La gestione del rischio informatico è un approccio proattivo alla cybersecurity incentrato sulla previsione e la mitigazione dei rischi sull'intera superficie di attacco.
La gestione del rischio cyber è un modo per migliorare la consapevolezza in materia di cybersecurity di un'organizzazione, identificando, dando priorità e mitigando le minacce. La gestione della superficie di attacco (ASM) è un elemento essenziale della gestione del rischio informatico.
La gestione del rischio cyber può essere suddivisa in quattro parti distinte:
- Identificazione del rischio: Comprendere l'infrastruttura IT dell'organizzazione, sapere dove sono i punti deboli e identificare le minacce.
- Valutazione del rischio: Valutare la probabilità che le vulnerabilità dell'organizzazione vengano sfruttate e valutare l'impatto che lo sfruttamento avrebbe.
- Mitigazione del rischio: Implementare misure quali controlli tecnici, amministrativi e fisici contribuirà a ridurre l'impatto delle minacce. Inoltre, la formazione dell'organizzazione sulle migliori pratiche di cybersecurity e la definizione di linee guida per le operazioni di sicurezza e la risposta agli incidenti favoriranno una maggiore resilienza.
- Monitoraggio dei rischi: Osservare e rivedere costantemente il panorama dei rischi attraverso valutazioni regolari, controlli di monitoraggio e risposta agli incidenti per identificare nuove minacce e valutare l'efficacia delle misure di mitigazione
La gestione del rischio cyber copre le stesse tre fasi della gestione della superficie di attacco: rilevamento, valutazione e mitigazione. La fase di valutazione include la valutazione del rischio in modo che l'organizzazione possa eseguire il benchmarking e il monitoraggio del suo profilo di rischio nel tempo.
Cosa sono i rischi cyber?
Il National Institute of Standards and Technology definisce il rischio informatico in due modi distinti ma correlati:
- "Il rischio di dipendere dalle risorse informatiche (ovvero, il rischio di dipendere da un sistema o da elementi di sistema esistenti o che hanno una presenza intermittente nel cyberspazio)."
- “Rischio di perdita finanziaria, interruzione operativa o danno derivante dal guasto delle tecnologie digitali impiegate per le funzioni informative e/o operative introdotte in un sistema di produzione tramite mezzi elettronici, derivante dall'accesso, dall'uso, dalla divulgazione, dall'interruzione, dalla modifica o dalla distruzione non autorizzati del sistema di produzione.”
Entrambe le definizioni si applicano alla necessità per le organizzazioni di adottare e implementare un framework proattivo di gestione del rischio informatico.
Perché la gestione del rischio cyber è importante?
La superficie di attacco in espansione significa che le organizzazioni devono affrontare più rischi cyber che mai. La portata e la complessità dell'ambiente delle minacce hanno costretto per anni molti team di sicurezza ad agire in modalità reattiva, senza la capacità, la visibilità e le informazioni necessarie per anticipare le minacce e impedire che si verificassero violazioni.
Come parte di un approccio globale alla gestione della superficie di attacco, la gestione del rischio informatico fornisce al personale addetto alla sicurezza una visione completa dei rischi che le proprie organizzazioni devono affrontare. Un buon quadro di gestione del rischio cyber aiuta anche a determinare quali sono i rischi più rilevanti, supportando un "processo decisionale basato sul rischio" per ridurre l'esposizione complessiva alle minacce.
Grazie alle informazioni raccolte, i team della sicurezza possono rafforzare le difese, ridurre al minimo le vulnerabilità e informare i processi di gestione del rischio e di pianificazione strategica delle proprie organizzazioni.
Quali sono le implicazioni legali o normative dei rischi informatici?
Le organizzazioni che non riescono a gestire i rischi cyber in modo efficace potrebbero essere soggette a multe o azioni legali, compresi procedimenti penali e pene detentive. Molte leggi e normative includono requisiti per segnalare tempestivamente le violazioni dei dati e per garantire la privacy e la sicurezza dei dati personali e sensibili. Il General Data Protection Regulation (GDPR) dell'UE e l'Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti sono alcuni dei framework più importanti e noti.
