l'analisi

Aziende e risk management, quale prospettive per la cybersecurity?

di Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Paolo Borghetti, CEO di Futurage |

Il mondo del Cyber crimine è in continua espansione, di conseguenza le misure e le strategie di Cyber difesa devono muoversi di pari passo. Non a caso, si stima che il “mercato” del Dark Web raggiungerà un volume di fatturato pari a 6 trilioni di dollari entro il 2021.

Negli ultimi anni è cresciuto notevolmente l’interesse delle aziende per le tematiche relative al risk management in quanto nel corso delle proprie attività ogni impresa è soggetta ad una serie di minacce (rischi), di natura competitiva e non competitiva, che influenzano la propria operatività e, quindi la capacità di generare valore.

Cos’è il risk management

Il risk management è un processo aziendale volto alla gestione integrata dei rischi, mediante attività sistematiche di eliminazione, riduzione, trasferimento e controllo dei rischi. È l’unico approccio organico e strutturato che permette di salvaguardare il patrimonio aziendale e la continuità operativa nel tempo.

In passato invece la consapevolezza sull’esistenza dei rischi era si presente nella mente del management ma troppo spesso trascurata perché non razionalizzata o sottomessa alla frenesia della gestione corrente. Ogni organizzazione deve assicurarsi che l’attività di risk management non sia uno sterile esercizio separato dal business, ma diventi parte integrante del sistema di gestione ed una componente essenziale del processo decisionale.

Tutte le aziende devono affrontare eventi incerti e la sfida del management è di determinare il quantum di incertezza accettabile per creare valore; l’incertezza rappresenta sia un rischio che un’opportunità e può potenzialmente ridurre o accrescere il valore dell’azienda.

Il management massimizza il valore quando formula strategia ed obiettivi al fine di conseguire un equilibrio ottimale tra target di crescita, di redditività e rischi conseguenti.

Il processo ERM

Il processo di gestione integrata dei rischi (ERM) ha la finalità di supportare il management e il CDA nell’assumere decisioni compatibili con il profilo di rischio della società e coerenti con gli obiettivi aziendali.

Il modello ERM si articola essenzialmente in 5 processi interconnessi:

  1. Processo di CONTEST ANALYSIS: l’ambiente interno costituisce l’identità essenziale di un’organizzazione, determina la forma mentis delle persone che operano in azienda riguardo i livelli di accettabilità del rischio, l’integrità e i valori etici;
  2. Processo di RISK ASSESSMENT: consiste nell’identificazione, classificazione, quantificazione dei principali eventi che potrebbero minacciare il raggiungimento degli obiettivi aziendali;
  3. Processo TREATMENT: consiste nel mettere in atto azioni per ridurre il livello di rischio ad un livello considerato accettabile;
  4. Processo di MONITORING: la fase di monitoring, prevede un monitoraggio continuo da parte del risk management integrato su:
    1. Andamento dei rischi;
    1. Lo stato d’implementazione dei piani di trattamento;
    1. L’insorgere di nuovi rischi.
  5. Processo di REPORTING: la fase di reporting consente ai diversi livelli aziendali di avere la disponibilità dei dati relativi alla gestione del rischio, dei risultati ottenuti e delle azioni di miglioramento programmate.

Lo standard C.O.S.O

Lo standard internazionale di riferimento dei modelli ERM è rappresentato dal C.O.S.O (Committee of Sponsoring Organization of Treadway Commission) una commissione indipendente U.S.A. sponsorizzata dalle maggiori associazioni professionali ed industriali.

Il C.O.S.O. framework costituisce l’insieme di best practice, riconosciute a livello internazionale, impiegate per la gestione dei controlli interni e della corporate governance.

Il settimo principio del C.O.S.O. definisce che gli obiettivi aziendali debbano essere pensati passando attraverso un’efficace analisi dei rischi.

Un altro standard di riferimento è il CODICE DI AUTODISCIPLINA delle società quotate che enfatizza la centralità del rischio nella governance aziendale e introduce il concetto di “sistema integrato dei controlli interni e di gestione dei rischi” (SCIGR).

