Il cyber risk è una realtà con cui tutte le organizzazioni - pubbliche e private - si confrontano ogni giorno, tanto che per gli esperti di cybersecurity il problema non è più “se” si subirà un attacco, ma “quando”. Emergenza sanitaria, sviluppo delle tecnologie, trasformazione digitale: tutto ciò concorre a orientare fortemente il business verso l’online, favorendo così anche il lavoro dei cyber criminali.
Per comprendere bene il futuro che si prospetta, è utile osservare quanto ha rilevato l’ENISA (l’Agenzia dell’Unione Europea per la Cybersecurity) sulle minacce più probabili che ci attendono da qui al 2030, riassunte nell’infografica sottostante.
Come evidenziato, il panorama è variegato e dagli ampi confini, dentro i quali spiccano ambiti strategici come la supply chain e le seguenti situazioni critiche:
- aumento della disinformazione, della sorveglianza digitale e delle minacce alla privacy;
- attacchi mirati più efficaci grazie ai dati raccolti da dispositivi smart;
- verificarsi di errori umani ed exploit nei sistemi legacy;
- carenza di professionisti specializzati nella sicurezza;
- abuso di Intelligenza Artificiale.
Questo processo implica a sua volta la necessità di definire un cyber risk assessment puntuale e preciso.
Le aree su cui lavorare
Il percorso di sviluppo del cyber risk assessment parte da un’analisi del contesto in cui l’organizzazione opera ogni giorno per definire un framework di azioni finalizzate al raggiungimento dell’obiettivo. È questo il momento in cui si definiscono le priorità da osservare e da applicare sia a quanto viene già effettuato dall’organizzazione per alimentare la propria sicurezza dal rischio informatico, sia a eventuali nuove azioni che debbano essere implementate dopo l’analisi del contesto.
Una volta chiarito il target, si passa all’azione concreta: misurare e comprendere la distanza che corre tra lo stato dell’arte in cui l’organizzazione opera ogni giorno e lo stato espresso dall’obiettivo. L’esito di questa fase - che può essere condotta con diversi strumenti, per esempio delle survey su come dipendenti, collaboratori o fornitori esterni agiscono in determinate situazioni di rischio - è la creazione del profilo di sicurezza attuale dell’organizzazione.
È a questo punto che si può procedere alla valutazione della distanza sopra menzionata, quella che corre tra lo stato dell’arte e l’obiettivo da raggiungere.
L’approccio al cyber risk assessment
In linea generale, un’organizzazione può scegliere se adottare, nel percorso di definizione del risk assessment, un approccio quantitativo o qualitativo. Quest’ultimo, com’è intuitivo, valorizza elementi soggettivi e difficilmente misurabili, al contrario del primo che invece adotta metriche stabilite in precedenza puntando alla maggior obiettività possibile. L’approccio qualitativo solitamente viene adottato quando i tempi e il budget a disposizione sono limitati, prediligendo come esigenza primaria un processo snello. Il secondo risulta invece più analitico e adatto a un monitoraggio periodico delle attività di cyber security, portandoci ad ottenere risultati più dettagliati e utili (anche in ottica di misurazione del ROI in sicurezza).
Nella definizione del risk assessment un approccio non esclude l’altro; anzi, la loro integrazione è possibile e consigliata.
