La gestione del rischio informatico, detta anche gestione del rischio di cybersecurity, è il processo volto a identificare, assegnare priorità, gestire e monitorare i rischi per i sistemi di informazioni. Nei vari settori dell'industria, le aziende utilizzano la gestione del rischio informatico per proteggere i sistemi di informazioni da attacchi informatici e altre minacce digitali e fisiche.
La gestione del rischio informatico infatti è ormai diventata una parte vitale delle più ampie attività di gestione del rischio aziendale. Per svolgere le principali funzioni di business oggigiorno le imprese dipendono dalle tecnologie dell'informazione (IT) che le espone a criminali informatici, errori dei dipendenti, disastri naturali e altre minacce alla sicurezza informatica. Tali minacce possono interrompere la connessione di sistemi critici o creare scompiglio in altri modi, con conseguenze quali mancato guadagno, furti di dati, danni duraturi alla reputazione e sanzioni normative.
Anche se è impossibile eliminare questi rischi, i programmi di gestione del rischio informatico possono aiutare a mitigare l'impatto e la probabilità di minacce. Le aziende utilizzano il processo di gestione del rischio informatico per individuare le minacce più critiche e scegliere le opportune misure di sicurezza IT in base alle priorità del business, all'infrastruttura IT e ai livelli di risorsa.
È difficile valutare il rischio informatico con certezza matematica. Raramente le aziende hanno piena visibilità sulle tattiche dei criminali informatici, sulle vulnerabilità della propria rete o su rischi più imprevedibili come condizioni meteorologiche avverse e negligenza dei dipendenti. Inoltre, gli stessi tipi di attacchi informatici possono avere conseguenze diverse da un'azienda all'altra. Le violazioni dei dati nel settore dell'assistenza sanitaria costano in media 10,10 milioni di dollari, mentre il costo per il settore alberghiero è di 2,9 milioni di dollari, secondo il rapporto IBM Cost of a Data Breach.
Per questi motivi, autorità quali il National Institute of Standards and Technology (NIST) suggeriscono di affrontare la gestione del rischio informatico come un processo iterativo continuo anziché un evento unico. La revisione periodica del processo consente a un’azienda di incorporare nuove informazioni e rispondere ai nuovi sviluppi nell'ambito del più ampio panorama minacce e a livello dei propri sistemi IT.
Per assicurare che le decisioni sul rischio tengano conto delle priorità e delle esperienze dell’intera organizzazione, il processo è generalmente gestito da una combinazione di stakeholder. I team di gestione del rischio informatico possono includere amministratori, dirigenti come il CEO e il Chief Information Security Officer (CISO), membri dei team IT e di sicurezza, funzionari dell'ufficio legale e HR e rappresentanti di altre unità di business.
Numerose sono le metodologie di gestione del rischio informatico che possono essere utilizzate in azienda, tra cui il NIST Cybersecurity Framework (NIST CSF) e il NIST Risk Management Framework (NIST RMF). Pur differendo leggermente, tutti questi metodi seguono una catena molto simile di passaggi di lavoro fondamentali.
L'inquadramento del rischio è l’atto di definire il contesto in cui vengono prese le decisioni sul rischio. Inquadrando il rischio fin dall’inizio, le aziende possono allineare le proprie strategie di gestione del rischio alle strategie aziendali globali. Questo allineamento contribuisce a evitare errori inefficaci e costosi, come l'implementazione di controlli che interferiscono con funzioni chiave di business.
Per inquadrare il rischio, le aziende definiscono aspetti quali:
Ambito del processo: quali sistemi e immobilizzazioni saranno esaminati? Quali tipi di minacce verranno analizzate? Quale scala temporale verrà presa in considerazione (ad esempio, i rischi nei prossimi sei mesi, nel prossimo anno, ecc.)?
Inventario e assegnazione priorità delle immobilizzazioni: quali dati, dispositivi, software e altri asset sono presenti nella rete? Quali di queste immobilizzazioni sono più critiche per l'organizzazione?
Risorse organizzative e priorità: quali sistemi IT e processi di business sono più importanti? Quali risorse, finanziarie e non, impegnerà l’azienda nella gestione del rischio informatico?
Requisiti legali e normativi: a quali leggi, standard o altri mandati deve ottemperare l'azienda?
Queste e altre considerazioni forniscono all’azienda le linee guida generali nel processo decisionale sui rischi. Aiutano inoltre l'azienda a definire la propria tolleranza al rischio, ovvero i tipi di rischi che può e non può accettare.
