Cyber Risk Management – Problemi e opportunità

A cura di:Andrea Zapparoli Manzoni Ore

Introduzione

Oggi la diffusione e la pervasività di reti, infrastrutture, applicazioni, dati e delle loro infinite interfacce con i relativi utilizzatori umani rendono sempre più sfumata la linea di demarcazione tra ambito “fisico” (Geospace) e “virtuale” (Cyberspace), tra l’interno e l’esterno di un’organizzazione, tra fornitore e cliente, tra ambito lavorativo e personale, etc.

In conseguenza di ciò, oltre ad una serie di innegabili vantaggi si determinano anche inevitabilmente nuovi rischi, i quali devono essere individuati in modo puntuale, monitorati strettamente e gestiti opportunamente. L’evoluzione rapidissima delle minacce che si originano nel/dal c.d. “Cyberspazio”, inteso come nuovo ambito di operatività per tutti gli stakeholder della nostra società, dai cittadini ai governi alle imprese, sta generando un vero e proprio terremoto nella gestione del rischio, rendendo obsoleti gli strumenti e le metodologie tradizionali.

Questo terremoto si sta estendendo anche alle attività di Governance, Assurance, Compliance e Sicurezza (fisica e logica), tramite le quali oggi si cercano di implementare, con risultati spesso non brillanti, contromisure ai nuovi “rischi Cyber”.

Nel giro di pochi anni tutto il settore “Security” nel senso più esteso ne uscirà fortemente trasformato, e chi non potrà o non vorrà anticipare questa fortissima spinta al cambiamento dovrà farsi carico di costi crescenti causati da continui attacchi, destinati a diventare sempre più gravi con il passare dei mesi e degli anni.

Questo principalmente perché gli attaccanti sono usciti dalla fase “artigianale” ed hanno industrializzato le proprie capacità offensive, automatizzandole con grande capacità tecnica ed amplificando così la minaccia “cyber” di ordini di grandezza in breve tempo: alla luce di questo fenomeno e delle sue implicazioni, già oggi ogni organizzazione dovrebbe essersi dotata di un processo di Cyber Risk Management efficace, in base alle proprie esigenze e risorse, pena l’impossibilità di funzionare correttamente e/o sopravvivere nel Cyberspazio.

E’ opportuno qui sottolineare che “Cyber Security” non è sinonimo di “Information & Communication Technology Security” dal momento che ormai, a causa dell’applicazione ubiqua delle tecnologie digitali e dell’iper-connessione tra tutti gli elementi (sia in termini di estensione che di complessità), possono essere colpiti da minacce provenienti dal Cyber Spazio asset materiali ed immateriali di ogni genere, che nella maggior parte dei casi non sono (solo) Information.

A titolo di esempio un attacco realizzato per vie informatiche ad un “connected vehicle” che abbia come esito il ferimento o la morte del conducente rappresenta un tipico problema di Cyber Security, dove il principale asset da proteggere è la vita umana, mentre l’aspetto di protezione dell’informazione, per quanto presente, rimane in secondo piano (in quanto uno tra i molti elementi in gioco). D’altra parte un caso del genere non può ricadere esclusivamente nell’ambito di attività della Sicurezza fisica o della Safety, dal momento che gli strumenti di mitigazione di un simile rischio sono per lo più di natura logica.

Presentazione della rubrica dedicata al Cyber Risk Management

A causa di questa continua commistione, già oggi inestricabile, tra fisico e virtuale, nella pratica più ancora che nella teoria l’approccio tradizionale oggi generalmente applicato alla gestione del rischio IT non può fornire gli strumenti utili ad individuare, monitorare e gestire le minacce che si originano nel Cyberspazio.

Questo cambiamento, epocale e rapidissimo, costringe a rivedere con urgenza non solo le metodologie ma soprattutto gli aspetti organizzativi, le prassi, le formule di collaborazione tra diverse competenze e soggetti coinvolti, e sopra ogni cosa, nel breve termine, ci spinge a modificare il modo di pensare con riferimento alla gestione di questi nuovi rischi.

