Una delle principali sfide dell’Information Security risiede nella capacità di misurare correttamente e coerentemente il costo economico della non sicurezza. L’identificazione di metriche accurate e l’utilizzo di indicatori significativi assume un ruolo fondamentale dal punto di vista strategico in quanto: migliorano il processo di risk assessment, facilitano l’identificazione di vulnerabilità e consentono un monitoraggio costante dei rischi.
Affinché le metriche e gli indicatori si possano considerare efficaci essi devono poter essere ripetibili e significative a tal punto da poter alimentare uno storico degli assessment (utile a comparare l’efficienza delle contromisure adottate), del ritorno sull’investimento (in termini di mancate perdite) e dei danni (anche a livello forense).
Nei paragrafi precedenti si è esplorato il ruolo ricoperto dai KPI e KRI all’interno della valutazione e monitoraggio dei rischi e delle prestazioni di un intero processo di gestione del rischio e delle contromisure adottate.
In questo paragrafo ci concentreremo su un aspetto chiave del processo di risk assessment: l’identificazione e misurazione degli impatti. Una valutazione erronea può influenzare negativamente la percezione, categorizzazione e classificazione dei rischi da parte del management. Ciò è ancor più significativo nel campo dei rischi informatici il cui impatto è inerentemente più difficile da valutare e prevedere. Le principali difficoltà sono, da un lato, una non chiara definizione di ciò che si vuol misurare e, dall’altro, l’assenza di un set di riferimento di indicatori di impatto.
Nel processo di gestione del rischio, un buon punto di partenza per la valutazione degli impatti è il momento in cui un’organizzazione stabilisce le strategie per raggiungere gli obiettivi strategici di business. A seguire, gli obiettivi operativi vengono stabiliti per ciascuna strategia.
Solitamente, in questo momento, una società dovrebbe definire le metriche per quantificare e monitorare gli obiettivi, la risk appetite[1] di partenza e la risk tolerance[2] nel cercare di raggiungerli.
Secondo la metodologia del COSO Enterprise Risk Management, se gli obiettivi operativi o le strategie non sono allineate con il livello di risk appetite, esse dovrebbero essere riviste dal management. Questo avviene quando il rischio associato ad una strategia eccede la risk appetite o quando il livello del rischio viene ritenuto troppo basso rispetto la risk appetite per raggiungere un dato obiettivo.
Le metriche degli obiettivi sono utilizzate per definire le soglie ed i rispettivi livelli di tolleranza al rischio.
Entrambi gli elementi, le metriche e le soglie, divengono utili sia nella valutazione degli aspetti che influenzano l’impatto del rischio che nello stabilire le linee che non devono essere superate da questo.
Valutare l’impatto significa definire il tipo di perdita in cui si incorre e trovare la giusta “unità di misura” per quantificarla nel momento in cui il rischio si palesa. Secondo la definizione data dallo standard ISO 31000:2009, l’impatto è una combinazione tra l’esposizione e le conseguenze, dove la prima è la misura in cui un’organizzazione e/o stakeholder è soggetta ad un evento, mentre la seconda rappresenta il risultato di un evento che colpisce gli obiettivi di un’organizzazione. Le conseguenze possono degenerare attraverso un effetto a catena ed avere sia degli effetti positivi che negativi a loro volta descrivibili qualitativamente o quantitativamente.
Pertanto è utile considerare sia metriche qualitative che quantitative quando si vanno ad analizzare gli impatti dei rischi.
Solitamente, le principali categorie di impatto considerate sono:
Il Ponemon Institute è un centro di ricerca specializzato e punto di riferimento in questo campo: esso ha concepito una metodologia attraverso la quale quantificare il costo dei data breach a seguito di un attacco informatico. Innanzitutto il think tank ha fornito una definizione di “data breach” inteso quindi come un evento in cui un nome di una persona, una cartella clinica e /o una transazione finanziaria o una carta di debito viene posta ad un potenziale rischio, che sia in formato elettronico che cartaceo. In un loro recente studio[3], in collaborazione con IBM, essi hanno identificato tre principali cause di un data breach: un attacco criminale/malintenzionato, un errore di sistema o un errore umano. In base ai loro studi, i costi di un data breach possono variare soprattutto in relazione alle cause e alle misure di sicurezza al tempo adottate.
