La valutazione del rischio informatico è un modo per quantificare il rischio di cybersecurity in modo che le organizzazioni possano prendere decisioni obiettive ed empiriche su come difendere e ridurre la superficie di attacco.
La valutazione del rischio informatico è una componente importante di qualsiasi framework di gestione del rischio cyber. Consente una comprensione condivisa e oggettiva dei rischi relativi associati alle risorse IT e alle tecnologie digitali, in modo che possano essere fatte scelte pratiche su quali sono le priorità più importanti da affrontare.
Il monitoraggio dei punteggi di rischio informatico nel tempo consente alle organizzazioni di confrontare e monitorare la loro preparazione complessiva in materia di cybersecurity e la forza della loro postura di sicurezza.
La valutazione del rischio informatico si applica all'intera superficie di attacco, comprese le risorse IT interne ed esterne, i dati, i sistemi e le risorse.
Analogamente alla quantificazione del rischio informatico (CRQ), il punteggio del rischio cyber è strettamente correlato alle prime due fasi della gestione della superficie di attacco: scoperta e valutazione.
In particolare, comporta un processo in due fasi di profilazione del rischio, determinando quali sono i rischi rilevanti e i controlli necessari per gestirli, e successiva assegnazione di punteggi a ciascun rischio in base alla relativa urgenza e alla potenziale gravità.
Cosa sono i rischi informatici?
Il National Institute of Standards and Technology definisce il rischio informatico come:
- "Il rischio di dipendere dalle risorse informatiche (ovvero, il rischio di dipendere da un sistema o da elementi di sistema esistenti o che hanno una presenza intermittente nel cyberspazio)."
- “Rischio di perdita finanziaria, interruzione operativa o danno derivante dal guasto delle tecnologie digitali impiegate per le funzioni informative e/o operative introdotte in un sistema di produzione tramite mezzi elettronici, derivante dall'accesso, dall'uso, dalla divulgazione, dall'interruzione, dalla modifica o dalla distruzione non autorizzati del sistema di produzione.”
Entrambe le definizioni si applicano alla necessità per le organizzazioni di adottare e implementare un framework di gestione proattiva dell'esposizione al rischio informatico.
Perché la valutazione del rischio cyber è importante?
Come componente della gestione dell'esposizione al rischio cyber, il punteggio del rischio informatico fornisce una chiarezza misurabile e obiettiva su quali rischi rappresentano la minaccia maggiore per un'organizzazione. Ciò aiuta a orientare le azioni e gli investimenti in materia di cybersecurity.
Come CRQ, la valutazione del rischio informatico offre un modo per parlare del rischio che sia comprensibile sia dai professionisti della sicurezza sia dai leader aziendali. In questo modo, è un supporto importante per il monitoraggio e la reportistica delle prestazioni delle organizzazioni in materia ESG e/o CSR.
Sempre più spesso, i punteggi di rischio informatico vengono utilizzati come fattore per determinare l'idoneità di un'organizzazione all'assicurazione informatica. Possono essere utilizzati anche per valutare potenziali fusioni e acquisizioni, nella gestione della sicurezza della supply chain e in altri ambiti delle operazioni aziendali.
Cyber risk scoring vs. CRQ?
La valutazione del rischio informatico e il CRQ svolgono funzioni simili: in parole povere, una è qualitativa e l'altra quantitativa. Entrambi traducono i rischi cyber in termini obiettivi ed empirici per prendere decisioni strategiche informate.
Mentre il punteggio del rischio informatico assegna un punteggio numerico a ciascun rischio e poi, da questo, ricava un punteggio complessivo del rischio informatico per l'organizzazione, il CRQ calcola il potenziale valore in dollari degli incidenti informatici, ovvero quanto potrebbe costare a un'azienda una violazione, un attacco informatico o un furto di dati. Tale costo può comprendere perdite finanziarie (fatturato, tempi di inattività, multe, cause legali), perdite competitive (come quote di mercato), danni reputazionali, abbandono dei clienti e altri danni.
