Oggi la diffusione e la pervasività di reti, infrastrutture, applicazioni, dati e delle loro infinite interfacce con i relativi utilizzatori umani rendono sempre più sfumata la linea di demarcazione tra ambito “fisico” (Geospace) e “virtuale” (Cyberspace), tra l’interno e l’esterno di un’organizzazione, tra fornitore e cliente, tra ambito lavorativo e personale, etc.
In conseguenza di ciò, oltre ad una serie di innegabili vantaggi si determinano anche inevitabilmente nuovi rischi, i quali devono essere individuati in modo puntuale, monitorati strettamente e gestiti opportunamente. L’evoluzione rapidissima delle minacce che si originano nel/dal c.d. “Cyberspazio”, inteso come nuovo ambito di operatività per tutti gli stakeholder della nostra società, dai cittadini ai governi alle imprese, sta generando un vero e proprio terremoto nella gestione del rischio, rendendo obsoleti gli strumenti e le metodologie tradizionali.
Questo terremoto si sta estendendo anche alle attività di Governance, Assurance, Compliance e Sicurezza (fisica e logica), tramite le quali oggi si cercano di implementare, con risultati spesso non brillanti, contromisure ai nuovi “rischi Cyber”.
Nel giro di pochi anni tutto il settore “Security” nel senso più esteso ne uscirà fortemente trasformato, e chi non potrà o non vorrà anticipare questa fortissima spinta al cambiamento dovrà farsi carico di costi crescenti causati da continui attacchi, destinati a diventare sempre più gravi con il passare dei mesi e degli anni.
Questo principalmente perché gli attaccanti sono usciti dalla fase “artigianale” ed hanno industrializzato le proprie capacità offensive, automatizzandole con grande capacità tecnica ed amplificando così la minaccia “cyber” di ordini di grandezza in breve tempo: alla luce di questo fenomeno e delle sue implicazioni, già oggi ogni organizzazione dovrebbe essersi dotata di un processo di Cyber Risk Management efficace, in base alle proprie esigenze e risorse, pena l’impossibilità di funzionare correttamente e/o sopravvivere nel Cyberspazio.
E’ opportuno qui sottolineare che “Cyber Security” non è sinonimo di “Information & Communication Technology Security” dal momento che ormai, a causa dell’applicazione ubiqua delle tecnologie digitali e dell’iper-connessione tra tutti gli elementi (sia in termini di estensione che di complessità), possono essere colpiti da minacce provenienti dal Cyber Spazio asset materiali ed immateriali di ogni genere, che nella maggior parte dei casi non sono (solo) Information.
A titolo di esempio un attacco realizzato per vie informatiche ad un “connected vehicle” che abbia come esito il ferimento o la morte del conducente rappresenta un tipico problema di Cyber Security, dove il principale asset da proteggere è la vita umana, mentre l’aspetto di protezione dell’informazione, per quanto presente, rimane in secondo piano (in quanto uno tra i molti elementi in gioco). D’altra parte un caso del genere non può ricadere esclusivamente nell’ambito di attività della Sicurezza fisica o della Safety, dal momento che gli strumenti di mitigazione di un simile rischio sono per lo più di natura logica.
A causa di questa continua commistione, già oggi inestricabile, tra fisico e virtuale, nella pratica più ancora che nella teoria l’approccio tradizionale oggi generalmente applicato alla gestione del rischio IT non può fornire gli strumenti utili ad individuare, monitorare e gestire le minacce che si originano nel Cyberspazio.
Questo cambiamento, epocale e rapidissimo, costringe a rivedere con urgenza non solo le metodologie ma soprattutto gli aspetti organizzativi, le prassi, le formule di collaborazione tra diverse competenze e soggetti coinvolti, e sopra ogni cosa, nel breve termine, ci spinge a modificare il modo di pensare con riferimento alla gestione di questi nuovi rischi.
Scopo di questa rubrica sarà discutere problemi ed opportunità derivanti dall’esigenza di adottare un processo di Cyber Risk Management adeguato alle circostanze, analizzandone di volta in volta alcuni aspetti salienti.
Anticipando i temi che saranno oggetto dei prossimi articoli della rubrica, per poter impiantare un processo di Cyber Risk Management che sia al contempo sostenibile ed efficace è necessario:
Nel prossimo articolo tratteremo di Cyber Threats e della loro tassonomia, e di come impostare un processo di Cyber Risk Management dal punto di vista organizzativo, tecnologico e delle competenze necessarie.
A cura di: Andrea Zapparoli Manzoni
Articolo pubblicato sulla rivista ICT Security – Aprile 2016
Da qualche tempo il mondo della sicurezza informatica ha subito una trasformazione significativa. Il cambiamento,…
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…