La quantificazione del rischio informatico (CRQ) è un modo per esprimere i rischi per la sicurezza informatica in termini aziendali oggettivi ed empirici per prendere decisioni strategiche informate.
I consigli di amministrazione e i leader sono ritenuti sempre più spesso responsabili per le violazioni in materia di cybersecurity, perdite di dati, violazioni della conformità e altro. Questo ha reso la cybersecurity un argomento aziendale strategico come mai prima d’ora. La quantificazione del rischio informatico (CRQ) è un metodo per inquadrare i rischi di cybersecurity in modi che siano significativi per i decision makers aziendali.
CRQ è un pilastro importante nella gestione dell'esposizione al rischio cyber, che aiuta le organizzazioni a determinare il potenziale impatto aziendale che i rischi per la sicurezza possono comportare, per esempio, perdite finanziarie (ricavi, downtime) e/o perdite competitive (come una quota di mercato). Ciò aiuta le organizzazioni a orientare gli investimenti nella cybersecurity dove è più importante e a determinare il valore o il potenziale ritorno su tali investimenti, giustificando la spesa per la cybersecurity.
Un metodo comune per calcolare il CRQ è il modello FAIR. Sviluppato dal FAIR Institute, il nome del modello sta per "Factor Analysis of Information Risk". FAIR è uno standard internazionale aperto per CRQ.
Cosa sono i rischi cyber?
Il National Institute of Standards and Technology (NIST) definisce il rischio informatico come :
- "Il rischio di dipendere dalle risorse informatiche (ovvero, il rischio di dipendere da un sistema o da elementi di sistema esistenti o che hanno una presenza intermittente nel cyberspazio)."
- “Rischio di perdita finanziaria, interruzione operativa o danno derivante dal guasto delle tecnologie digitali impiegate per le funzioni informative e/o operative introdotte in un sistema di produzione tramite mezzi elettronici, derivante dall'accesso, dall'uso, dalla divulgazione, dall'interruzione, dalla modifica o dalla distruzione non autorizzati del sistema di produzione.”
Entrambe le definizioni si applicano alla necessità per le organizzazioni di adottare e implementare un framework di gestione proattiva dell'esposizione al rischio cyber.
Perché il CRQ è importante?
L'adozione di un modello CRQ consente alle organizzazioni di integrare le decisioni in materia di cybersecurity nella strategia aziendale complessiva. Rende la cybersecurity un elemento fondamentale per l'azienda, anziché un aspetto secondario.
Poiché CRQ offre ai team di cybersecurity e ai leader aziendali un modo per "parlare la stessa lingua" in materia di rischio cyber, facilita una migliore comunicazione tra i team di sicurezza e di business. Allo stesso modo, fornisce un meccanismo per dimostrare la conformità anche agli enti regolatori.
Attraverso la sua intersezione con la gestione dell'esposizione al rischio informatico, CRQ supporta e arricchisce gli sforzi di un'organizzazione per comprendere la propria esposizione totale al rischio informatico e le vulnerabilità della superficie di attacco, consentendo risposte più efficaci e mirate e un migliore utilizzo delle risorse.
Come funziona CRQ?
Il CRQ prevede l'identificazione di tutte le potenziali minacce informatiche per un'azienda, la loro valutazione e definizione delle priorità per determinare quali siano le più urgenti e gravi e il calcolo del possibile impatto aziendale di una violazione, di un attacco o di una perdita in ciascun caso.
Ciò si allinea strettamente con le prime due fasi della gestione della superficie di attacco: scoperta e valutazione e copre lo stesso spettro di rischi digitali, fisici e sociali/umani, che possono spaziare da malware, password deboli e configurazioni errate, a furto, insider malevoli, suscettibilità a phishing, business email compromise (BEC) e altro ancora.
Scoperta
Il primo passo è identificare tutte le potenziali minacce che potrebbero danneggiare l'organizzazione. Ciò richiede una visione completa della superficie di attacco, che è la somma totale di tutti i modi in cui i malintenzionati potrebbero ottenere l'accesso non autorizzato a dati e sistemi per commettere furti o lanciare attacchi.
