Come calcolare il cyber risk

Comunque sia strutturato il vostro business, la valutazione dei rischi informatici è un’attività imprescindibile.
Nel 2022 nonché per antonomasia l’epoca del digital non è pensabile portare avanti un progetto imprenditoriale senza sedersi a tavolino e cercare di prevedere quali cyber risk possano investire l’azienda. Questo genere di valutazioni, normalmente, sono utili e pressoché indispensabili per riuscire a trovare il modo di evitare che le minacce informatiche si concretizzino.

Quasi tutte le aziende si occupano di ridurre i rischi legati ad incidenti sul lavoro e sull’operatività.

Ma quali e quante sono le aziende che si occupano di prevedere i cyber risk ovvero i rischi informatici?

I dati in merito a quest’attività sono poco rassicuranti nostro malgrado. Sono ancora troppe le organizzazioni che non prevedono dei piani di prevenzione e gestione del cyber risk.

Se anche voi li state trascurando e avete intenzione di smettere quanto prima, vi spieghiamo come potete calcolare il rischio informatico legato alla vostra attività e a quali professionisti rivolgervi.

• Che cosa è il Risk Assesment

• Calcolare il rischio informatico: approcci prevalenti

• Passaggi necessari per una corretta valutazione dei rischi

• Rischi e Cybersecurity

• Metodi e tecniche

• Errori comuni

• Conclusioni

Risk Assessment è un termine inglese che serve in generale ad indicare la valutazione dei rischi legati ad una qualsiasi attività.

La valutazione del rischio è un passaggio nel processo più ampio di gestione del rischio.
Quest’ultimo invece, consiste nell’insieme di tutti gli step necessari a definire i protocolli aziendali e le linee guida da seguire per prevenire il rischio, intervenire nel caso questo diventi realtà e riportare la situazione alla normalità.

La valutazione del rischio si basa su due fattori principali:

1. determinare la probabilità che l’incidente si verifichi
2. stimare perdite che esso provocherebbe.

Tanto più probabile e dannoso è l’ipotetico l’evento, tanto più sarà rischioso e, di conseguenza costituirà una priorità nella gestione del rischio.

Risk Assessment in ambito informatico

Saper valutare gli impatti di un attacco informatico, quantificare la probabilità che esso avvenga e stimare i potenziali danni è l’unico modo per proteggersi da:

• perdite di profitto
• danni di reputazione
• multe
• data breach
• rallentamenti.

Per ultimo l’aspetto finanziario non può essere trascurato in ambito del risk assessment: è impensabile spendere cifre esorbitanti per coprire un danno lieve, così come è insensato rifiutarsi di investire per ripararsi dalle conseguenze di attacchi potenzialmente dannosi per il vostro business.

Ecco perché una attenta analisi e una accurata identificazione dei rischi informatici è indispensabile al giorno d’oggi.

Per definizione un rischio non è un qualche cosa di certo ma una possibilità.

Ciononostante, al giorno d’oggi è possibile stimare la probabilità che una data situazione si verifichi utilizzando strumenti matematici e statistici.
Questo metodo però, purtroppo non viene implementato da tutte le aziende anche per quanto riguarda l’ambito informatico.

Un rischio non è sempre prevedibile e di conseguenza, l’esperienza non è sufficiente per produrre una valutazione accurata e, soprattutto, efficace.
Al giorno d’oggi disponiamo di una gran quantità di dati numerici, che, se opportunamente analizzati ed interpretati, possono fornire stime molto più precise dei rischi che una azienda può dover fronteggiare in futuro.

E quindi possono portare a decisioni più circostanziate sul futuro di un’organizzazione.
Una analisi quantitativa, al contrario, si basa su fattori oggettivi come i trend più recenti in ambito di cybersecurity, competenza del personale, report di settore, aggiornamenti e apparecchiature utilizzate e via dicendo.

Non esiste un “rischiometro” che permetta di misurare oggettivamente il rischio informatico. Tuttavia esistono strumenti quali questionari, analisi statistiche e simulazioni che possono misurare le variabili che contribuiscono ad aumentare o attenuare i cyber risk.

Resta implicito dunque, che un’analisi più accurata dei cyber risk per ogni azienda permetterà interventi di mitigazione mirati oltre ad una conoscenza analitica dei vari fattori in gioco e della loro influenza sul risultato finale.

Per decidere se il rischio informatico di un’organizzazione sia fronteggiabile o meno è necessario effettuare una stima o una vera e propria analisi delle vulnerabilità: il Vulnerability Assessment.

Inutile dire che se non ci sono vulnerabilità non ci sono rischi e lo stesso nel caso in cui le vulnerabilità ci siano ma non siano sfruttabili da hacker e virus.
Purtroppo, si tratta di una situazione utopica che nessuno riscontra mai all’interno della propria organizzazione.

