Categorie
Case Studies News

Analisi dei cyber risks nelle organizzazioni di tipo Enterprise

L’analisi dei rischi è solo una delle molteplici attività necessarie all’implementazione di un sistema di gestione della sicurezza delle informazioni. Ricordiamo, però, che è anche il cuore pulsante del processo di gestione dei rischi informatici.

Ecco alcuni spunti utili alla preparazione e pianificazione dell’attività di IT Risk Management: analisi dei cyber risks nelle organizzazioni Enterprise.

L’IT Risk Assessment (la valutazione dei rischi informatici), è il cuore pulsante del processo di gestione dei rischi nell’ambito dell’Information Security Governance.

La crescente digitalizzazione, il quadro normativo sempre più stringente (GDPRDirettiva NIS, ecc.), l’evoluzione delle tecnologie e delle minacce rendono necessario implementare strategie adeguate di previsione e gestione dei cyber-risks.

Tutto ciò in special modo in contesti organizzativi complessi, nei quali si rivela di importanza critica proteggersi ed investire nella sicurezza informatica.

Risk assessment Security Architect srl

Analisi dei cyber risks nella gestione della sicurezza delle informazioni

L’analisi dei cyber-risks nelle organizzazioni Enterprise è il primo passo nell’implementazione di un sistema di gestione della sicurezza delle informazioni (SGSI).

Le attività necessarie per raggiungere il traguardo, indipendentemente dalla complessità dell’organizzazione, possono così riassumersi:

  • identificazione e classificazione degli asset informativi di valore per l’organizzazione;
  • detection delle minacce e delle vulnerabilità che potrebbero mettere a rischio tali asset;
  • ideazione e valutazione delle contromisure di sicurezza e protezione dati;
  • analisi e valutazione dei rischi;
  • definizione e attuazione di un piano di risposta ai rischi selezionati;
  • monitoring, reporting e verifica del piano di risposta (pen test).

A questo si affiancano attività trasversali quali:

  • la sensibilizzazione e formazione di tutti gli attori coinvolti (cybersecurity awareness);
  • la creazione di un ecosistema favorevole e funzionale, sicuro by-design;
  • le verifiche e gli audit (ad esempio il monitoraggio dei sistemi, le attività di vulnerability assessment e penetration test, gestione incidenti, ecc…).

L’analisi dei cyber risks nelle organizzazioni Enterprise

Network Security Enterprise building

Nell’analisi dei cyber-risks per organizzazioni complesse di tipo enterprise ciascun passo precedentemente elencato potrebbe nascondere ostacoli o celare sorprese.

Di seguito si propongono degli spunti di riflessione utili alla preparazione e pianificazione di un’attività di analisi dei rischi. È importante avere un’infarinatura di questo tipo soprattutto per chi non si è mai approcciato alla cyber security in contesti aziendali.

È fondamentale soffermarsi sulla definizione di complessità di un’organizzazione nel contesto di analisi dei rischi, e dunque nel mondo dell’information technology.

L’identificazione e classificazione degli asset informativi di valore per l’organizzazione

L’obiettivo di questo step è quello di censire gli asset informativi importanti per l’azienda e di classificarli in base alla criticità e strategicità di business.

La prima domanda alla quale l’analista (o il team incaricato di svolgere l’analisi dei rischi) dovrebbe rispondere è qual è il perimetro (informatico) dell’azienda?

In aziende fortemente interconnesse potrebbe non essere immediata l’identificazione del confine o perimetro tecnologico che separa la realtà interna da quella di soggetti terzi, e le rispettive responsabilità.

Indipendentemente dalla suddivisione di responsabilità, un ulteriore elemento di attenzione è rappresentato dalle dipendenze di sicurezza dovute all’interconnessione e integrazione dei servizi IT. Una minaccia potrebbe sfruttare un servizio IT gestito da terze parti e insinuarsi fin dentro i confini dell’organizzazione.

A tal proposito è necessario soffermarsi sugli aspetti di Vendor Management lungo tutta la catena di fornitura. È necessario identificare chiaramente i compiti in carico all’organizzazione e ai fornitori, a utenti e clienti.