Oltre a incorrere in sanzioni, le organizzazioni che gestiscono erroneamente il rischio cyber e subiscono una violazione o una perdita possono anche subire una perdita di fiducia e un danno reputazionale tra clienti, partner e dipendenti.
Data la potenziale gravità delle conseguenze, molti consigli di amministrazione stanno dimostrando un interesse attivo nella gestione del rischio informatico aziendale. In effetti, molti amministratori sono ritenuti responsabili delle prestazioni in materia di cybersecurity.
Come funziona la gestione del rischio cyber?
La gestione del rischio informatico consiste nell'adottare un approccio strategico alla cybersecurity che sia personalizzato in base alle esigenze dell'organizzazione e promuova una solida postura di conformità. È costituito da sei componenti principali o aree di attività, tutte necessarie in combinazione tra loro. Questi sono:
- Identificazione e classificazione delle risorse basata sul rischio: Ottenere una visione completa dell'intera superficie di attacco in modo che tutte le risorse e i dati siano noti e possano essere protetti contro gli attacchi informatici.
- Analisi delle vulnerabilità basata sul rischio: scansione delle risorse e test delle vulnerabilità su base regolare e continua, con particolare attenzione alle vulnerabilità che presentano i rischi maggiori.
- Valutazione delle minacce basata sul rischio: analisi dei rischi con la consapevolezza dell’evoluzione dell’ambiente delle minacce e determinando le minacce potenzialmente più pericolose per le risorse critiche dell’organizzazione.
- Assegnazione di priorità ai rischi: Comprendere quali rischi sono più urgenti e potenzialmente gravi per prendere decisioni informate e orientare gli investimenti nella cybersecurity.
- Controlli Zero Trust basati sul rischio: adottare framework e architetture Zero Trust per ridurre la superficie di attacco complessiva e limitare il rischio.
- Monitoraggio e miglioramento continui: Centralizzare la visibilità su tutta la superficie di attacco per consentire la gestione continua del rischio e l'adattamento al panorama delle minacce in evoluzione.
Che cos'è un quadro di gestione del rischio cyber?
Un framework di gestione del rischio informatico offre alle organizzazioni un modo strutturato di identificare, valutare e mitigare in modo proattivo i rischi di cybersecurity. Comprende politiche e procedure che richiedono una piattaforma di cybersecurity aziendale.
Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha condiviso pubblicamente il suo framework di cybersecurity affinché serva da modello per altre organizzazioni. Il framework NIST si concentra sui risultati, aiutando le organizzazioni a determinare ciò che desiderano ottenere esattamente gestendo il rischio informatico, anzichè dettare come si dovrebbe gestire il rischio informatico.
In definitiva, il framework NIST consente alle organizzazioni di comprendere e valutare il loro attuale stato di sicurezza, dare priorità ai rischi e alle azioni da intraprendere e stabilire un modo condiviso e comune di comunicare le attività di cybersecurity, sia internamente che esternamente.
Come possiamo implementare la gestione del rischio informatico?
Gli enti del settore pubblico di molti paesi hanno delineato approcci a più fari per l'implementazione dei framework per la gestione del rischio cyber. Il National Cyber Security Centre del Regno Unito, per esempio, propone un metodo in otto fasi:
- Stabilire il contesto organizzativo
- Identificare i decision makers, i processi di governance e i vincoli
- Definire le sfide relative al rischio cyber
- Selezionare un approccio
- Comprendere i rischi e come gestirli
- Comunicare e consultare
- Implementare e garantire
- Monitorare e revisionare
Il modello del Regno Unito sottolinea l'importanza di comprendere non solo la superficie di attacco e il panorama delle minacce, ma anche il contesto e le condizioni uniche dell'organizzazione stessa. Ciò include il focus e i valori dell'azienda, gli stakeholder principali e i rischi specifici. Per esempio, un'azienda nel settore dei servizi finanziari avrà requisiti antifrode e antiriciclaggio per soddisfare le esigenze di un produttore. Ma un produttore potrebbe invece dover gestire i rischi cyber lungo la sua supply chain.