Una volta effettuata un’analisi di vulnerabilità del sistema informatico e/o dei siti web o portali bisogna valutare tutte le possibili conseguenze di un potenziale attacco informatico.
Qualora l’impatto di un attacco informatico fosse minimo si potrebbe considerare il rischio accettabile e trascurarlo.
Un ultima domanda opportuna sarebbe: le perdite a cui si andrebbe incontro a fronte di un attacco informatico sono minori o maggiori della soglia di riferimento dell’azienda? Se la risposta è maggiori, il rischio diventa inaccettabile. Ma questo dipende fortemente dai seguenti tre fattori:

1. Attitudine al rischio (risk appetite): ossia la propensione che una organizzazione ha ad assumersi dei rischi

2. Tolleranza al rischio (risk tolerance): ovvero l’impatto negativo che una azienda è in grado di sostenere

3. Soglia di riferimento (risk threshold): cioè il limite massimo oltre il quale il rischio diventa inaccettabile

Ma anche questi tre fattori potranno essere stabiliti in modo migliore una volta apprese le criticità del sistema informatico e i potenziali danni. I rischi hanno invariabilmente una causa, un evento che si potrebbe verificare conseguentemente e un effetto sgradito.

La procedura per il risk assessment si compone di tre fasi:

1. Studio del contesto, dei processi e degli ambiti in cui la società opera al fine di poter identificare tutte le sorgenti di pericolo.
   Sono necessarie indagini per raccogliere dati utili ai fini della valutazione.
2. Identificazione delle criticità tramite l’analisi di tutte le vulnerabilità osservate siano esse interne all’azienda (es. apparecchiature, risorse umane, ecc) o esterne.
3. Si determina la probabilità che l’evento dannoso si verifichi.
   Si studiano le statistiche e i rferti delle crisi passate dell’azienda o di quelle di aziende nello stesso settore.
   Si ricavano dati quantitativi sulle perdite e le ripercussioni a cui si andrebbe incontro qualora il rischio informatico si concretizzasse.

Come abbiamo già detto il risk assesment ha come obbiettivo l’individuazione dei pericoli che una azienda corre portando avanti il suo lavoro. Fornisce indicazioni precise sulla rilevanza di ciascuna vulnerabilità e indica per ciascuna l’urgenza con la quale bisogna intervenire per mitigarla. I mezzi che utilizza sono statistici e di teoria delle probabilità.

1. Attacchi ransomware (aumentati del 151% nel 2021)

2. Accesso indesiderati e attacchi informatici che sfruttano le infrastrutture del lavoro da remoto

3. Fragilità della Supply Chain

4. Attacchi informatici di tipologia DDos provenienti dal territorio russo e ucraino

5. Attacchi a dispositivi IoT

6. Man-in-the-middle (MitM)

7. Phishing and spear phishing attacks

8. Cross-site scripting (XSS) attack

9. Eavesdropping attack

I cyber risk possono verificarsi in presenza di questi specifici vettori:

1. Guasti hardware e software
2. Vulnerabilità informatiche software
3. Eventi e calamità naturali
4. Errori umani
5. Furto o perdita di dati (data breach)
6. Attacchi informatici o hacker

In informatica, l’obbiettivo principale che guida le azioni difensive e/o preventive mirano al mantenimento della RID dei dati, ovvero le 3 caratteristiche di:

1. Riservatezza

2. Integrità

3. Disponibilità.

Le informazioni devono essere sicure sia nel momento in cui sono conservate che quando vengono adoperate, modificate, trasferite.

La BIA è una metodologia volta ad individuare gli impatti che, una perdita di RID dei dati avrebbe sui servizi erogati dalla azienda (o sulla sua produzione) assegnando un valore alle potenziali perdite.

Grazie a queste analisi è possibile individuare il “Recovery Time Objective” (RTO) e il “Recovery Point Objective” (RPO) che indicano rispettivamente gli obiettivi temporali e quantitativi per il ripristino dei dati in caso di attacco hacker all’azienda. Questa metodologia si basa sull’analisi di processi, sottoprocessi, fasi e l’individuazione di responsabili per ciascun processo.

La BIA permette di produrre un documento in cui siano riportate nella prima sezione l’impatto economico, normativo e reputazionale che un’interruzione del servizio comporterebbe e, nella seconda sezione riporta informazioni generali sull’elemento analizzato, caratteristiche specifiche, risorse impegnate.

Esistono degli standard internazionali, ossia delle norme che descrivono le best practice, per attuare una gestione del rischio ottimale.

