Risk assessment, ovvero come prevenire rischi e danni in azienda
2023-10-2 15:16:43 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏

L'approfondimento

Nel contesto degli ecosistemi digitali l’analisi del rischio cyber è un processo che richiede competenze. Vediamo nel dettaglio di cosa si tratta e perché necessario e opportuno praticarla con regolarità, metodo e consapevolezza

Pubblicato il 02 Ott 2023

Il concetto dell’analisi di rischio non è nuovo nel contesto di mercato. Una valutazione del rischio è un processo sistematico eseguito da una persona competente che prevede l’identificazione, l’analisi e il controllo dei pericoli e dei rischi presenti in una situazione o in un luogo (Fonte Safety Culture).

È dunque una nozione applicata in diversi ambiti di mercato e a vari livelli dell’impresa: sono note le analisi sicurezza sul lavoro, le analisi di rischio finanziario e quelle su determinati rischi tecnico/operativi.

Nel contesto degli ecosistemi digitali l’analisi rischio assume particolare valenza in relazione ai rischi di sicurezza informatica e quindi ci si riferisce ai rischi di cyber security applicando concetti e prassi consolidate ad un ambiente tecnologico nuovo, certamente non immune da quelle specificità che hanno richiesto alle tecniche di analisi di rischio di innovare e svilupparsi per essere all’altezza di una analisi in un sistema complesso quale è lo stack digitale.

Vediamo di cosa si tratta e perché necessario e opportuno praticarla con regolarità, metodo e consapevolezza.

L’importanza della valutazione del rischio nella cyber security

Che cos’è il risk assessment

Un definizione di risk assessment la fornisce il National Institute of Standards and Technology (NIST) nel suo Glossario. Infatti, si indica come valutazione del rischio, il processo di identificazione, analisi e valutazione del rischio applicato a tutta l’organizzazione, agli individui e agli asset coinvolti, sia analogici, sia digitali, la cui compromissione comporterebbe un danno materiale.

La Top 5 delle minacce informatiche e come contrastarle

In particolare, la valutazione del rischio di sicurezza informatica identifica le risorse informative che potrebbero essere colpite da un attacco informatico (come hardware, sistemi, laptop, dati dei clienti e proprietà intellettuale).

Quindi identifica i rischi che potrebbero influenzare tali attività. Di fatto, l’esecuzione di una valutazione del rischio può fornire ad ogni organizzazione ed ai suoi decisori (C-Level) una visione completa delle modalità di sfruttamento delle falle nella propria infrastruttura e dell’insieme delle applicazioni.

Parte della gestione del rischio, incorpora analisi di minacce e vulnerabilità e considera le mitigazioni fornite dai controlli di sicurezza pianificati o in atto. Quindi oltre a stima e valutazione del rischio, si selezionano dei controlli di sicurezza per trattare i rischi identificati.

In effetti l’analisi aiuta a garantire che la scelta dei controlli di sicurezza informatica sia adeguati ai rischi che l’organizzazione deve affrontare. Senza una adeguata valutazione del rischio si potrebbe sprecare tempo, fatica e risorse economiche investendo dove non serve davvero, oppure introducendo tecnologie non risolutive sul reale problema.

In aggiunta all’assessment è opportuno monitorare e rivedere continuamente l’ambiente di rischio per rilevare eventuali cambiamenti nell’organizzazione e mantenere una visione d’insieme dell’intero processo di gestione del rischio.

Anche per questi motivi le recenti normative europee, compreso il GDPR, richiedono che vengano condotte valutazioni del rischio come misura preventiva e come mezzo di autovalutazione e check up della propria postura di sicurezza informatica.

Qual è lo scopo del risk assessment

Lo scopo di una valutazione del rischio di sicurezza informatica è identificare, valutare e dare priorità ai rischi per le informazioni e i sistemi informativi.

La valutazione del rischio di sicurezza informatica permette a tutte le organizzazioni di ogni ordine e grado, pubbliche e private, di avere conoscenza, riconoscere, comprendere e dare priorità alle aree di rischio, che possono essere viste come aree miglioramento in un programma di sicurezza informatica.

Naturalmente una valutazione del rischio può aiutare l’organizzazione a sviluppare un piano per rispondere e quindi riprendersi da un attacco informatico.

La valutazione è anche un’analisi che apporta il vantaggio di poter comunicare i propri rischi alle parti interessate interne aziendali al fine di prendere decisioni informate su come allocare le risorse per ridurre tali rischi.