La creazione di un framework comune per la gestione del rischio cyber e la possibilità di avere una visione unificata dell'ambiente di rischio (la superficie di attacco) sono fondamentali per implementare un quadro di gestione del rischio informatico. Entrambe dipendono da due capacità chiave. Uno, come accennato sopra, è l'adozione di un approccio zero-trust alla cybersecurity. L'altro è l'implementazione della tecnologia XDR (Extended Detection and Response) per raccogliere e analizzare i dati della superficie di attacco.
L'adozione di una piattaforma di cybersecurity può supportare il passaggio a zero trust. Una piattaforma completa includerà anche operazioni di sicurezza come XDR, fornendo i prerequisiti essenziali per la gestione del rischio cyber.
Come si integra la gestione della superficie di attacco con la gestione del rischio informatico?
La gestione della superficie di attacco (ASM) è un aspetto chiave della gestione complessiva del rischio cyber. Come suggerisce il nome, la gestione della superficie di attacco riguarda specificamente la superficie di attacco: l'insieme totale di vulnerabilità, punti di accesso e vettori di attacco che possono essere sfruttati per ottenere l'accesso non autorizzato ai sistemi e ai dati di un'organizzazione.
L'ASM si concentra sulla scoperta, la valutazione e la mitigazione dei rischi correlati alla superficie di attacco, idealmente in un processo continuo e continuativo.
La scoperta consiste nel definire la superficie di attacco e tutte le risorse che la compongono. Ciò richiede una soluzione di gestione della superficie di attacco in grado di scansionare l'ambiente IT per identificare tutti i dispositivi, software, sistemi e punti di accesso noti e sconosciuti. La scoperta mira inoltre a identificare le app shadow IT, le tecnologie connesse di terze parti e le tecnologie che non hanno fatto parte di inventari precedenti.
La valutazione è il processo di determinazione dell'urgenza e della potenziale gravità dei rischi associati a tutte le risorse scoperte. Ciò comporta la quantificazione del rischio e la valutazione del rischio , modalità per assegnare priorità e classificare vulnerabilità e rischi in modo obiettivo.
Mitigazione significa agire per affrontare le vulnerabilità scoperte. Ciò potrebbe significare eseguire aggiornamenti software o installare patch, impostare controlli di sicurezza e hardware o implementare framework di protezione come zero trust. Potrebbe anche includere l'eliminazione di vecchi sistemi e software.
Dove posso trovare aiuto per la gestione del rischio informatico?
Trend Micro Research ha creato il Cyber Risk Index (CRI) con il Ponemon Institute per indagare sui rischi informatici e identificare le aree chiave per migliorare la cybersecurity. Aggiornato periodicamente, il CRI misura il gap tra la postura di sicurezza attuale di un'azienda e la relativa probabilità di diventare vittima di un attacco. Utilizza il calcolatore CRI qui per determinare il punteggio di rischio della tua organizzazione.
Trend Vision One™ offre una soluzione di Cyber Risk and Exposure Management (CREM) che garantisce che le organizzazioni possano andare oltre il semplice ASM per ridurre la loro impronta di rischio informatico. CREM adotta un approccio rivoluzionario combinando funzionalità chiave, come External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management e Security Posture Management, attraverso cloud, dati, identità, API, IA, conformità e applicazioni SaaS in un'unica soluzione potente e facile da usare. Non si tratta solo di gestire le minacce, ma anche di costruire una vera resilienza al rischio.
Scopri di più su come Cyber Risk Exposure Management può aiutarti a identificare, assegnare priorità e mitigare le minacce.