Attraverso l'accertamento del rischio di cybersecurity, le aziende identificano minacce e vulnerabilità, stimano i loro potenziali impatti e assegnano priorità ai rischi più critici.
Il modo in cui un'azienda conduce l'accertamento del rischio dipenderà dalle priorità, dall'ambito e dalla tolleranza al rischio definiti nella fase di inquadramento. Nella maggior parte dei casi vengono valutati i seguenti aspetti:
Minacce: persone ed eventi che possono interrompere un sistema IT, sottrarre dati o compromettere in altro modo la sicurezza delle informazioni. Le minacce includono attacchi informatici intenzionali (come ransomware o phishing) ed errori dei dipendenti (quale la memorizzazione di informazioni riservate in database non protetti). Anche i disastri naturali, come terremoti e uragani, possono rappresentare una minaccia per i sistemi di informazioni.
Vulnerabilità: errori o debolezze di un sistema, un processo o un asset di cui possono approfittare le minacce per causare danni. Le vulnerabilità possono essere tecniche, come un firewall configurato in modo erroneo e tale da consentire al malware di penetrare in una rete o un bug del sistema operativo che gli hacker possono sfruttare per assumere il controllo di un dispositivo da remoto. Le vulnerabilità possono derivare anche da politiche e processi inefficaci, ad esempio una politica di controllo accessi poco rigorosa che consenta alle persone di accedere a più asset di quelli richiesti.
Impatti: ciò che una minaccia può fare a un’azienda. Una minaccia informatica può interrompere servizi critici, causando tempi di inattività e mancato guadagno. Gli hacker possono sottrarre o distruggere dati sensibili. Attraverso attacchi di compromissione delle e-mail aziendali abili truffatori possono indurre i dipendenti a inviare loro denaro.
Gli impatti di una minaccia possono riverberarsi oltre l'organizzazione. I clienti a cui vengono sottratte informazioni che permettono l'identificazione personale (PII) durante una violazione dei dati sono essi stessi vittime dell'attacco.
Poiché può essere difficile quantificare l'impatto esatto di una minaccia sulla sicurezza informatica, le aziende spesso utilizzano dati qualitativi quali tendenze cronologiche e storie di attacchi su altre organizzazioni per stimare l'impatto. Anche la criticità degli asset è un fattore chiave: quanto più un asset è critico, tanto più costosi saranno gli attacchi contro di esso.
Rischio: misura la probabilità che una potenziale minaccia si ripercuota su un'organizzazione e il danno che potrebbe derivarne. Le minacce più probabili e suscettibili di causare danni significativi sono le più rischiose, mentre le meno rischiose sono quelle improbabili che possono causare danni di lieve entità.
Durante l'analisi del rischio, le aziende prendono in considerazione fattori multipli per valutare la probabilità di una minaccia. I controlli di sicurezza esistenti, la natura delle vulnerabilità IT e il tipo di dati conservati da un’azienda sono tutti aspetti che possono influire sulla probabilità delle minacce. Anche il settore di un'azienda può svolgere un ruolo determinante: come infatti emerge dall'X-Force Threat Intelligence Index le organizzazioni che operano nei comparti della produzione industriale e finanziario affrontano un maggior numero di attacchi informatici rispetto alle organizzazioni nell'industria dei trasporti e delle telecomunicazioni.
L'accertamento del rischio può basarsi su fonti di dati interne, come i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM), e sulla threat intelligence esterna. Può inoltre analizzare minacce e vulnerabilità nella catena di fornitura dell'azienda, poiché gli attacchi ai fornitori possono influire sull'azienda stessa.
Soppesando tutti questi fattori, l'organizzazione è in grado di costruire il proprio profilo di rischio. Tale profilo fornisce il repertorio dei potenziali rischi dell'azienda, assegnando priorità in base al livello di criticità. Quanto più una minaccia è rischiosa, tanto più critica è per l’organizzazione.
L'accertamento del rischio è utile all'azienda per determinare la sua risposta ai rischi potenziali. I rischi ritenuti altamente improbabili o a basso impatto possono essere semplicemente accettati, poiché investire in misure di sicurezza può risultare più costoso del rischio stesso.
Solitamente verranno invece affrontati i rischi probabili e quelli con impatti più elevati. Le possibili risposte al rischio includono:
L'attenuazione implica l'uso di controlli di sicurezza che rendono più difficile sfruttare una vulnerabilità o che ne riducono al minimo l'impatto. Esempi includono il posizionamento di un sistema di prevenzione delle intrusioni attorno a un asset di valore e l'implementazione di piani di risposta agli incidenti per rilevare e affrontare rapidamente le minacce.