Quando l’analisi di rischio è estesa alle terze parti, la visione sistemica di prevenzione dai rischi di sicurezza è estesa a tutta la supply chain al fine di proteggere e tutelare l’ecosistema commerciale e/o produttivo e individuare le appropriate misure di sicurezza adottando tecnologie e/o servizi di protezione per tutta la filiera.

Le linee guida ENISA per la cyber security della supply chain

I vantaggi dell’adozione del risk assessment per l’impresa

I benefici delle analisi di rischio in generale riguardano:

  • La capacità di saper evidenziare le informazioni di tipo oggettivo ai decisori.
  • La comprensione delle incertezze, dei rischi e delle opportunità e del loro potenziale impatto sugli obiettivi e sul successo dell’organizzazione.
  • L’identificazione dei principali anelli deboli nei sistemi e nelle organizzazioni.
  • Il confronto dei rischi identificati
  • La capacità di comunicazione dell’organizzazione su temi complessi come i rischi, le incertezze e le opportunità.
  • La razionalizzazione dei processi di manutenzione preventiva e per i controlli ispettivi
  • Il miglioramento delle capacità di Indagine post-incidente e di prevenzione.

Altri vantaggi sono anche quelli legati alla:

  • Determinazione delle vulnerabilità della sicurezza informatica: testare periodicamente l’infrastruttura e l’ambiente software per individuare potenziali problemi garantisce l’opportunità di adottare misure di risoluzione prima che un gruppo di malintenzionati possa trovarli e approfittare delle lacune e dei punti deboli per effettuare una violazione, sottrazione di dati a livello di rete aziendale, nei computer, in altri dispositivi smart e in altri aspetti dell’infrastruttura IT.
  • Contezza della propria capacità di mitigare o contrastare minacce alla sicurezza informatica: in caso di incidente di sicurezza (per errore o data breach) è cruciale sapere come rispondere agli attacchi, per ridurre l’entità del danno causato e per recuperare le informazioni e la piena operatività. Circa il 60% delle aziende non dispone di un piano di risposta informatica, fatto che le espone a un livello di pericolo critico, perché il tempo di risposta a un potenziale attacco potrebbe essere più lungo del tempo con cui gli attaccanti causano danni materiali.
  • Soddisfazione della conformità alle normative vigenti. Non tutte le aziende sono diligenti nel seguire le normative anche a causa di quei dipendenti che per una minore consapevolezza potrebbero operare in modo superficiale o non rispettoso, creando disallineamenti e quindi aree aziendali di non conformità.

Quali sono i 5 principi della valutazione del rischio

L’attività di analisi del rischio può essere suddivisa in cinque passaggi che permettono di comprendere la matodologia analitica con cui si procedere per comporre la visione sistemica di valutazione del rischio (fonte Michael Cobb) :

  • Definizione del perimetro/ambito/contesto a cui applicare la valutazione del rischio: in sostanza è necessario circoscrivere gli ambienti digitali interessati dall’analisi. Il perimetro di analisi può comprendere un’intera organizzazione o specifiche aree aziendali, alcune sedi o determinati comparti applicativi, quali la contabilità o i contesti di esercizio. Gli stakeholder degli ambienti digitali e operativi interessati devono essere responsabilizzati e coinvolti per identificare i processi e le risorse rilevanti, per individuare i rischi, valutare gli impatti e definire i livelli di tolleranza al rischio. Gli interessati a tale processo dovrebbero comprendere la terminologia pertinente, compresi i concetti di probabilità e impatto supportando anche i processi di comunicazione accurata e appropriata nei momenti di emergenza.
  • Identificazione delle minacce e delle vulnerabilità: una minaccia è qualsiasi evento che può causare danni alle risorse o ai processi di un’organizzazione. Le minacce possono essere interne o esterne, dannose o accidentali. Invece una vulnerabilità è un difetto che espone un’azienda a potenziali minacce. Si identificano mediante scansioni automatizzate ma anche attraverso azioni manuali e tentativi di penetrazione mediante test statici (SAST) e dinamici (DAST). Ogni minaccia e vulnerabilità dovrebbe essere valutata sia nel contesto fisico/analogico, sia nel contesto digitale per essere certi di aver considerato tutte le casistiche applicabili (probabili).
  • Analisi dei rischi e determinazione del potenziale impatto: in questa fase il fulcro è determinare in che modo gli scenari di rischio identificati possono avere un impatto sull’organizzazione, laddove per impatto si intende un danno quantificabile e materiale. Fattori che influenzano la determinazione del rischio potenziale vi sono: rilevabilità della vulnerabilità, facilità del suo sfruttamento, riproducibilità delle minacce (alcune minacce rappresentano un’eccezione altre sono “sempreverdi” n.d.r.), prevalenza della minaccia per un determinato settore o categoria di aziende, similitudine storica di incidenti.
  • Prioritizzazione dei rischi: si utilizza una matrice di rischio per classificare ciascuno scenario definendo un rapporto di tolleranza al rischio e specificando quali scenari di minaccia superano tale soglia di tolleranza. In base alla matrice di rischio è possibile determinare una delle tre azioni: evitare il rischio, trasferirlo o mitigarlo. Nel primo caso se il rischio è basso e non vale la pena mitigarlo, e si preferisce non intraprendere azioni; se il rischio è significativo ma difficile da affrontare, è possibile condividere il rischio trasferendo la responsabilità a terzi (società di assicurazione o mediante sottoscrizione di un servizio di outsourcing); nel caso della mitigazione, infine, si implementano controlli di sicurezza e altre misure per ridurne la frequenza e il potenziale impatto.

