Risk Assessment, che cos’è

1. Cos’è il rischio informatico

2. Cos’è l’IT Risk Assessment

3. Come fare una valutazione del rischio informatico

4. Perché fare una valutazione del rischio informatico

5. Conclusioni

Risk Assessment, in italiano “valutazione del rischio”, è fondamentale in ogni ambito.

In particolare nell’informatica, l’IT Risk Assessment permette, infatti, di essere preparati e consapevoli davanti ai rischi che si potrebbero presentare lungo un percorso. Quest’ultimi, infatti, sono un elemento costitutivo di ogni attività lavorativa e progettuale. Conoscerli e valutarli in maniera corretta può evitare che diventino danni o perdite. Esistono molti tipi di rischi: economici, operativi, di sicurezza.

In questo articolo parleremo dei rischi di sicurezza informatica e di protezione dei dati.
Cosa vuol dire valutarli? Perché farlo? E come?

Ma partiamo dall’inizio.

In generale, il rischio è la probabilità di subire un danno connessa a circostanze più o meno prevedibili.
Il Project Management Body of Knowledge (PMBOK), guida del Project Managment Institute (PMI), definisce il rischio come evento o situazione che può avere un effetto negativo su uno o più obiettivi di progetto.

Estendendo questa definizione, possiamo sostituire la parola “progetto” con “obiettivo dell’organizzazione”.
Per quanto riguarda il rischio informatico, infatti, si fa riferimento a qualsiasi rischio di perdita finanziaria, di distruzione o di danno alla reputazione di un’organizzazione dovuta a un malfunzionamento di un sistema informativo (fonte: Institute of Risk Management).

Questo danno può derivare da:

1. Eventi accidentali

   Sono azioni causate accidentalmente dall’utente, come un guasto, lo spegnimento del server o incompatibilità di parti di hardware.

2. Eventi dolosi

   Sono azioni causate intenzionalmente da utenti non autorizzati al trattamento dei dati o dei servizi.

Nella maggior parte dei casi, i rischi informatici sono associati a eventi che potrebbero causare la violazione dei dati.
Questi, infatti, sono connessi anche a minacce alla sicurezza informatica.

Esempi di rischi informatici legati ad attacchi malevoli sono:

• Phishing

• Ransomware

• Malware

• Furto di dati

• Ingegneria sociale

• Backdoor

• Spyware

• Spoofing

Gli eventi legati ai rischi informatici possono causare danni a sistemi elettronici o informatici, interruzione delle attività, perdita economica, perdita di clienti e danni alla reputazione. Per questo motivo, è fondamentale prevenirli tramite una valutazione del rischio o Risk Assessment.

In breve, il Risk Assessment è un processo che consente di identificare i rischi, analizzarli e valutarli sulla base di criteri dati o definiti preventivamente.
Lo scopo principale della valutazione del rischio informatico è quello di tenere informate le persone coinvolte e dare risposte adeguate per i rischi individuati.

La risposta alla domanda “cos’è il Risk Assessment in ambito Cyber security?”, invece, la fornisce la famiglia degli ISO/IEC 27001.

Si tratta di uno standard di sicurezza informatica redatta dall’Organizzazione internazionale per la normazione (ISO). Questo insieme di norme internazionali servono a proteggere le informazioni provenienti da un’organizzazione. Seguendo lo standard ISO, quest’ultime possono sviluppare e implementare un sistema di gestione della sicurezza informatica e di valutazione del rischio.

Ma cosa prevedono queste norme?

• Definiscono i requisiti per creare una gestione della sicurezza informatica.
• Forniscono una guida per progettare, attuare, mantenere e migliorare la gestione della sicurezza informatica.
• Esprimono le linee guida nei vari ambiti di utilizzo della gestione della sicurezza informatica.
• Valutano la conformità della gestione della sicurezza informatica.

La famiglia degli ISO/IEC 27000 definisce, inoltre, quali sono i valori da proteggere in ambito cyber security, quindi quelli che potrebbero essere soggetti a minaccia.

Quali sono questi valori?

1. Riservatezza. L’accesso controllato ai dati e la garanzia che solo gli utenti autorizzati leggano le informazioni.

2. Disponibilità. Accesso ai dati nei tempi e nei luoghi previsti.

3. Integrità. Completezza e leggibilità delle informazioni.

Tenendo conto di queste tre caratteristiche della sicurezza informatica, i fattori di rischio possono causare:

• La diffusione di informazioni in modo incontrollato e scorretto.
• L’impossibilità di accedere alle informazioni a cui si ha diritto.
• La mancata garanzia che le informazioni non siano state alterate e quindi il dubbio che non siano attendibili.

La tendenza al rischio da parte di un’organizzazione dipende inoltre dall’attitudine al rischio che la caratterizza. Questa attitudine è influenzata da:

• Appetite Risk
  La propensione al rischio, cioè il grado di incertezza che un’organizzazione è disposta ad accettare.

• Risk Tolerance
  La tolleranza al rischio, ovvero il volume di rischio che un’organizzazione può sostenere.

• Risk Threshold
  La soglia di riferimento cioè il limite superiore di tolleranza al di sotto del quale l’organizzazione accetta il rischio (ma non oltre).

Il Risk Assessment ha come obiettivo la produzione di un report o un documento che sarà poi la base per la definizione di una strategia di mitigazione del rischio. A garanzia dei valori di riservatezza, disponibilità e integrità e tenendo conto della tendenza al rischio dell’organizzazione.