Un ultimo standard di riferimento è rappresentato dalla ISO31000. Per la ISO 31000 ogni organizzazione è concepita come realtà dinamica, impegnata costantemente a crescere e perfezionare i propri livelli di produttività e di qualità. In un contesto in continua evoluzione è quindi fondamentale adattarsi ai cambiamenti e sapersi rinnovare se necessario; tale spinta al rinnovamento non può prescindere dall’attività di pianificazione offerta dall’approccio olistico del risk management.

La norma definisce il rischio come “l’effetto dell’incertezza sui risultati attesi, quindi sugli obiettivi” precisando che tale effetto può essere sia positivo che negativo; quando è positivo parliamo dunque di opportunità.

PMI e Risk Management

Anche nelle PMI oggi grazie all’introduzione del risk management in alcune certificazioni sulla qualità (vedi la ISO9001 2015 e la IATF per l’automotive) si sente sempre più spesso parlare di attività di coordinamento e gestione dei rischi.

I rischi identificati e successivamente quantificati nella predisposizione dei modelli ERM riguardano qualsiasi ambito specifico dei processi aziendali: si passa dai rischi operativi (quelli cioè legati alle criticità dei reparti produttivi per esempio..), ai rischi patrimoniali (quelli per esempio legati alle catastrofi naturali),a quelli EH (legati per esempio all’accentramento delle competenze nelle mani di pochi key man), quelli relativi a fattori esogeni (vedi dipendenza dai fornitori/clienti strategici), di compliance, strategici e di information technology.

La prospettiva della Cybersecurity

È una priorità da sempre per le grandi organizzazioni, sembra lapalissiano ripeterlo, concentrarsi sulla gestione dei rischi, ma l’avvento della rivoluzione digitale ha aumentato di n volte il focus e l’attenzione che queste devono porre su questo aspetto sia per l’aumento del rischio intrinseco che per l’aumentare delle potenziali minacce.

Il mondo del Cyber crimine è in continua espansione, di conseguenza le misure e le strategie di Cyber difesa devono muoversi di pari passo.

Non a caso, è stato recentemente stimato che il “mercato” del Dark Web raggiungerà un volume di fatturato pari a 6 trilioni (!) di dollari entro il 2021.

La sfida è sicuramente impegnativa e c’è sicuramente una mole di lavoro considerevole, anche perché ci sono tre grandi aree di criticità da affrontare per intervenire sull’aspetto Cyber Security:

  • Il livello di “skill” dei gruppi di Criminal Hacker che prendono di mira le grandi organizzazioni è veramente alto e con alle spalle mezzi e fondi considerevoli, nonché motivazioni che possono andare oltre il semplice movente economico e sfociare in trame ben più complesse di Cyber Spionaggio per conto di Paesi interessati;
  • La complessità dei sistemi IT è aumentata, di fatto innalzando proporzionalmente la difficoltà per i responsabili IT interni di stabilire un Cyber Security Framework resiliente senza l’apporto degli esperti Cyber Security, sempre di più parte fondamentale nell’ecosistema della gestione del rischio per le aziende;
  • La scarsa trasparenza nel condividere – tra i vari player e aziende di tutti i settori – informazioni utili ad affrontare le problematiche e le criticità di Cyber Security. Difficoltà – o vedi spesso reticenza – dovuta alla scarsa propensione delle aziende a divulgare quelle che spesso sono percepite come debolezze interne o possibili leve per infangare la brand reputation.

