I rischi cyber sono una minaccia sempre più pressante per le aziende di ogni dimensione e settore. A supporto di questa affermazione intervengono (almeno) due fattori:
- L’aumento costante nel numero e nella gravità degli attacchi. Il recente Rapporto Clusit ha rilevato un incremento degli attacchi del 12% nel 2023 rispetto all’anno precedente. Ormai, 4 casi su 5 ricadono nella categoria di gravità alta o critica.
- La crescita continua nel volume e nel valore dei dati, che li rende sempre più appetibili per i cyber criminali.
Di fronte a uno scenario di questo tipo, ricade sulle imprese la necessità di sviluppare ed eseguire una strategia di cyber security che adotti contestualmente un approccio preventivo e reattivo di fronte a qualsiasi minaccia, interna ed esterna. Ma prima ancora, è necessario ragionare in chiave di gestione del rischio ed effettuare un cyber risk assessment.
Cyber risk assessment, il primo passo verso la sicurezza
Per definizione, il cyber risk è l’esposizione dell’azienda a danni di natura economica e reputazionale come conseguenza di incidenti informatici. L’associazione con il cybercrime è immediata, ma non può e non deve essere esclusiva: molti data breach, infatti, dipendono da errori non intenzionali, da hacktivism (che formalmente non è cybercrime), da errori o da sabotaggio interno, fattispecie che si discostano dal tipico attacco esterno con finalità estorsive.
Tutte le aziende devono prendere atto dell’esistenza del rischio cyber, delle potenziali conseguenze e, soprattutto, di non poterlo eliminare al 100%. La soluzione immediata è quella di non farsi cogliere impreparati affinché si possa gestire al meglio: l’obiettivo è proprio quello di sviluppare una strategia di gestione del rischio cyber che tenga conto delle minacce, delle vulnerabilità e degli impatti.
Le imprese più attente alla propria sicurezza sviluppano e implementano un vero e proprio sistema di gestione della cyber security. Il primo passo è il cyber risk assessment, ovvero un processo strutturato che le aziende attuano per identificare, valutare e mitigare i rischi cyber; scopo del processo è fornire una panoramica dettagliata delle vulnerabilità esistenti, delle minacce cyber potenziali e delle conseguenze dei rischi informatici, così da identificare le priorità di azione.
Come funziona un cyber risk assessment
Per quanto possa differire da un’organizzazione all’altra, un cyber risk assessment segue generalmente alcuni step chiave.
- Il primo passaggio è la raccolta delle informazioni circa gli asset digitali critici dell’azienda, inclusi i dati, le reti, le applicazioni e i sistemi. Questo consente di ottenere una prima stima sommaria di cosa necessiti di protezione.
- Il passaggio successivo, guidato da consulenti esperiti, è l’identificazione delle minacce potenziali che potrebbero compromettere la sicurezza, l’operatività e la riservatezza di tali risorse. Gli indiziati sono spesso gli attacchi esterni via malware, phishing e DDoS, oppure atti di sabotaggio o errori interni. Si consideri che basta inviare un documento riservato via email alla persona sbagliata per causare formalmente un data breach. È utile compiere un’analisi approfondita delle minacce estendendo il perimetro anche alle identità e alla brand reputation.
- Affinché i rischi si tramutino in danni concreti o in violazioni del dettato normativo, è necessaria la presenza di specifiche vulnerabilità e la capacità, da parte dei threat actor, di sfruttarle a proprio vantaggio. Qui si entra in un ambito specifico che è quello del vulnerability assessment, che oltre alla scansione delle vulnerabilità (attività solitamente automatizzata), ne identifica l’effettiva gravità per l’azienda.
- Infine, si effettua un’analisi dell’impatto, ovvero si stimano le conseguenze finanziarie, operative e reputazionali (queste sono le più difficili da quantificare) di un attacco, per comprendere meglio le conseguenze e prioritizzare le azioni di mitigazione del rischio.
Cyber risk assessment, ora è possibile sviluppare una strategia di difesa
Dopo il cyber risk assessment, è possibile sviluppare una vera e propria security strategy. La strategia deve essere condizionata dall'analisi condotta in precedenza, tenendo conto (in ottica di priorità) sia delle minacce più probabili che di quelle ad alto impatto.
Per gestire efficacemente questi rischi, occorre definire un approccio metodologico e dotarsi dei giusti strumenti di difesa, sia in chiave preventiva che reattiva e di remediation. A livello metodologico, vanno definiti ruoli, procedure e policy di sicurezza, che minimizzino il rischio cyber e garantiscano, nel caso, una risposta rapida ed efficace.
A livello tecnico, è necessario implementare strumenti e tecnologie avanzate come ad esempio la crittografia, i sistemi di accesso a più fattori, i sistemi di protezione delle reti e degli endpoint, facendoli convergere in un’unica grande strategia di sicurezza. Qualora la sfida siano le competenze, sempre più rare di questi tempi, un’opzione consigliata è rivolgersi ad operatori specializzati, in grado di monitorare costantemente l’infrastruttura dei propri clienti, rilevare comportamenti sospetti e agire di conseguenza.