Tornando al concetto di asset informativo, è naturale che talune aziende possano gestire più tipi di asset, su sistemi tecnologici anche molto diversi fra loro. Per ragioni tecnologiche, geografiche, di dislocazione e servizi è necessario integrare i sistemi.

La disomogeneità degli asset informativi e dei sistemi informatici, unita ad una elevata numerosità, è sicuramente una sfida per l’analista. A tal proposito si suggerisce di stabilire una tassonomia chiara e univoca, il cui significato sia chiaro a tutti gli interlocutori aziendali.

Nelle realtà aziendali particolarmente complesse, l’asset e il configuration management possono non essere sufficienti allo scopo. Vanno opportunamente integrati in un modello di Enterprise Architecture.

L’ICT è strumento potente ed efficace anche per le valutazioni di impatto (BIA) grazie alla capacità di mappatura delle varie dipendenze che si vanno a creare e a stratificare all’interno del tessuto tecnologico dell’organizzazione.

L’identificazione delle cyber-minacce e delle vulnerabilità che potrebbero mettere a rischio tali asset

In letteratura spesso si considera l’identificazione delle minacce, ovvero la definizione del profilo di minaccia di un’organizzazione, la parte più complessa del risk management.

Benché esistano svariati riferimenti ed elenchi di minacce (tra cui la più che degna di nota Enisa Threat Taxonomy) a cui ispirarsi, definire un profilo di minaccia vuole dire costruire scenari e catene causa-effetto. Dove causa ed effetto sono minacce, vulnerabilità, conseguenze con innumerevoli combinazioni.

Nonostante possa apparire che le anagrafiche delle minacce, vulnerabilità e conseguenze siano sempre le stesse, per progettare un efficace sistema di identificazione e analisi dei rischi occorre tener conto dell’evoluzione degli scenari di minaccia e dei cyber criminal, dei loro target, delle tecnologie emergenti e soprattutto delle caratteristiche dell’organizzazione.

Per esempio, aziende che operano principalmente con applicativi SaaS dovrebbero dare più enfasi a rischi legati alla fornitura e agli attacchi perpetrati per mezzo dei fornitori. Mentre aziende con il proprio datacenter e con servizi sviluppati internamente dovrebbero farsi carico di altri scenari di minaccia, come ad esempio una violazione della sicurezza fisica delle proprie sale di elaborazione dati.

Il tipo di minacce dovrebbe dipendere anche dai tipi di asset censiti nel passo precedente. Questi potrebbero essere suddivisi fra materiali e immateriali, fra apparati di rete, middleware o interi building ed edifici fisici (che siano uffici o datacenter).

L’identificazione e valutazione delle contromisure di sicurezza a protezione di tali asset

L’attività ha lo scopo di valutare la maturità dei controlli di sicurezza a protezione degli asset. Solitamente la valutazione è svolta mediante intervista o compilazione in autonomia di una checklist o questionario da parte del referente, ovvero il custode della conoscenza.

In organizzazioni particolarmente complesse e connotate da un certo dinamismo potrebbe non essere semplice identificare i referenti. Ciò dovrebbe avvenire basandosi il più possibile su schemi già in possesso dell’organizzazione, quali organigrammi o mansionari.

Tuttavia, anche in possesso di tali informazioni, non è semplice porre le giuste domande al giusto interlocutore, in quanto la sicurezza è spesso un processo trasversale alle funzioni aziendali.

Ciò non è necessariamente un aspetto negativo. In sede di raccolta informativa, però, l’assenza di una fonte centralizzata è sicuramente un aspetto operativo da tenere in considerazione.

Più l’azienda è frammentata (dal punto di vista dei ruoli, responsabilità e conoscenze) e dinamica (job rotation, acquisizioni, fusioni, riorganizzazioni) più è probabile che la raccolta informativa sia difficoltosa.

La sfida si accentua se nell’organizzazione è presente una scarsa predisposizione alla formalizzazione delle informazioni e del know-how aziendale, in special modo quello legato ai presidi di sicurezza in essere a protezione degli asset e dei sistemi informativi aziendali.

L’analisi dei rischi

L’attività cuore della gestione della sicurezza è il calcolo vero e proprio dei rischi.

