Ovvero, permette di ridurre l'effetto negativo dell'incertezza.

La fase di Assessment è il primo passo nel processo di risk management e consente di determinare l'entità della potenziale minaccia e al contempo definire la vulnerabilità e di conseguenza il rischio associato alla sicurezza delle informazioni.

I rischi possono derivare da eventi interni o esterni ad esempio:

• Errori umani
• Guasti
• Attacchi informatici
• Disastri o eventi naturali
• Arrivo di nuovi competitor

Una volta identificato il rischio è necessario confrontarlo con il livello di rischio ritenuto accettabile per l'organizzazione (ovvero quel livello di rischio che non comprometterebbe in modo irreparabile l'operatività dell'organizzazione).

Tutti i rischi che risultano inferiori alla soglia di accettabilità non necessitano di dover essere trattati.

ISO 27001 e risk management

Lo standard ISO 27001 definisce come implementare un sistema di gestione per la sicurezza delle informazioni (ISMS) che sia efficace (ovvero che garantisca riservatezza, disponibilità e integrità).

Le informazioni sono oggigiorno un asset fondamentale per ogni organizzazione, sia essa una realtà industriale oppure una società di servizi.

Basti pensare a quali conseguenze può portare un incidente informatico che blocchi l’attività produttiva (si veda il caso Luxottica dei giorni scorsi) oppure che comprometta in modo irreparabile le informazioni presenti nel proprio ERP.

Dal momento che l'impatto di una compromissione delle informazioni coinvolge l'intera organizzazione la norma affronta il tema della sicurezza a 360° non focalizzandosi sugli aspetti tecnologici ma considerando anche aspetti organizzativi (definizioni di policy, manuali, procedure) e umani introducendo anche per la sicurezza delle informazioni oltre ai classici concetti di conoscenza e competenza anche quello di consapevolezza. La standard richiede ovviamente che tutto quanto si introduce e analizza sia misurabile in moda da poterne valutare gli effetti sull'organizzazione e innescare un processo di miglioramento continuo, come dovrebbe avvenire per ogni processo aziendale.

È chiaro che da questo punto di vista la sicurezza delle informazioni diventa un processo estremamente complesso e impegnativo che richiede la definizione di priorità per poter indirizzare budget e risorse dove è più necessario.

Per questo motivo il cuore della norma sono proprio le attività di risk analysis e assessment, che permettono di identificare quali processi e informazioni proteggere maggiormente e dove indirizzare le proprie risorse.

La norma definisce come affrontare il processo di risk assessment (clausola 6.1.2):

• Identificare i rischi associati alla perdita di riservatezza, la disponibilità e l’integrità delle informazioni (6.1.2.c.1)
• Valutare l'impatto nel caso in cui materializzi uno dei rischi identificati (6.1.2.d.1);
• Valutare la probabilità che si verifichi uno dei rischi identificati (6.1.2.d.2)
• Determinare il livello di rischio (6.1.2.d.3)
• Confrontare il livello di rischio rispetto a quanto definito come livello di rischio accettabile per l'organizzazione (6.1.2.e.1)
• Definire le priorità in funzione del livello di rischio rilevato. L'organizzazione dovrà quindi procedere a introdurre misure di controllo del rischio (tecnologie, procedure, formazione, ecc.) iniziando dalle minacce che presentano un rischio più elevato per la realtà in esame (clausola 6.1.3)

Dall'analisi del rischi risulterà evidente che alcune minacce non potranno essere corrette attraverso le classiche soluzioni tecnologiche di cybersecurity, ma ci dovrà focalizzare anche, se non soprattutto, sugli aspetti umani (social engineering) gestione della supply chain, introduzione di regolamenti e policy, ecc.

E i rischi che non possono essere accettati?

In alcuni casi, anzi molto spesso, è possibile identificare dei rischi che presentano un livello di rischio troppo elevato rispetto a quanto definito accettabile.

In questo caso è possibile procedere in diversi modi:

• Mitigazione: introduco dei controlli (e qui ci viene nuovamente in aiuto la ISO27001 che definisce una serie di controlli atti a minimizzare il rischio) che riducano il livello di rischio al di sotto della soglia ritenuta accettabile;
• Eliminazione: elimino l'attività o il processo che genera un rischio troppo elevato;
• Trasferimento: questo è quello che avviene quando si stipula un'assicurazione. Accetto di spendere una cifra ragionevole e determinata per tutelarmi da eventi imprevisti che potrebbero mettere a repentaglio la sopravvivenza dell'organizzazione.
• Sfruttamento: in alcuni casi il rischio può essere visto come un'opportunità, pensiamo ad esempio al rischio che un e-commerce rischi di andare offline a causa del troppo traffico (rischio legato alla disponibilità delle informazioni). In questo caso potrei valutare di incrementare la banda internet in modo da incrementare il numero di visitatori e quindi il giro d'affari dell'attività
•  

Quindi come procedere?

Intraprendere l'intero processo di compliance alla ISO 27001 per alcune realtà potrebbe essere troppo oneroso, per quello che qualsiasi realtà dovrebbe considerare prima di investire in sicurezza, soprattutto quando questo avviene a seguito di incident, è di svolgere un assessment che seguendo le linee di guida descritte prima permetta di evidenziare quali sono le priorità da affrontare e quali processi e risorse proteggere per prime. I risultati potrebbero essere inaspettati e potrebbero persino portare a una riduzione dell'investimento rispetto a quanto si era immaginato in prima battuta.