Ogni organizzazione dovrebbe avere una cultura orientata alla valutazione e gestione dei rischi.

Tenuto conto dei principi generali, ci sono più modi per condurre una valutazione dei rischi per la sicurezza delle informazioni.
Un po’ tutti gli standard prevedono una valutazione del rischio fatta secondo il Ciclo di Deming o ciclo di PDCA.

Si tratta di un metodo di gestione iterativo volto al miglioramento dei processi. Questo metodo prevede quattro fasi:

1. Plan. Fase in cui si stabiliscono gli obiettivi e i processi necessari per arrivare ai risultati attesi.

2. Do. Fase di esecuzione del programma, in cui si attua il piano e si raccolgono i dati.

3. Check. Fase di test, controllo e analisi dei dati.

4. Act. Fase in cui si attuano azioni correttive sulle differenze significative tra i risultati attesi e quelli effettivi.

Applicando queste fasi all’analisi del rischio informatico, possiamo ipotizzare un piano di Cyber Risk Assessment.

Come prima cosa, bisognerà pianificare come realizzare il Risk Assessment.

Quindi i tool da usare, le persone coinvolte, la metodologia e i tempi. Subito dopo, bisognerà focalizzarsi sull’identificazione dei rischi per la sicurezza delle informazioni. In questo primo momento verrà fatta la valutazione delle minacce e dei pericoli, classificati come bassi, medi o alti a seconda dell’asset. Verranno, inoltre, definite le vulnerabilità (anch’esse classificate come alte, medie o basse a seconda dell’asset), e identificati gli impatti e le conseguenze della perdita dei valori di riservatezza, disponibilità e integrità.

Verrà poi fatta una valutazione delle probabilità che si verifichino i rischi precedentemente identificati, in base agli incidenti avvenuti in passato all’interno di quell’organizzazione. Inoltre, verranno definiti i criteri di accettazione del rischio, cioè il livello di tolleranza superato il quale i rischi vanno trattati con azioni mirate.

Verranno poi identificate e valutate le azioni per il trattamento dei rischi.

Si sceglierà cioè se ridurre, evitare o trasferire un determinato rischio.
Nel primo caso, il rischio può essere ridotto attraverso la riduzione degli effetti o delle probabilità che si verifichi. Può invece essere trasferito, per esempio, sottoscrivendo un’assicurazione che risarcisca in caso di mancato accesso alle informazioni. In alcuni casi, il rischio può essere anche annullato.

Per esempio, se il titolare di un’organizzazione ritiene che gestire un’informazione personale di un interessato possa generare un elevato rischio, può decidere di non effettuare affatto il trattamento.

Chiaro che, in questo caso, il rischio si azzera ma il servizio all’interessato non viene erogato.

Le azioni elencate vengono documentate nel piano del trattamento dei rischi, che deve definire:

1. I rischi da trattare

2. Relazioni tra i rischi e le azioni di trattamento dei rischi

3. Le relazioni tra i rischi e i controlli selezionati per gestirli

In questo documento sono riportate anche le azioni da intraprendere, i tempi, le responsabilità e le risorse per i singoli rischi.
L’efficacia o meno delle azioni contenute nel piano porterà a un ricalcolo della valutazione dei rischi e alla formulazione di nuovi indici.

Va ricordato che le minacce in ambito cyber si evolvono molto rapidamente; perciò, il processo di assessment deve essere continuo a garanzia dei sistemi di sicurezza informatica.

• Per ridurre i costi sul lungo termine
  

  Identificare preventivamente minacce e vulnerabilità dei sistemi informatici riduce la probabilità che si verifichino incidenti e danni. Questo rappresenta un vantaggio sia dal punto di vista economico che dal punto di vista della reputazione aziendale.

• Per una migliore conoscenza dell’organizzazione
  

  Conoscere le vulnerabilità dell’organizzazione è una risorsa preziosa anche per capire dove l’azienda ha bisogno di migliorarsi.

• Per prevenire i furti dei dati (data breach)
  

  che possono essere un fattore di perdita economica e di reputazione.

• Per fornire un modello di valutazione della sicurezza informatica anche per il futuro
  

  Abbiamo detto che il Risk Assessment è un processo continuo; quindi, iniziare a farlo garantirà processi ripetibili anche nel tempo o con un ricambio di personale all’interno dell’azienda.

• Per evitare provvedimenti normativi e conseguenze legali
  

  Per esempio, per aver causato un furto di dati ai tuoi clienti per non aver rispettato gli standard di sicurezza.

• Per fare in modo che i sistemi dell’organizzazione siano sempre disponibili e funzionanti.

In conclusione, il Risk Assessment in ambito cybersecurity è un processo che serve per valutare i rischi legati a sistemi informativi.

Questi rischi possono causare danni economici o di reputazione, interruzioni delle attività o danni ai sistemi informatici. Per questo motivo, è fondamentale per un’azienda identificarli e valutarli, al fine di prevenirli.

Idealmente, ogni azienda dovrebbe avere al suo interno un gruppo di persone preposte alla valutazione dei rischi informatici.
La valutazione può però anche essere esterna. Inoltre, le organizzazioni si stanno appoggiando sempre di più anche su software in grado di monitorare la sicurezza informatica, prevenire le violazioni e ridurre i rischi.