Spesso l’assessment avviene mediante l’implementazione di algoritmi di valutazione e ponderazione dei rischi, i quali utilizzano matrici o altri costrutti utili alla pesatura di ogni controllo di sicurezza su ciascuna vulnerabilità e ciascuna minaccia.

La difficoltà risiede nell’adattare l’algoritmo (o gli algoritmi) a più casi d’analisi possibili.

Ad esempio, un algoritmo tarato per valutare contromisure di sicurezza tipiche degli applicativi SaaS, mal si potrà adattare a contromisure di sicurezza pensate per valutare applicativi e software sviluppati e gestiti in sede.

Lo sforzo per mantenere efficace un modello è tanto più elevato quanto più l’algoritmo è generalizzabile senza perdere però di precisione, accuratezza e sensatezza nel calcolo.

Il numero di casi d’analisi possibili dipende dalla disomogeneità degli asset e dei sistemi IT, tenendo conto anche dei servizi gestiti da terzi o in Cloud.

La definizione e attuazione di un piano di risposta ai rischi riscontrati

Una volta decise le strategie aziendali di gestione dei cyber risks (accettazione, trasferimento, annullamento e mitigazione), occorre redarre un piano di risposta per il miglioramento delle contromisure di sicurezza, utili alla riduzione del rischio fino al livello di rischio desiderato. Il piano di risposta comprende l’insieme di tutte le azioni puntuali, talvolta articolate in progetti di più ampio respiro, associate ai relativi responsabili i quali possono corrispondere – si auspica – agli stessi auditor che hanno partecipato all’assessment.

In aziende la cui organizzazione si configura frammentata in compartimenti non intercomunicanti fra loro può risultare ostico stilare un piano di rientro dei rischi contenente azioni fra di loro legate da vincoli temporali (alcune azioni devono essere compiute prima di altre, oppure in contemporanea), o da progetti che prevedano lo sforzo congiunto di persone da team differenti.

L’Enterprise nella gestione del rischio informatico

Ricapitolando, si può definire complessa, nel contesto della gestione dei cyber-rischi, una organizzazione caratterizzata da uno o più dei seguenti fattori:

  • forte interconnessione o interdipendenza con altri soggetti;
  • eterogeneità di tipologie di sourcing dei servizi IT;
  • disomogeneità e numerosità di asset e sistemi IT;
  • frammentarietà dei ruoli, responsabilità e conoscenza;
  • dislocazione delle sedi;
  • frequenti o recenti acquisizioni, fusioni, riorganizzazioni.

Un elevato grado di complessità, in special modo per quanto riguarda le organizzazioni che da poco si approcciano alla gestione dei rischi cyber, è da intendersi come campanello d’allarme per le organizzazioni che decidano di intraprendere o migliorare il proprio sistema di gestione di sicurezza delle informazioni (SGSI).

Network Security Services Security Architect Srl

L’ecosistema favorevole al cyber risk management

Un ambiente complesso è per sua natura più rischioso di un ambiente non complesso. A maggior ragione è opportuno non lasciare che la complessità diventi essa stessa impedimento alla valutazione e trattamento dei rischi.

È quindi imperativo identificare dei facilitatori e procedere per fasi aggiungendo complessità gradualmente:

  • scomporre il sistema complesso in sotto-sistemi meno complessi, e procedere per fasi (evitare l’approccio big-bang);
  • coinvolgere da subito, anche per la scomposizione, due importanti funzioni aziendali: gli utenti (che conoscono l’uso delle funzioni applicative) e gli architetti (che conoscono la struttura e le dipendenze applicative e infrastrutturali);
  • condividere il sistema di controlli di riferimento con le funzioni preposte alla loro applicazione prima dell’assessment.

Svolge infine un ruolo cruciale l’integrazione dei processi di Governance della Security all’interno delle dinamiche aziendali. Gli obiettivi della sicurezza devono convergere con gli obiettivi delle parti coinvolte (top management, middle management, operation ma anche terze parti quali fornitori, vendors e clienti).