Nell’ambito dei rischi informatici la norma di riferimento è la ISO/IEC 27001, mentre per la valutazione dell’impatto sulla privacy ci si rifà all ISO 29134:2017. Qui sono definiti tutti i passaggi necessari, che ogni azienda può seguire per impostare correttamente la sua valutazione e successiva gestione dei rischi.

Per quanto riguarda la valutazione dei rischi legati alla perdita di privacy, le informazioni necessarie sono all’interno del DPIA (Data Protection Impact Assessment). Questo strumento può anche essere utile per la valutazione dell’impatto di protezione della privacy relativo ad un prodotto tecnologico. La DPIA dovrebbe essere effettuata prima di iniziare il trattamento di dati soggetti alla privacy perché aiutare ad introdurre i correttivi più a monte possibile nel ciclo di vita dei prodotti o servizi, in modo da seguire i principi fondamentali del GDPR.

Altre linee guida esaustive per impostare la meglio le difese cyber (non solo l’analisi dei rischi) della vostra azienda sono il NIST Cybersecurity Framework o il metodo COBIT (Control Objective for information Technologies).

Da alcuni anni un OpenGroup e FAIR Institut hanno promosso in tutto il mondo un approccio che definisce il rischio come: la frequenza piú probabile con cui si verifica una perdita futura.

Questo metodo permette di scomporre il problema in fattori, analizzando i singoli scenari di rischio uno alla volta in modo rigoroso.

I criteri di analisi sono principalmente due. Il primo è la frequenza con cui un agente di minaccia possa incontrare un asset, comportando un danno ed è detta anche Loss Event Frequency.

Il secondo aspetto è la Loss Magnitude ovvero la perdita che conseguirebbe all’evento avverso. Questo metodo è vantaggioso in quanto è quantitativo e permette di semplificare le stime anche nel caso in cui non ci siano dati storici per analizzare la probabilità della minaccia. Per ottenere questo risultato la chiave del successo risiede nella scomposizione in fattori, questo riduce l’incertezza sulla misura e fornisce al metodo una ottima flessibilità.

L’indice ha lo scopo di stimare la superficie di attacco che un hacker potrebbe sfruttare, la facilità con cui quest’ultimo avrebbe accesso e la facilità con cui potrebbe ottenere informazioni sensibili o compromettere i sistemi
Viene calcolato analizzando informazioni provenienti da forum per hacker del deep web e i dati in vendita illegalmente nel Darkweb. Sono valutati il numero di servizi esposti, il punteggio delle vulnerabilità e l’indice di data leakage.  cerca di dare un’indicazione della superficie di attacco disponibile.

La tendenza alla digitalizzazione, fortemente influenzata  dalla pandemia, ha fatto che si creasse una dipendenza reciproca tra aziende, fornitori, partner e clienti. In un mondo sempre più interconnesso le conseguenza di un data breach possono ricadere non solo sull’aziende che ne è vittima ma su molte altre.

Molte aziende stimano le possibile perdite dovute a fughe di dati utilizzando la media aritmetica dei danni subiti da aziende simili in incidenti simili.

Attenzione! La media aritmetica non tiene conto della frequenza con cui un dato si verifica. Per questo risulta inadatta per stime in cui poche aziende subiscano danni notevolmente maggiori o minori dalla maggior parte delle altre. Per provvedere ad un risultato più accurato è opportuno utilizzare medie ponderate o la mediana.

Altro errore frequente ma non meno grave è il supporre che il costo della perdita di RID di più dati sia data dal prodotto della media del costo della perdita di un singolo dato moltiplicato per il numero di dati persi.

Stime così eseguite sono inaffidabili e portano a decisioni strategiche inadeguate.

L’effetto di un incidente informatico non ricade solo sull’azienda che ne è direttamente vittima, ma si propaga anche a fornitori, dipendenti, partner. Questo aspetto viene spesso trascurato nelle analisi dei rischi Cyber e rappresenta un fattore che fa sottostimare il rischio effettivo.

Un’efficace stima dei pericoli cyber crime è indispensabile per ogni azienda.

Riservatezza, integrità e disponibilità dei dati devono essere tutelata per evitare danni economici, di immagine o legali.
La maggior parte delle valutazioni sono per ora qualitative, infatti non tutti sono avvezzi a ragionare in termini di distribuzioni di probabilità.
Invece il calcolo quantitativo è senz’altro prezioso nel limitare l’incertezza che riguarda i rischi informatici.

Al giorno d’oggi esistono numerosi standard a cui rifarsi per una corretta impostazione della valutazione dei rischi e certificazioni che ogni azienda può ottenere a beneficio della sua credibilità, della sicurezza dei suoi processi e quindi delle sue finanze!

Vuoi un’analisi completa delle vulnerabilità informatiche? 
Contatta Onorato Informatica.