Pubblicato da
HWG
il
Dopo averne osservato l’importanza strategica, le aree sulle quali insiste e la sua correlazione con un’adeguata postura digitale di sicurezza, scendiamo sul terreno della pratica per capire quali passaggi attuano un efficace cyber risk assessment. La consapevolezza del livello di sicurezza di un’organizzazione è cruciale per individuare quante e quali sono le vulnerabilità della rete aziendale; per proteggere i dati e le informazioni sensibili in ognuno dei loro pillar (Confidenzialità, Integrità, Accessibilità); per calcolare nel modo più preciso possibile il rapporto tra costi e benefici degli investimenti in cybersecurity.
I passaggi dell’assessment
Il primo passaggio da affrontare nella costruzione dell’assessment è identificare dati e risorse esposte a eventuali attacchi e comprendere il tipo di vulnerabilità che li coinvolge. Una volta definito con chiarezza questo aspetto, si passa alla definizione delle azioni da porre in essere per gestire i fattori di rischio; nello specifico, per capire quali accettare, mitigare o eliminare del tutto dallo scenario con cui ci si misura.
Lo step successivo riguarda l’analisi dell’impatto sul business, che consiste nella valutazione – inevitabilmente condotta a priori – dei danni e delle conseguenti perdite causate da un eventuale cyber attacco alla rete dell’azienda o dell’organizzazione. L’analisi ha il compito di stabilire i due principali KPI (Key Performance Indicator) sui quali basare l’azione di difesa in caso di incidente:
1) Recovery Time Objective (RTO): indica il tempo necessario per ripristinare l’operatività della rete aziendale;
2) Recovery Point Objective (RPO): il massimo intervallo di tempo tra la generazione di un dato e la sua messa in sicurezza. Ciò consente di calcolare anche la quantità massima di dati che l’organizzazione potrebbe permettersi di perdere come conseguenza di un attacco.
L’ultimo passaggio del cyber risk assessment consiste nell’individuazione del cosiddetto threat model da applicare all’organizzazione, cioè delle azioni di prevenzione e correzione da implementare per costruire il sistema di difesa informatica.
Il ruolo del board nel cyber risk assessment
L’analisi e la valutazione del rischio informatico costituiscono un momento delicato e cruciale per la vita dell’organizzazione. Per questo, il coinvolgimento del board non può essere limitato a un semplice rapporto di scambio di informazioni con i dipartimenti interni che si occupano di Information Technology. Al contrario, è necessario che i vertici siano attivi su un doppio livello:
- esercitare compiti di supervisione per i quali avvalersi della miglior seniority disponibile nel campo della cybersecurity;
- ampliare con costanza le proprie conoscenze in materia.
Su quest’ultimo punto, le possibilità da praticare sono numerose. I vertici aziendali, infatti, possono lavorare sulle relazioni con gli stakeholder esperti, dai quali ottenere supporto e consulenza per prendere decisioni strategiche e con i quali instaurare un rapporto continuativo di scambio di informazioni basato su report periodici chiari e puntuali.
A riguardo, molto preziosi possono rivelarsi i momenti di formazione condotti con regolarità sui trend e sugli aggiornamenti in tema di cybersecurity, oltre che audit esterni per ottenere valutazioni indipendenti sulla base dei benchmark offerti dal settore in cui si opera.
I passaggi dell’assessment
Il primo passaggio da affrontare nella costruzione dell’assessment è identificare dati e risorse esposte a eventuali attacchi e comprendere il tipo di vulnerabilità che li coinvolge. Una volta definito con chiarezza questo aspetto, si passa alla definizione delle azioni da porre in essere per gestire i fattori di rischio; nello specifico, per capire quali accettare, mitigare o eliminare del tutto dallo scenario con cui ci si misura.
Lo step successivo riguarda l’analisi dell’impatto sul business, che consiste nella valutazione – inevitabilmente condotta a priori – dei danni e delle conseguenti perdite causate da un eventuale cyber attacco alla rete dell’azienda o dell’organizzazione. L’analisi ha il compito di stabilire i due principali KPI (Key Performance Indicator) sui quali basare l’azione di difesa in caso di incidente:
1) Recovery Time Objective (RTO): indica il tempo necessario per ripristinare l’operatività della rete aziendale;
2) Recovery Point Objective (RPO): il massimo intervallo di tempo tra la generazione di un dato e la sua messa in sicurezza. Ciò consente di calcolare anche la quantità massima di dati che l’organizzazione potrebbe permettersi di perdere come conseguenza di un attacco.
L’ultimo passaggio del cyber risk assessment consiste nell’individuazione del cosiddetto threat model da applicare all’organizzazione, cioè delle azioni di prevenzione e correzione da implementare per costruire il sistema di difesa informatica.
Il ruolo del board nel cyber risk assessment
L’analisi e la valutazione del rischio informatico costituiscono un momento delicato e cruciale per la vita dell’organizzazione. Per questo, il coinvolgimento del board non può essere limitato a un semplice rapporto di scambio di informazioni con i dipartimenti interni che si occupano di Information Technology. Al contrario, è necessario che i vertici siano attivi su un doppio livello:
- esercitare compiti di supervisione per i quali avvalersi della miglior seniority disponibile nel campo della cybersecurity;
- ampliare con costanza le proprie conoscenze in materia.
Su quest’ultimo punto, le possibilità da praticare sono numerose. I vertici aziendali, infatti, possono lavorare sulle relazioni con gli stakeholder esperti, dai quali ottenere supporto e consulenza per prendere decisioni strategiche e con i quali instaurare un rapporto continuativo di scambio di informazioni basato su report periodici chiari e puntuali.
A riguardo, molto preziosi possono rivelarsi i momenti di formazione condotti con regolarità sui trend e sugli aggiornamenti in tema di cybersecurity, oltre che audit esterni per ottenere valutazioni indipendenti sulla base dei benchmark offerti dal settore in cui si opera.