Alcuni consigli per migliorare il proprio Cybersecurity Framework

  • Limitare il proprio perimetro d’attacco: detto anche processo di “hardening” delle proprie vulnerabilità e criticità, consiste nel coordinare il proprio effort IT difensivo per rafforzare quelli che sono i punti deboli della propria infrastruttura. Per individuare questi punti deboli non esistono strumenti migliori di Vulnerability Assessment e Network Scan, in grado di individuare rispettivamente le criticità di sistemi, applicazioni e network aziendali
  • Incrementare l’awerness dei dipendenti: uno degli elementi chiave per la difesa del proprio perimetro aziendale è l’utilizzo dello strumento della formazione per combattere quelle debolezze tipicamente legate al fattore umano. Ancora oggi, infatti, uno dei metodi preferiti dai Criminal Hacker per ottenere accesso alla rete aziendale è quello di utilizzare il Phishing come “cavallo di Troia”. Per questo diventano fondamentali strumenti come il Phishing Attack Simulation: per permettere alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco.
  • È infatti possibile, attraverso un’interfaccia web inviare vere e proprie campagne di phishing simulate che generano delle insostituibili occasioni di apprendimento per i dipendenti. Questi, infatti, grazie a questi attacchi simulati riusciranno, in futuro, ad individuare una vera e-mail di phishing e ad evitarla. Implementare un servizio simile consente all’azienda, tra le altre cose, di ridurre il rischio intrinseco di una violazione attraverso questo canale, riuscire a valutare i propri rischi aziendali e rispondere di conseguenza, ridurre sensibilmente il rischio di subire in futuro un qualsiasi attacco di phishing e – non da ultimo – diminuire i costi di formazione del personale in materia di sicurezza.

Questi passaggi sopra esemplificati sono compresi nel servizio di Cyber Security Framework Check-up. Questo è stato pensato per fornire un accurata valutazione del Framework aziendale di sicurezza in essere. Inoltre effettua una Gap Analysis tra l’As Is (ovvero lo status attuale delle cose interamente all’azienda dal punto di vista della Cyber Security) e gli standard e best practice di Cyber Security Governance.

Il processo ha inizio attraverso la fase di mapping dove vengono elencati e mappati tutti gli asset aziendali, i sistemi di sicurezza e vengono analizzate e prese in esame le procedure di gestione. Dopo questa fase si procede con l’analisi delle vulnerabilità in essere e potenziali presenti sul perimetro. Il processo prevede dei Vulnerability Assessment, Network Scan, IT Security Assessment, Penetration Test e Phishing Simulation Attack. Questo copre sia la parte strettamente tecnica e strutturale sia la parte legata al rischio umano.

Completata l’attività di Assess Threats vengono analizzati i Security KPI. In questa fase si determinano i Security KPI in uso, vengono identificati quelli applicabili e si valutano quelli che dovrebbero essere adottati. Nella fase sono compresi tutti i sistemi di Alarm, Early Warning, Security Policy e procedure.

Terminata la terza fase si procede con la Gap Analysis che, come accennato confronta l’As Is con le best practice del mercato.

Al termine viene redatta una Road Map per definire:

  • Piano a livello organizzativo;
  • Piano a livello di Policy e Procedure;
  • Piano a livello Tecnologico;
  • Piano a livello di competenze e Know How.

Non è neppure da sottovalutare la possibilità di approntare un Incident Response plan. Sembra un’esagerazione, ma oramai siamo quasi al punto in cui non ci dobbiamo chiedere “se”, ma “quando” avverrà un Cyber Security Incident.

Avere già pronto un piano per contenere e rimediare a questo scenario può spesso significare la differenza tra avere un piccolo “fastidio” e una perdita catastrofica di business, operatività e brand reputation. Un Data Breach incident Response ben strutturato deve obbligatoriamente seguire questi passaggi per risultare efficace:         

  • Analizzare la natura della violazione;
  • Identificare le evidenze,prove e informazioni tecniche;
  • Determinare la tipologia dei dati compromessi;
  • Stabilire quali dati sono stati compromessi;
  • Formalizzare lo stato delle misure di sicurezza in essere;
  • Predisporre il Piano di Remediation.

Naturalmente nel nostro Paese come in tutta Europa in caso di Incident vi è la necessità di rispettare quanto normato nell’Art.32 del GDPR. Un piano di risposta ben congeniato deve essere ugualmente in grado di rispettare queste predisposizioni per non incorrere in eventuali sanzioni.

Articolo a cura di Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Paolo Borghetti, CEO di Futurage