Correzione significa affrontare una vulnerabilità in ogni suo aspetto per impedire che venga sfruttata. Esempi includono correggere un bug del software o ritirare un asset vulnerabile.
Se l'attenuazione e la correzione sono inattuabili, un'azienda può trasferire ad altri la responsabilità del rischio. L’acquisto di una polizza assicurativa informatica è il modo più comune per le aziende di trasferire il rischio.
L'organizzazione monitora i nuovi controlli di sicurezza per verificare che funzionino come previsto e soddisfino i requisiti normativi pertinenti.
L'organizzazione tiene inoltre sotto controllo il più ampio panorama minacce e il proprio ecosistema IT. Eventuali cambiamenti nell'uno o nell'altro, quali l’insorgere di nuove minacce o l’aggiunta di nuovi asset IT, possono far emergere nuove vulnerabilità o rendere obsoleti controlli precedentemente efficaci. Mantenendo una sorveglianza costante, l’azienda può perfezionare il proprio programma di sicurezza informatica e la strategia di gestione del rischio quasi in tempo reale.
Con l'imporsi della tecnologia in ogni attività del business, dalle operazioni giornaliere ai processi aziendali critici, i sistemi IT sono diventati sempre più grandi e complessi. L'esplosione dei servizi cloud, l'aumento del lavoro da remoto e la crescente dipendenza da fornitori terzi di servizi IT hanno aperto la rete dell'azienda media a un numero crescente di persone, dispositivi e software. A mano a mano che un sistema IT cresce, tuttavia, aumenta anche la sua superficie di attacco. Le iniziative di gestione del rischio informatico offrono alle aziende un modo per mappare e gestire le mutevoli superfici di attacco, migliorando il livello di sicurezza.
Anche il più ampio panorama minacce è in continua evoluzione. Ogni mese all'incirca 2.000 nuove vulnerabilità vengono aggiunte al database delle vulnerabilità nazionali NIST National Vulnerability Database (link esterno a ibm.com). Migliaia di nuove varianti di malware vengono rilevate mensilmente (link esterno a ibm.com), e questo è solo un tipo di minaccia informatica.
Sarebbe irrealistico e finanziariamente impossibile per un’azienda eliminare tutte le vulnerabilità e contrastare efficacemente ogni minaccia. La gestione del rischio informatico può offrire alle aziende un modo più pratico di gestire il rischio concentrando gli sforzi in materia di sicurezza delle informazioni su quelle minacce e vulnerabilità che hanno maggiori probabilità di recare danno. In questo modo, l'azienda non applica controlli costosi su asset di basso valore e non critici.
Le iniziative di gestione del rischio informatico possono inoltre aiutare le organizzazioni a ottemperare al Regolamento Generale sulla Protezione dei Dati (GDPR), all'Health Insurance Portability and Accountability Act (HIPAA), al Payment Card Industry Data Security Standard (PCI-DSS) e altre normative. Nel processo di gestione del rischio informatico le aziende considerano questi standard per la progettazione dei propri programmi di protezione. Report e dati generati durante la fase di monitoraggio possono aiutare le aziende a dimostrare di aver svolto la dovuta diligenza durante gli audit e le indagini su eventuali violazioni.
A volte alle aziende può essere richiesto di conformarsi a specifici framework di gestione del rischio. Le agenzie federali statunitensi devono aderire a entrambi i framework RMF e CSF del NIST. Anche i contractor federali possono essere sottoposti a tali framework, poiché i contratti governativi spesso si basano su standard NIST per stabilire i requisiti di sicurezza informatica.
Supera in astuzia gli attori delle minacce con una suite di sicurezza connessa e modernizzata. Il portafoglio QRadar incorpora AI di grado aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, SIEM e SOAR, il tutto con un'interfaccia utente comune, conoscenze condivise e workflow connessi.
L'individuazione proattiva, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che un reparto IT già molto impegnato deve affrontare. Disporre di un team di risposta agli incidenti affidabile e pronto a intervenire può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare con maggior rapidità.
Gestisci il rischio IT stabilendo strutture di governance che contribuiscano a raggiungere il massimo grado di attuazione della sicurezza informatica con un approccio integrato di governance, rischio e conformità (GRC)
Il report Cost of a Data Breach offre una carrellata sul dilagante panorama minacce e raccomandazioni su come risparmiare tempo e limitare le perdite.
Scopri conoscenze attivabili per capire in che modo gli attori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.
La gestione del rischio è il processo di identificazione, valutazione e controllo dei rischi finanziari, legali, strategici e di sicurezza per il capitale e i ricavi di un'organizzazione.