Scopo di questa rubrica sarà discutere problemi ed opportunità derivanti dall’esigenza di adottare un processo di Cyber Risk Management adeguato alle circostanze, analizzandone di volta in volta alcuni aspetti salienti.

Anticipando i temi che saranno oggetto dei prossimi articoli della rubrica, per poter impiantare un processo di Cyber Risk Management che sia al contempo sostenibile ed efficace è necessario:

  • modificare ed espandere la tassonomia dei rischi per includere i rischi “cyber” nella gestione del rischio tradizionale, al fine di poter disporre di una definizione condivisa e di una adeguata classificazione delle nuove minacce e delle loro possibili conseguenze;
  • interpretare i framework, gli standard, le best practices, le normative ed i contratti in modo che riflettano questa nuova tassonomia e siano in grado di renderla “actionable”, ovvero utile, in quanto applicabile dal punto di vista operativo. Un buon primo passo in questo senso è il recente “Framework Nazionale di Cyber Security” presentato a Roma lo scorso 4 febbraio, al quale abbiamo avuto l’onore di contribuire tra l’altro proprio la sezione dedicata al Cyber Risk Management, utile per definire i rischi cyber e le relative contromisure ma non sufficiente per poterli gestire;
  • definire un proprio Cyber Threat Model (modello di rischio) per poterlo confrontare con le informazioni sulle minacce provenienti dall’esterno (cfr punto successivo) ed aggiornarlo continuamente di conseguenza;
  • dotarsi della capacità, per nulla scontata o facile da acquisire, di poter misurare in tempo reale la natura, la frequenza e la pericolosità delle nuove minacce emergenti nel/dal Cyberspazio, in modo da poter aggiornare istantaneamente la propria Situational Awareness (alcuni chiamano questo macro-processo “Cyber Intelligence”, dando luogo a qualche malinteso tra i non addetti ai lavori), al fine di derivarne una valutazione puntuale del rischio corrente rispetto alla propria realtà specifica (considerato che le minacce “cyber” evolvono con estrema velocità). All’interno di questa componente rientrano anche le attività di Information Sharing, sia in orizzontale (tra “peers”) che in verticale (p.es. con gli organi Istituzioni, primo tra tutti il CERT Nazionale);
  • elaborare ed arricchire queste informazioni in merito all’evoluzione delle minacce rispetto al proprio Threat Model con un raffronto puntuale rispetto a quanto accade all’interno della propria organizzazione (monitorando e misurando continuamente i fenomeni interni sia dal punto di vista infrastrutturale che applicativo che dei processi di business). Ciò deve avvenire in una logica multidisciplinare dal punto di vista delle competenze coinvolte, e trasversale dal punto di vista dell’organizzazione, ricordando che rispetto alla gestione dei rischi “Cyber” la suddivisione a “silos” delle strutture interne è fortemente penalizzante: non si tratta, lo ripetiamo, di problemi risolvibili autonomamente e compiutamente dall’IT o dall’IT Security senza la collaborazione del Business, delle Risorse Umane, del Marketing, del Legale etc;
  • infine, dopo aver fatto tutto il necessario per comprendere la propria superficie di attacco al fine di prevenire ed anticipare le minacce “Cyber”, dotarsi dei processi utili alla gestione proattiva, rapida e risolutiva degli incidenti che comunque si verificheranno, facendo in modo che gli esiti di tali analisi non rimangano circoscritti agli ambiti tecnici, ma che le “lezioni apprese” contribuiscano ad aggiornare il Cyber Threat Model e soprattutto vengano rappresentate ad alto livello, ai decisori, di modo che possano disporre di dati reali, dal “campo”, per definire a ragion veduta budget e strategie correttive.

Nel prossimo articolo tratteremo di Cyber Threats e della loro tassonomia, e di come impostare un processo di Cyber Risk Management dal punto di vista organizzativo, tecnologico e delle competenze necessarie.