In linea di principio, qualunque attore con il potere di introdurre o favorire il verificarsi di una minaccia dovrebbe essere indirizzato verso comportamenti e prassi consone a ridurne le probabilità. Questo si può raggiungere, ad esempio:

  • implementando opportuni KPI che misurino quanto l’unità organizzativa è in linea con gli obiettivi di sicurezza delle informazioni, ed in base a tali KPI premiare le unità più virtuose;
  • scorporando i costi delle attività di sicurezza dai centri di costo delle unità, riconoscendone invece i benefici in termini di riduzione del rischio;
  • migliorando la sensibilizzazione e formazione in materia di protezione delle informazioni di tutti i componenti dell’azienda.

Se tutto ciò è coadiuvato da un forte commitment, allora è probabile che il seme della cyber security attecchisca con favore in azienda, permettendole di raggiungere gli obiettivi di management della sicurezza.

le nostre soluzioni per la sicurezza informatica:

Sicurezza Informatica: una necessità nel Sud Italia
Blog News

Sicurezza Informatica: una necessità nel Sud Italia

Sud Italia e cyber attack La questione della sicurezza Informatica nel Sud Italia viene raramente sviscerata. Gli attacchi informatici rappresentano ormai una sfida quotidiana che le imprese italiane devono affrontare e gestire con...
Leggi tutto
Cyber security: i rischi per le PMI
Blog

Cyber security: i rischi per le PMI

Quali sono gli errori da evitare nelle aziende e nelle start-up riguardo alla cyber security? Le PMI, spesso, non dispongono di strategie efficaci per la sicurezza informatica end-to-end. I criminali informatici ne sono...
Leggi tutto
AGCOM: dal 21 Novembre Parental Control automatico
News

AGCOM: dal 21 Novembre Parental Control automatico

Dal 21 novembre 2023 sarà obbligatoria per tutti i provider la funzione di parental control attivata per impostazione predefinita su tutte le linee intestate a soggetti minorenni Nel Gennaio di quest'anno AGCOM (Autorità...
Leggi tutto
Come proteggere i tuoi dati dall’esposizione in ChatGPT
Blog

Come proteggere i tuoi dati dall’esposizione in ChatGPT

ChatGPT e gli altri strumenti che sfruttano L'IA stanno trasformando il modo in cui pensiamo nuovi contenuti o manipoliamo le informazioni, il che può potenzialmente comportare un salto di qualità in termini di...
Leggi tutto
Security e GDPR compliant anche con applicazioni e sistemi obsoleti
Blog

Security e GDPR compliant anche con applicazioni e sistemi obsoleti

Spesso accade che le aziende continuino ad utilizzare software obsoleti per impossibilità alla sostituzione completa esponendosi a rischi per la sicurezza e inosservanza delle norme (GDPR, NIS, DL 231, ecc...). Questa situazione critica...
Leggi tutto
Perché è necessario il monitoraggio continuo della rete?
Blog

Perché è necessario il monitoraggio continuo della rete?

Bollino rosso su strade e autostrade, al via il controesodo estivo per milioni di italiani preparati al rientro in ufficio. Dai bagnasciuga alle scrivanie, la priorità delle aziende è assicurare un re-start a...
Leggi tutto
10 consigli di cyber security per viaggi di lavoro e il remote working
Blog

10 consigli di cyber security per viaggi di lavoro e il remote working

Molti smart business, start-up e organizzazioni operano ad oggi in un modello distribuito (distributed model), con filiali ed endpoint distribuiti al di fuori di un ufficio fisico. Il concetto di perimetro di rete...
Leggi tutto
Profili social hackerati: come difenderci
Blog News

Profili social hackerati: come difenderci

Profili social hackerati: in questo articolo esploreremo la sfera dei social media dal punto di vista degli hacker e della sicurezza informatica. Come possiamo evitare che qualcuno si appropri dei nostri profili social?...
Leggi tutto
LA ROBOTICA COLLABORATIVA A SERVIZIO DELLE IMPRESE: Cyber Defense delle reti OT
Eventi

LA ROBOTICA COLLABORATIVA A SERVIZIO DELLE IMPRESE: Cyber Defense delle reti OT

Security Architect srl si fa portavoce dell'importanza di estendere la sicurezza informatica anche ai sistemi di Operational Technology (Cyber Defense delle reti OT) all'interno del seminario di alta formazione Robotica Collaborativa al servizio...
Leggi tutto
Leave this field blank
Per saperne di piÙ

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *