Rischio Cyber: ecco come quantificarlo nelle aziende
A cura di:
Nicola Ciani – Ricercatore
Ingrid Salvadori – Analista
Cosa si intende per rischio cyber?
Il rischio cyber si riferisce alla possibilità di perdite finanziarie, interruzioni alle attività o danni alla reputazione a causa di violazioni ai dati o ai sistemi informatici aziendali. La sua gestione efficace è fondamentale per proteggere le risorse aziendali e garantire la continuità operativa.
La gestione del rischio cyber è diventata una priorità strategica per le imprese a seguito dell’aumento esponenziale delle minacce informatiche, portate dalla crescente digitalizzazione delle attività aziendali.
La gestione del rischio cyber in Italia
La gestione del rischio cyber si colloca all’interno di un processo più ampio di gestione del rischio. Nello specifico è possibile individuare tre livelli, ovvero Enterprise Risk Management, Information Security Risk Management e Cyber Risk Management. Per Enterprise Risk Management si intende un processo a livello macro di valutazione, analisi, definizione delle priorità e creazione di una strategia per mitigare le minacce alle risorse e agli utili di un’organizzazione. Il secondo livello, Information Security Risk Management, si focalizza sulla preservazione della riservatezza, dell’integrità e della disponibilità delle informazioni. Infine, il Cyber Risk Management ha lo scopo di proteggere l’ambiente informatico dell’organizzazione.
Nonostante sia auspicabile che il processo di Cyber Risk Management sia integrato nel processo di Enterprise Risk Management, nel 2023, in Italia, le grandi organizzazioni che hanno affermato di gestire il rischio cyber a livello aziendale sono il 45%, mentre il 32% lo tratta come rischio a sé stante all’interno della funzione IT o di un’altra funzione. Un 17% delle organizzazioni intervistate non ha invece un processo di gestione strutturato, ma prevede di definirlo presto, e solo un 6% non monitora il rischio cyber costantemente.
Una delle criticità principali quando si parla di Cybersecurity a livello aziendale è la capacità di comunicare efficacemente al board e ai vari stakeholders le possibili conseguenze che un incidente o un attacco cyber potrebbero avere sul business. A tal fine, l’attività di quantificazione finanziaria del rischio cyber può essere di grande supporto, poiché consente di tradurre il rischio cyber in termini di impatti finanziari.
Il processo di quantificazione del rischio cyber
La quantificazione del rischio cyber è un processo complesso che comprende diverse fasi. Innanzitutto, è necessario identificare gli scenari di rischio. Successivamente, si procede con la stima del rischio, assegnando valori alla probabilità e alle conseguenze degli scenari identificati. Infine, la valutazione dei rischi permette di classificarli in base al punteggio derivato dal processo di stima, facilitando l’implementazione di azioni di mitigazione e monitoraggio.
Per poter arrivare a una stima del rischio cyber, è necessario tenere in considerazione diversi fattori:
- la valutazione della minaccia in termini di obiettivo, severity e durata;
- la valutazione della probabilità/frequenza in termini di esposizione alla minaccia, esposizione tecnologica, assenza di contromisure, trend di settore e livello di incertezza;
- la stima dell’impatto considerando perdite primarie e secondarie (come i costi di risposta, i costi di sostituzione, le sanzioni, la perdita di produttività e l’impatto sulla reputazione);
- stime aggiuntive su rischi specifici;
- l’aggregazione di rischi collegati e a basso impatto;
- la determinazione del livello di rischio cyber attraverso scoring e rating.
Nella quantificazione del rischio cyber, dunque, le simulazioni statistiche rappresentano un approccio efficace per comprendere la distribuzione di probabilità della perdita annuale e modellare le perdite attese annuali. Inoltre, possono aiutare nella definizione di KPI utili al management per prevedere e pianificare meglio le risposte agli incidenti cyber, migliorando la capacità di resilienza dell’organizzazione.
Tra i vantaggi della quantificazione del rischio cyber rientrano la capacità di rappresentare il rischio in termini di business, il che permette una maggiore consapevolezza del tema da parte della proprietà, nonché una maggiore efficacia del dialogo tra funzioni cyber, IT e Risk Management. Inoltre, quantificare il rischio cyber permette, sul piano strategico, di orientare la qualità e la quantità degli investimenti e, su quello operativo, di identificare le corrette azioni di prevenzione. Infine, è possibile valutare l’efficacia delle azioni di mitigazione del rischio nonché i risultati ottenuti sul budget destinato alla cybersecurity.
La quantificazione del rischio cyber, nonostante gli innumerevoli vantaggi, presenta anche alcune criticità. La precisione delle stime può essere influenzata dalla scarsità di informazioni storiche e dall’imprevedibilità degli attacchi informatici. Inoltre, l’ampiezza del contesto aziendale rende complessa l’analisi e il monitoraggio continuo dei rischi. Infine, la sicurezza di un sistema può dipendere dalla sicurezza di altri sistemi con cui è interconnesso, rendendo necessario un coordinamento efficace con le terze parti.
In conclusione, la gestione e la quantificazione del rischio cyber rappresentano un primo passaggio essenziale per adottare le corrette leve di mitigazione del rischio cyber e impiegare le risorse aziendali in maniera efficace, migliorando la continuità operativa aziendale.
Siamo a tua disposizione per informazioni e assistenza
Eleonora Evstifeew
Informazioni e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18
Antonella Zagheni
Assistenza abbonati Da Lunedì al Venerdì, dalle 09 alle 18Scopri altri contenuti di Cybersecurity & Data Protection
Le migliori Aziende italiane si aggiornano su Osservatori.net