A cura di: Andrea Zapparoli Manzoni

Articolo pubblicato sulla rivista ICT Security – Aprile 2016

Profilo Autore
Andrea Zapparoli Manzoni

Board Advisor del Centre for Strategic Cyberspace & Security Science di Londra

Altri Articoli
Condividi sui Social Network:

Articoli simili

Per un’infrastruttura sicura devi controllare le fondamenta

Per un’infrastruttura sicura devi controllare le fondamenta

A cura di:Redazione Ore Pubblicato il

  Nonostante gli importanti investimenti fatti per proteggere le infrastrutture da attacchi esterni, il numero di incidenti registrati negli ultimi anni, basati su CVEs (Common Vulnerabilities and Exposures), e in forte ascesa. Questo significa che ci sono ancora grosse lacune nei processi interni di controllo e verifica delle risorse installate tipicamente identificati come “vulnerability assessment”….

Intervista a Alberto Mattia – Forum ICT Security 2019

Intervista a Alberto Mattia – Forum ICT Security 2019

A cura di:Redazione Ore Pubblicato il

[video_embed video=”370262194″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] 20° Forum ICT Security Alberto Mattia – CEO di Panta Ray Quando si tratta di ICT Resilience, il buon senso non è ancora molto comune. Il principale errore è la difficoltà – quasi una certa “timidezza” – degli specialisti del settore nel condividere le loro competenze e…

Trattamento dei Dati Personali e Responsabilità del Provider

Trattamento dei Dati Personali e Responsabilità del Provider

A cura di:Simone Bonavita e Andrea d'Anna Ore Pubblicato il

INTERNET SERVICE PROVIDER L’espressione anglosassone “internet service provider” (comunemente abbreviata in “ISP” o in “provider”) viene tradotta in italiano come “fornitore di servizi all’interno della società dell’informazione”. Si considerano ISP i soggetti che esercitano un’attività di prestatore di servizi della società dell’informazione, offrendo connessione, trasmissione e immagazzinamento dei dati, ovvero ospitando un sito sulle proprie…

Business-Driven Security e GDPR i temi portanti Dell’RSA Summit 2017

Business-Driven Security e GDPR i temi portanti Dell’RSA Summit 2017

A cura di:Redazione Ore Pubblicato il

Il conto alla rovescia è iniziato: l’appuntamento è per il 13 giugno, presso gli Studios di Cinecittà Mancano pochi giorni all’RSA Summit, l’evento di RSA dedicato alla sicurezza informatica (13 giugno, Cinecittà Studios – Roma). Temi portanti dell’evento, l’importanza di adottare un approccio Business-Driven alla sicurezza e il GDPR, l’adeguamento che le aziende europee dovranno…

Stefano Mele – Intervista al Forum ICT Security 2017

Stefano Mele – Intervista al Forum ICT Security 2017

A cura di:Redazione Ore Pubblicato il

[video_embed video=”242566124″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”700″ height=”400″] Stefano Mele, Presidente Commissione Sicurezza Cibernetica, Comitato Atlantico Italiano, descrive come i mutamenti degli attacchi informatici abbiano comportato mutamenti anche nelle aziende per quanto riguarda la capacità di rispondere a queste minacce. Oggi le minacce non riguardano più singole e mirate figure interne all’azienda. Oggi tutta la Business Continuity…

Paolo Prinetto – Intervista al Forum ICT Security 2018

Paolo Prinetto – Intervista al Forum ICT Security 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”299512322″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Paolo Prinetto Presidente del CINI, Consorzio Interuniversitario Nazionale per l’Informatica e Direttore del Laboratorio Nazionale Cybersecurity Nella sicurezza informatica ha un ruolo importantissimo l’hardware. Si possono utilizzare anche algoritmi sempre più complessi ma se poi la macchia che viene utilizzata non è sicura diventa tutto inutile. L’Italia…