RSA, un framework per determinare la propensione al cyber-risk

RSA, un framework per determinare la propensione al cyber-risk

RSA, l Security Division di EMC, rilascia un nuovo framework per categorizzare e attribuire delle priorità ai cyber-risk, uno strumento importante per le imprese moderne.
Il framework, presentato in un report redatto con il supporto della Deloitte Advisory Cyber Risk, fornisce alle aziende uno strumento utile non solo per includere i cyber risk tra i possibili rischi aziendali di cui tenere conto, ma anche per definire formalmente il livello di tollerabilità di un rischio informatico nel contesto delle proprie strategie aziendali.

Oggi le aziende sono sempre più esposte a nuovi cyber risk. Non potendo più tornare alla pre globalizzazione, né fare a meno dell’outsourcing o dei sistemi cloud, le aziende devono ripensare alla loro valutazione dei rischi. Il report, intitolato “Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise” evidenzia come per le aziende sia fondamentale dotarsi di un processo sistematico per identificare e categorizzare le diverse fonti di cyber risk, gli stakeholder maggiormente esposti a questo tipo di attacchi e definire la propria propensione ai cyber risk.

In primo luogo, le aziende devono ridefinire il concetto di cyber risk: non più solo un attacco pianificato e mirato a un sistema informatico - che comunque rimane un fatto importante – ma una serie di eventi che possono arrecare danni o gravi perdite a causa dell’utilizzo della tecnologia all’interno di una società.

Il report suggerisce di suddividere i cyber risk a seconda che questi siano generati da comportamenti intenzionali o meno. I cosiddetti ‘cyber risk event’ possono infatti dipendere da azioni volontarie - ad esempio da parte di hacker che hanno l’obiettivo di compromettere informazioni sensibili – o da errori commessi involontariamente da parte di utenti. Allo stesso modo, possono provenire dall’esterno - cyber criminali o fornitori - o da risorse interne all’azienda, come dipendenti o contractor.

Per determinare in modo efficace la propria propensione al rischio, il report suggerisce alle aziende di stilare un elenco di potenziali cyber risk, quantificarne l’impatto sulla propria organizzazione e assegnare a ciascuno di essi delle priorità. Si inizia con immaginare il peggior scenario possibile e stabilire quali sono le informazioni sensibili che non devono entrare in possesso di soggetti terzi o essere rese pubbliche; si prosegue con assegnare ad ogni rischio individuato una priorità sia sulla base del possibile impatto che essi possono avere sui sistemi mission e business critical, sia sulla criticità di questi ultimi, e questo prima di pensare all’infrastruttura, agli ecosistemi estesi (ad esempio le applicazioni per la gestione della supply chain e i portali per i partner) o ai possibili punti di interazione con l’esterno. L’assegnazione delle priorità deve essere un processo continuo e costantemente monitorato.

Le conclusioni del report si possono così sintetizzare: le aziende che avranno successo saranno quelle in grado di quantificare i cyber risk e di prendere decisioni consapevoli riguardo alla loro propensione al rischio. Alcuni costi possono essere facilmente quantificati, come quelli legati a sanzioni, spese legali, perdita di produttività, incidenti; altri possono essere più difficili da determinare, come per esempio una perdita del valore del brand o di proprietà intellettuale. Le aziende dovranno essere brave a dimostrare la correlazione esistente fra gli investimenti sostenuti e i rischi che stanno correndo.