Il Risk Assessment diventa Rating di Cybersecurity

Negli ultimi anni, le minacce cibernetiche si sono evolute sempre di più diventando sempre più forti e difficili da combattere, dal momento che i cybercriminali utilizzano tecniche sempre più sofisticate oltre a quelle tradizionali. Queste ultime risultano essere quelle con la percentuale più alta di riuscita – phishing, social engineering, ransomware. Tutto questo è dovuto anche da una maggiore digitalizzazione e ad un maggiore uso delle tecnologie, che collegate a internet, mettono a serio rischio la continuità operativa delle aziende.

Le aziende, pubbliche e private, sono sotto attacco e questo, se non rilevato, potrebbe minacciare non solo la reputazione e l’immagine della stessa azienda, ma anche e soprattutto la riservatezza dei dati, portando con sé conseguenze che potrebbero rivelarsi devastanti.

Per capire di cosa si sta parlando potremmo prendere come elementi di valutazione i dati contenuti nel Threat Intelligence Report sviluppato dall’Osservatorio Cybersecurity di Exprivia[1] che ha calcolato 349 eventi nel primo trimestre 2021 tra attacchi, incidenti e violazioni della privacy. La percentuale di attacchi andati a segno è diminuita rispetto al trimestre precedente; questo è un indicatore di come, l’implementazione della cybersecurity, apporta maggiori benefici alle aziende in termini, appunto, di sicurezza informatica. Se da un lato gli attacchi informatici sono diminuiti, sul versante delle violazioni privacy e riservatezza dei dati sono aumentati del 55% rispetto al trimestre precedente.

Importante quindi implementare un’attività di Risk Assessment, per poter individuare, analizzare e arginare eventuali debolezze informatiche e umane.

Il Risk Assessment

Al fine di gestire al meglio il rischio aziendale, il Risk Assessment – Valutazione del Rischio – rappresenta un passaggio fondamentale. Il Risk Assessment abbraccia diversi aspetti, dalle politiche, ai processi, alla formazione dei dipendenti e alle tecnologie utilizzate per proteggere gli utenti e i dati di un’organizzazione. La valutazione del rischio si svolge attraverso diverse fasi[2], che possono cambiare in base all’ambito in cui essa viene svolta:

1. Determinare il contesto dell’organizzazione, cosa o chi potrebbe essere danneggiato. Il primo passo in una valutazione del rischio è determinare gli elementi principali dell’azienda – ambito di business, dati trattati, infrastrutture utilizzate, numeri di dipendenti – che potrebbero costituire un pericolo per il livello di sicurezza.
2. Valutare i rischi e sviluppare misure di controllo. Dopo l’individuazione dei diversi pericoli, è necessario valutare le minacce che si possono verificare, quali rischi si corrono, e valutare le misure di sicurezza da applicare e adeguarle al caso specifico (ad esempio, file contenenti dati personali di altri soggetti, condivisi con dipendenti non autorizzati, mettono a rischio la riservatezza dei dati e quindi deve essere applicata una misura di sicurezza appropriata).
3. Registrare i risultati. I risultati della valutazione devono essere registrati e archiviati e devono contenere dettagli sui potenziali pericoli, rischi associati e misure per minimizzare tali minacce.
4. Rivedere e aggiornare regolarmente la valutazione del rischio. È necessario effettuare periodicamente la valutazione del rischio in quanto le tecnologie sono in continuo cambiamento e progresso, e di conseguenza, i potenziali pericoli, rischi e i relativi controlli possono cambiare velocemente.

Dopo aver effettuato il Risk Assessment è possibile calcolare il rating di rischio, che viene fornito attraverso una funzione matematica: R= P x D, dove con P si intende la probabilità che l’evento indesiderato si possa verificare tenendo conto delle misure di sicurezza presenti al momento della valutazione; D (danno) è la gravità delle conseguenze dell’evento indesiderato.

Dalla moltiplicazione dei dati acquisiti, si può ottenere una panoramica della gravità della situazione dell’azienda a livello di sicurezza informatica e agire di conseguenza.

Rating di Cybersecurity: evoluzione del Risk Assessment

Oggi possono essere utilizzati diversi framework per poter valutare il rischio aziendale, in base alle caratteristiche dell’organizzazione: dimensione, numero dipendenti, dati trattati, budget disponibile per investire nella cybersecurity.

Un’evoluzione del Risk Assessment può essere individuata nel Rating di Cybersecurity, un sistema professionale che consente, attraverso un insieme di procedure e di misure di sicurezza, di determinare e incrementare il livello di sicurezza informatica dell’azienda. Un modello che intreccia gli aspetti della Cybersecurity e Data Protection.

Un framework di valutazione del rischio informatico sviluppato dal NIST e che Mondo27001 ha voluto implementare con altri elementi da valutare basati sugli aspetti del:

• GDPR (Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali)
• Certificazione ISO 27001 (Sistema di Gestione per la Sicurezza delle informazioni)
• Linee Guida Agid per la Pubblica Amministrazione.

Con il Rating di Cybersecurity è possibile valutare diverse categorie, collegabili sia al mondo IT che al mondo privacy; prevede una valutazione mirata su ben 151 controlli suddivisi in categorie e sottocategorie alle quali vengono rispettivamente assegnati dei punteggi, che permettono di capire se l’organizzazione ha adottato determinate procedure oppure deve incrementare le misure di sicurezza.

Seppur le attività di Risk Assessment e Rating Di Cybersecurity siano molto simili, quest’ultima è più completa ed è strutturata in modo tale da controllare tutti gli aspetti dell’organizzazione in maniera approfondita, ponendo domande ben precise per ogni settore.

Il Rating di Cybersecurity, effettuato in maniera ciclica, può apportare all’azienda diversi benefici:

• Framework basato sull’approccio scientifico permette di avere risultato oggettivo della sicurezza informatica dell’azienda;
• Visione multidisciplinare in quanto incrocia elementi tipicamente IT con elementi giuridici;
• Misurabilità periodica della valutazione;
• Possibilità di essere seguiti da consulenti del settore, che ponendo obiettivi, incentivano le aziende a disporre misure e procedure di sicurezza adeguate;
• Strumento, che richiamando i principi del GDPR, permette di rispondere correttamente al principio di Accountability del GDPR.

Gli innumerevoli vantaggi ci permettono di vantare ed offrire uno strumento alla portata di tutte le aziende in particolare, a quelle aziende che hanno a cuore il proprio core business.

[1] https://www.securityopenlab.it/news/1314/cyber-attacchi-in-italia-nel-2021-colpiti-app-social-e-banking.html

[2] https://www.dogma.it/it/news/risk-assessment