CRQ calcola la verosimiglianza di un attacco come probabilità, spesso espressa come percentuale. Per esempio, l'email del CEO in una società di servizi finanziari può avere una probabilità dell'85% di un attacco BEC, rispetto al 12% per il responsabile della mensa nella stessa azienda. Questa probabilità viene determinata statisticamente, utilizzando simulazioni basate su modelli (per esempio esempio simulazioni Monte Carlo) e viene solitamente calcolata per un periodo di tempo specifico, come un trimestre aziendale o un anno solare.
Sia la valutazione del rischio informatico sia il CRQ supportano una buona gestione del rischio cyber ed entrambi prevedono fasi simili di scoperta e valutazione per identificare, valutare e assegnare priorità ai rischi.
Come funziona la valutazione del rischio cyber?
Come accennato, il punteggio del rischio informatico è costituito da due parti principali:
- Profilazione del rischio
- Punteggio di rischio
La fase di profilazione dipende da un processo di scoperta e valutazione completo che definisce la superficie di attacco complessiva dell'organizzazione e identifica rischi e vulnerabilità su tale superficie. Sulla base di tali determinazioni, un'organizzazione può quindi decidere quali controlli devono essere implementati.
La fase di valutazione stima il livello potenziale di rischio e danno per ogni vulnerabilità identificata, compresa la probabilità che tale vulnerabilità venga sfruttata, la misura e l'ampiezza dell'impatto, la difficoltà di porre rimedio a un attacco riuscito e altro ancora.
I punteggi di rischio informatico dovrebbero anche tenere conto delle informazioni sulle minacce globali (di proprietà o open source), delle valutazioni di sicurezza pubbliche e delle insight sulla consapevolezza da parte dei malintenzionati di vulnerabilità specifiche, facilità di sfruttamento, frequenza degli exploit e altri dati rilevanti.
I singoli punteggi di rischio informatico vengono poi sommati per ottenere un punteggio complessivo del rischio cyber dell'organizzazione.
In che modo la valutazione del rischio informatico contribuisce alla gestione della superficie di attacco?
La gestione della superficie di attacco (ASM) è un approccio alla cybersecurity che mira ad aiutare le organizzazioni a difendere i propri dati e sistemi rendendo le minacce più visibili. Si tratta di sapere dove esistono i rischi, comprenderne la gravità relativa e agire per colmare le lacune di sicurezza relative a persone, processi e tecnologia.
Pertanto, il punteggio di rischio informatico è strettamente correlato alle prime due fasi dell'ASM: scoperta e valutazione.
Il processo di rilevamento ASM offre visibilità su tutti i potenziali rischi informatici che un'organizzazione deve affrontare. Tale contesto è necessario per una valutazione accurata e completa del rischio informatico, in quanto fornisce un quadro completo della superficie di attacco aziendale.
Il punteggio di rischio cyber contribuisce alla fase di valutazione ASM fornendo un modo empirico e obiettivo per indicare quali rischi e vulnerabilità sono più critici e quali possono essere affrontati in un secondo momento.
La valutazione del rischio informatico è un processo continuo. Grazie all'aggiornamento regolare dei punteggi, i team di cybersecurity e i leader aziendali possono vedere come sta cambiando il panorama complessivo dei rischi: quali stanno diventando più significativi e urgenti da affrontare e quali sono stati mitigati con successo.
Metodi per calcolare i punteggi di rischio informatico
Esistono molti framework o metodi per la valutazione del rischio cyber. Il più semplice è stimare la probabilità di un attacco, assegnare un valore e moltiplicarlo per la potenziale gravità dell'attacco per raggiungere un punteggio di rischio numerico.
Il framework di riferimento del National Institute of Standards and Technology (NIST)
NIST offre una soluzione di valutazione del rischio informatico che assegna categorie di sicurezza a tutti i componenti di un sistema e stabilisce per ciascuno un livello di controllo di sicurezza di base: basso, moderato o alto. A ogni controllo viene assegnata una ponderazione iniziale da 1 a 10 in base alla sua importanza relativa per la sicurezza e la privacy complessiva dell'organizzazione.