Per calcolare il costo dei data breach il Ponemon Institute adotta una metodologia di costing chiamata activity-based costing (ABC), già conosciuta e diffusa nelle pratiche del Project Management. Questa metodologia identifica le attività di progetto alle quali vengono assegnati dei costi in base al reale utilizzo. Per calcolare il costo medio di un data breach, essi raccolgono sia i costi diretti che indiretti sostenuti dall’organizzazione.
I costi diretti includono l’ingaggio di investigatori esperti (forensic), una linea per il supporto esterno diretto e la fornitura di abbonamenti gratuiti e sconti su futuri prodotti e servizi ai clienti danneggiati. Queste tipologie di costi sono collegate alle spese dirette sostenute per determinate attività (come ad esempio detection, response e recovery post incidente).
I costi indiretti includono invece sia le investigazioni e le comunicazioni interne che il valore della clientela persa ottenuto dal fatturato o dalla diminuzione del tasso di acquisizione clienti. Questi rappresentano il totale di tempo, di impegno e di altre risorse impiegate dall’organizzazione senza un esborso diretto. Infine, il Ponemon Institute considera anche il costo opportunità.
Questo viene definito come il costo risultante dalle opportunità di business perdute a seguito degli effetti negativi di immagine ottenuti dalla comunicazione dell’evento alle vittime (e quindi reso pubblico ai media). Esso può essere misurato attraverso il turnover della clientela esistente e dal numero stimato di clienti che dimostreranno l’interesse a chiudere la relazione contrattuale a seguito dell’incidente informatico. Il Ponemon Institute ha inoltre definito i fattori che influenzano l’incremento o diminuzione dei costi di un data breach. Tra i primi: la perdita od il furto dei dispositivi, il coinvolgimento di una terza parte nella violazione, l’immediata notifica e coinvolgimento di consulenti esterni.
Tra i fattori che diminuiscono i costi compaiono: una forte organizzazione della sicurezza, la presenza ed applicazione sia di un business continuity plan che di un incident response plan e la designazione di uno Chief information Security Officer.
Considerato quanto finora detto, abbiamo provato ad avanzare una proposta di set di Key Impact Indicator che possono essere applicati agli aspetti informatici, organizzativi e fisici della sicurezza di un’organizzazione. Il nostro obiettivo è di identificare un set di indicatori di impatto che, a prescindere dalla natura del rischio, potrebbero essere impiegati per migliorare il processo di risk management. Inoltre, abbiamo identificato una serie di indicatori che possono essere facilmente quantificati economicamente e quindi facilitare il risk manager nel suo processo decisionale.
Di seguito la lista dei KII:
Le metriche che potrebbero essere adottate per la misurazione di ciascun KII:
Il processo di valutazione, affinché sia completo ed efficace, dovrebbe tenere in considerazione anche l’impatto sulle altre organizzazioni causato dal disservizio. A tal fine, per ogni cliente dell’organizzazione “colpita” dovremmo replicare il calcolo dei KII escludendo i rimborsi (inclusi nelle penali previste dagli SLA). Infine, per ottenere una valutazione quantitativa ed il più possibile comprensiva degli aspetti dell’impatto di un rischio sul business, dovremmo sommare tutti i nostri KII stimati con il valore totale dei KII dei nostri clienti.
Questo articolo ha illustrato come l’utilizzo di KRI e KPI possa facilitare il processo di gestione dei rischi e delle minacce. Questi indicatori possono essere utilizzati come una base informativa su cui costruire un analisi dei rischi e delle minacce capace di individuare, sia ex-ante che expost, le migliori contromisure da adottare. Partendo da una chiara definizione della propensione al rischio dell’azienda e dei livelli di prestazione desiderati, monitorando i KRI e KPI, possiamo ridurre le incertezze, garantire i risultati e mitigare gli impatti negativi sull’azienda. Infine abbiamo visto come l’identificazione e l’utilizzo di KII possa facilitare l’analisi dei rischi e delle minacce migliorando l’accuratezza e la precisione con cui i possibili impatti vengono calcolati.
A cura di: Luisa Franchina, Michele Kidane Mariam, Federico Ruzzi
Articolo pubblicato sulla rivista ICT Security – Maggio 2015
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…