Una piattaforma di cybersecurity in grado di eseguire scansioni automatiche e continue dell'intera superficie di attacco è essenziale per questo passaggio. Una piattaforma terrà conto di tutte le risorse, i sistemi, le applicazioni e i punti di accesso noti e sconosciuti, compresi gli elementi che tradizionalmente non sono visibili ai team di sicurezza, come le applicazioni IT shadow, le tecnologie di terze parti e le tecnologie obsolete o "dimenticate" che sono state omesse dagli inventari precedenti.
Valutazione
Con una visione completa della superficie di attacco, i team di sicurezza possono quindi valutare i relativi punti deboli e vulnerabilità come configurazioni errate, software senza patch, errori di codifica e altro ancora. Sulla base di tali vulnerabilità, la valutazione può anche determinare quali tipi di attacchi potrebbero essere utilizzati per sfruttarle, ora e in futuro, e quali potrebbero essere gli obiettivi di tali attacchi (ad esempio, furto di dati, interruzione dell'attività, riscatto ed estorsione, ecc.).
Alcuni punti chiave relativi alla valutazione:
- Idealmente, i rischi saranno valutati per ogni parte dell'organizzazione, dalle operazioni interne alle vendite e al servizio clienti, la supply chain, le risorse cloud, le pipeline di sviluppo software (DevOps) e altro ancora.
- Una volta completate le fasi iniziali di valutazione, i team di sicurezza possono dare priorità ai rischi e alle risorse, determinando quali sono di maggior valore (sia per l'organizzazione stessa che per i potenziali aggressori), quali sono più vulnerabili agli attacchi e, aspetto fondamentale per CRQ, la probabilità di un attacco.
- Nel CRQ, la verosimiglianza è calcolata come probabilità, spesso espressa in percentuale. Per esempio, l'email del CEO in una società di servizi finanziari può avere una probabilità dell'85% di un attacco BEC, rispetto al 12% per il responsabile della mensa nella stessa azienda. Questa probabilità viene determinata statisticamente, utilizzando simulazioni basate su modelli (ad esempio simulazioni Monte Carlo) e viene solitamente calcolata per un periodo di tempo specifico, come un trimestre aziendale o un anno solare.
Calcolo
Sulla base della valutazione, i team di sicurezza collaborano con i leader aziendali per stimare il valore finanziario o il costo dei potenziali attacchi informatici. Ciò includerà sanzioni per non conformità alle leggi e ai regolamenti, perdite finanziarie dovute a tempi di inattività, recovery, estorsione o furto, danni reputazionali e perdita di posizione sul mercato, cause legali e altro ancora. I fattori specifici variano a seconda dell'organizzazione e del settore. Il risultato finale è una cifra in dollari che esprime il rischio aziendale di un attacco informatico.
In che modo il CRQ è diverso dalla valutazione del rischio informatico?
La quantificazione del rischio informatico e il punteggio del rischio informatico svolgono funzioni simili. Entrambi inquadrano i rischi di cybersecurity in termini obiettivi ed empirici per prendere decisioni strategiche informate.
Mentre CRQ calcola il potenziale valore in dollari degli incidenti informatici (che cosa potrebbe costare a un'azienda una violazione, un attacco o un furto di dati) la valutazione del rischio informatico assegna un punteggio numerico a ciascun rischio e poi, da questo, ricava un punteggio complessivo del rischio informatico per l'organizzazione.
Nello specifico, la valutazione del rischio informatico prevede un processo in due fasi: profilazione del rischio, ovvero determinazione dei rischi rilevanti e dei controlli necessari per gestirli, e successiva assegnazione di punteggi a ciascun rischio in base alla relativa urgenza e alla potenziale gravità.
- La fase di profilazione dipende da un processo di rilevamento e valutazione completo che definisce la superficie di attacco complessiva dell'organizzazione e identifica rischi e vulnerabilità su tale superficie. Sulla base di tali determinazioni, un'organizzazione può quindi decidere quali controlli devono essere implementati.
- La fase di valutazione stima il potenziale livello di rischio e danno per ciascuna vulnerabilità identificata, inclusa la probabilità che tale vulnerabilità venga sfruttata, quanto sarà ampio e percepito l'impatto, quanto sarebbe difficile porre rimedio a un attacco riuscito e altro ancora.