Il rischio residuo, risultante dalla sottrazione fra il valore di rischio assoluto e il valore del rischio mitigato, deve essere accettato in modo formale dalle parti interessate.

  • Documentazione di tutti i rischi e degli scenari identificati con l’obiettivo di periodica revisione e aggiornamento, al fine di fornire visibilità sempre aggiornata e continua del rischio, in un ciclo continuo di virtuoso miglioramento.

Che cos’è il risk management: sfide e opportunità per le aziende

Risk management o risk assessment?

I concetti di gestione del rischio e di valutazione del rischio possono sembrare simili, ma in effetti hanno una importante differenza: mentre la gestione del rischio è lo sforzo continuo per identificare e risolvere tutti i problemi noti ed implica l’identificazione mensile o settimanale di rischi e problemi mediante occorrenze ripetute di valutazione del rischio, la valutazione del rischio è un evento singolo mirato a individuare le lacune e i punti deboli della sicurezza prima che gli autori delle minacce li sfruttino esaminando e testando sistemi e persone.

Dunque, la gestione del rischio, come flusso di processo, richiede periodiche occasioni di valutazioni di rischio su uno specifico ambito, perimetro o ambiente. D’altra parte la valutazione del rischio è una singola occasione, durante la quale i problemi di sicurezza identificati sono classificati in base al rischio che rappresentano, fornendo raccomandazioni tecniche specifiche.

Nel processo di gestione del rischio ogni tipo di rischio è classificato e discusso dagli stakeholder, ovvero le parti interessate, perché la sicurezza correlata a quegli ambiti analizzati continui a essere valida. L’obiettivo è migliorare continuamente il livello di sicurezza dell’organizzazione ed eliminare i rischi non appena emergono. Per un approfondimento sul processo di gestione del rischio si può consultare la guida al “Risk Management”.

Cos’è l’ISO 31010: risk assessment techniques

Per operare su queste prassi e procedere con un approccio strutturato e guidato si può seguire lo standard della ISO IEC 31010: 2019 “Gestione del rischio – Tecniche di valutazione del rischio”, uno standard di supporto per lo standard internazionale sul rischio ISO 31000, che fornisce indicazioni sulla selezione e l’applicazione di tecniche per la valutazione del rischio in un’ampia gamma di situazioni.

In sostanza, la norma ISO 31010 introduce il lettore all’applicazione di una serie di tecniche di valutazione del rischio. La scelta della tecnica e il modo in cui viene applicata dovrebbero essere adattati al contesto e all’uso.

In particolare, la tecnica utilizzata dovrebbe fornire le informazioni rilevanti nel tipo e nella forma necessarie agli stakeholder interni ed esterni per il processo decisionale. Una lista delle tecniche e delle linee guida applicative è descritta dalla Lazarus Alliance.

18 Ottobre 2023 - 12:00

Strategie di Intelligenza Artificiale per la Sicurezza informatica: soluzioni tempestive ed efficaci

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/outlook/risk-assessment-ovvero-come-prevenire-rischi-e-danni-in-azienda/
如有侵权请联系:admin#unsafe.sh