Nel framework NIST, la profilazione del rischio aiuta a determinare la portata necessaria dei controlli richiesti. Fattori come la riservatezza, l'integrità e la disponibilità (abbreviati come "CIA") vengono valutati con una scala da 1 a 10 e applicati ai vari controlli in base alla criticità dei dati/delle informazioni associati.
Si ritiene inoltre che le informazioni storiche su violazioni passate, eventi noti che interessano il settore/settore dell'organizzazione e altri contenuti contestuali forniscano un punteggio predittivo che indichi accuratamente il potenziale rischio di incidenti futuri.
Altri approcci
Altri metodi per calcolare i punteggi di rischio informatico includono:
- Factor Analysis of Information Risk (FAIR): generalmente utilizzato per la valutazione del rischio finanziario, come nel caso del CRQ. Parte del metodo FAIR consiste nel suddividere i rischi in sotto-componenti per fornire un'accuratezza granulare.
- Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE), incentrato, come suggerisce il nome, sulle operazioni aziendali, con calcoli del rischio basati sulle minacce specifiche delle risorse e sulle vulnerabilità dell'infrastruttura.
- ISO/IEC 27005, che offre una guida sulla gestione del rischio per la sicurezza delle informazioni relativa alla definizione del contesto di gestione del rischio, all'identificazione e alla valutazione dei rischi (compresa la probabilità di attacco) e alle misure di mitigazione ("piani di trattamento del rischio").
Un altro strumento che contribuisce alla valutazione del rischio è il Common Vulnerability Scoring System (CVSS). CVSS non svolge il lavoro completo di valutazione del rischio, ma fornisce un modo utile per classificare la potenziale gravità delle vulnerabilità identificate nel software. Questi ranking possono quindi essere utilizzati come parte del calcolo complessivo della valutazione del rischio.
Chi può aiutarci con la valutazione del rischio di cybersecurity?
Trend Micro ha sviluppato congiuntamente con il Ponemon Institute il Cyber Risk Index (CRI) per aiutare le organizzazioni a determinare i loro livelli di rischio e dove potrebbero avere lacune nella cybersecurity. Il CRI assegna un punteggio di rischio alle organizzazioni sulla base di una valutazione completa delle categorie e dei fattori di rischio. L'indice incorpora eventi di rischio che hanno un impatto su un'ampia gamma di risorse, tra cui utenti, dispositivi, applicazioni, domini e indirizzi IP rivolti a internet e risorse basate sul cloud.
La valutazione del CRI si basa su fonti di dati connesse per valutare in che modo i fattori di rischio influiscono sull'ambiente specifico di un'organizzazione. Quante più fonti di dati possono essere incorporate, tanto più completo ed esaustivo sarà il risultato del CRI.
Il CRI si aggiorna automaticamente ogni quattro ore e le modifiche allo stato degli eventi di rischio vengono riportate al massimo dopo un'ora. Le organizzazioni possono ricalcolare manualmente il proprio CRI facendo clic sul pulsante Ricalcola. Utilizza il calcolatore CRI qui per determinare il punteggio di rischio della tua organizzazione.
Trend Vision One™ offre una soluzione di Cyber Risk and Exposure Management (CREM) che garantisce alle organizzazioni di scoprire, valutare e mitigare in modo proattivo i rischi per ridurre la loro cyber risk footprint. CREM adotta un approccio rivoluzionario combinando funzionalità chiave, come External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management e Security Posture Management, attraverso cloud, dati, identità, API, IA, conformità e applicazioni SaaS in un'unica soluzione potente e facile da usare. Non si tratta solo di gestire le minacce, ma di costruire una vera resilienza al rischio.
Scopri di più su come Cyber Risk Exposure Management può aiutarti a costruire una vera resilienza al rischio.