- I punteggi del rischio informatico dovrebbero inoltre tenere conto dell'intelligence sulle minacce globali (siano esse proprietarie o open source), delle valutazioni della sicurezza pubblica e dell'intelligence sulla consapevolezza dei malintenzionati riguardo a vulnerabilità specifiche, sulla facilità di sfruttamento, sulla frequenza degli exploit e su altri dati rilevanti.
Esistono molti metodi diversi per calcolare i punteggi di rischio informatico, tra cui un framework di riferimento proposto dal NIST e dal modello FAIR menzionato in precedenza.
Sia la valutazione del rischio informatico che il CRQ supportano una buona gestione dell'esposizione al rischio cyber ed entrambi prevedono fasi simili di scoperta e valutazione per identificare, valutare e assegnare priorità ai rischi in modo proattivo.
Alternative al CRQ
CRQ è abbastanza recente. Molte organizzazioni seguono ancora modelli di gestione del rischio basati sulla conformità come il NIST Cybersecurity Framework (CSF). Con un approccio basato sulla conformità, l'obiettivo è mantenere la conformità ai requisiti normativi. Gli strumenti CRQ, d'altro canto, si concentrano sul quantificare il rischio informatico. La combinazione di entrambi gli approcci è quella che più probabilmente produrrà i risultati più solidi in termini di sicurezza informatica, nel contesto di una strategia complessiva di gestione dell'esposizione al rischio informatico fondata su una gestione attenta della superficie di attacco.
Come possiamo implementare CRQ?
La quantificazione del rischio informatico è una componente chiave della gestione complessiva dell'esposizione al rischio informatico. L'implementazione di CRQ richiede una buona collaborazione e coordinamento tra i team di cybersecurity e i leader aziendali, tra cui aspettative chiare, punti di contatto regolari, comunicazione aperta e processi ben definiti.
Le organizzazioni dovranno scegliere un modello CRQ (che sia FAIR o qualche altro approccio) e adottare gli strumenti CRQ per supportare i tipi di simulazioni e calcoli richiesti. Questi strumenti dovrebbero essere integrati in una piattaforma di cybersecurity completa in grado di fornire tutto il contesto necessario per prendere decisioni informate sui rischi cyber e sulla loro priorità relativa.
In particolare, ciò significa una piattaforma in grado di affrontare tutte le fasi della gestione dell'esposizione al rischio informatico: scoperta, valutazione e mitigazione. La piattaforma dovrebbe includere tecnologie per le operazioni di sicurezza come le informazioni di sicurezza e la gestione degli eventi (SIEM), il rilevamento e la risposta estesi (EDR) e/o il rilevamento e la risposta estesi (XDR) per una mitigazione rapida ed efficace delle minacce. XDR è inoltre fondamentale come fonte di dati, analisi e integrazioni.
Per ridurre al minimo il rischio a lungo termine e rafforzare lo stato di sicurezza dell'organizzazione, anche le strategie zero-trust sono un importante complemento del CRQ. Zero Trust applica il principio del privilegio minimo praticamente a ogni aspetto dell'ambiente IT. Come suggerisce il nome, la fiducia non è mai data per scontata e le autorizzazioni sono strettamente controllate in modo che anche gli utenti autorizzati abbiano accesso alle risorse solo dove e quando ne hanno direttamente bisogno.
Dove posso ottenere assistenza con CRQ?
Trend Vision One™ può supportare il tuo percorso di implementazione delle pratiche CRQ con la sua soluzione di Cyber Risk Exposure Management consentendo alle organizzazioni di quantificare e comunicare con facilità il rischio informatico in termini di business.
Ciò è possibile grazie all'approccio rivoluzionario di Trend Vision One che combina funzionalità chiave, come External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management e Security Posture Management, attraverso cloud, dati, identità, API, IA, conformità e applicazioni SaaS in un'unica soluzione potente e facile da usare. Ti consente di proteggere la tua azienda in modo proattivo con controllo, chiarezza e fiducia.
Scopri di più su come Cyber Risk Exposure Management può aiutarti con la quantificazione del rischio informatico.