Sono sempre di più le organizzazioni che si stanno muovendo con grandi investimenti verso varie strategie di rafforzamento delle proprie capacità difensive e dei propri assetti organizzativi volti a contrastare, rilevare e rispondere il più efficacemente possibile alle cyber minacce in costante evoluzione. I senior executive delle organizzazioni più evolute sotto questi aspetti, come rilevato da alcune recenti survey, sono molto consapevoli rispetto a soli pochi anni fa di quanto il cyber risk sia diventato prioritario. Tuttavia, da quanto emerge, sembra che la grande maggioranza di loro manifesti importanti preoccupazioni circa il modo in cui i rischi vengono riportati.
Le aree di maggiore attenzione
Su questo tema, ciò che è principalmente emerso in termini di insoddisfazioni si colloca nelle seguenti tre aree:
- Struttura: i board e i vari comitati sono sempre più sommersi dai report, incluse di dozzine di Key Risk Indicators (KRI) e Key Performance Indicators (KPI) ma queste tipologie di reportistiche sono spesso scarsamente strutturate e caratterizzate da un livello di dettaglio troppo alto associato a dati talvolta inconsistenti. Le ricerche hanno infatti dimostrato come queste reportistiche siano spesso frutto di foglio di calcolo compilati manualmente.
- Chiarezza: molte reportistiche sono deboli nel veicolare le corrette implicazioni di rischio per i vari processi di business e questo crea dei problemi ai board member perché spesso sono troppo zeppi di dati statistici e acronimi che non consentono di ottenere il vero stato di rischio a cui l’organizzazione può potenzialmente essere esposta.
- Consistenza: molto spesso gruppi differenti della stessa organizzazione utilizzano informazioni talvolta potenzialmente in conflitto tra di loro per descrivere gli stessi aspetti dei rischi cyber. Mettendo in difficoltà i vari decision maker sulle strade da intraprendere in relazione agli asset più rilevanti da dover proteggere. Infine, spesso accade che i dati riportati siano obsoleti rendendoli inutilizzabili ai fini della risk reduction.
L’approccio olistico al cyber risk management
Un approccio olistico al cyber risk management riesce nell’indirizzare correttamente le precedenti carenze e le implicazioni che esse hanno sui processi di business, sulle strutture organizzative e sulla governance.
Esso prende vita da una vista del “risk landscape” quanto più ampia (olistica) possibile da cui partire per migliorare sensibilmente il focus sugli scenari di rischio maggiormente probabili e minacciosi e, di conseguenza, il bilanciamento tra efficacia della cyber resilience e l’efficienza operativa (i.e. operational functions).
La strategia
L’approccio è da intendersi come un percorso di mitigazione delle root cause da svolgersi in quattro fasi:
Identificazione dei rischi e del risk appetite
La fase in cui si deve lavorare con i Senior Executive e i Chief Information Officer e Chief Risk Officer (i.e. CIO, CRO) per creare gli elenchi degli asset critici, dei rischi noti e potenziali nuovi. Congiuntamente, il top management stabilisce il risk appetite e le strutture di risk management effettuano un assessment sui controlli e sulle vulnerabilità. Il risk appetite varierà in accordo con il valore che l’organizzazione attribuirà agli asset a rischio, i quali serviranno come primaria misurazione della cyber resilence. La prioritizzazione dei rischi identificati è quindi di massima importanza ed è il motivo per cui il top management deve è essere coinvolto.
Analisi e valutazione
Una volta che i rischi e le minacce sono identificati, spetta agli esperti valutare la probabilità di accadimento e il potenziale impatto per ciascun rischio identificato, includendo, laddove applicabile, gli impatti reputazionali, legali, finanziari e operativi. Sulla base di queste valutazioni, la funzione di risk management può prioritizzare le aree di maggior rischio partendo dagli scenari che avranno il maggior impatto negativo.
Trattamento dei rischi
Dopo la prioritizzazione, la funzione di risk management deve lavorare assieme ai risk owner per decidere quali iniziative di mitigazione intraprendere, le quali devono essere valutate per la loro efficacia di risk reduction sia sulla probabilità di accadimento sia sulla magnitudine dell’impatto. Tenendo conto degli effetti delle azioni di mitigazione, gli esperti determinano se il livello di rischio residuo rientra nei parametri impostati dall’organizzazione attraverso il risk appetite. Nel caso il livello di rischio residuo non dovesse ancora essere rientrato, occorre decidere quali ulteriori iniziative di mitigazione dovranno essere implementate.
Monitoraggio
Tra gli strumenti più importanti di una disciplinata pratica di risk management trasversale a tutta l’organizzazione, vi è quella di fornire dei regolari aggiornamenti al senior management sui cyber risk e le relative strategie di mitigazione. Con il tempo gli indicatori ed i criteri utilizzati in questi aggiornamenti, diverranno il linguaggio comune con cui avverranno le conversazioni sui cyber risk. Questi aggiornamenti dovranno essere concisi, scritti in modo chiaro ed esenti da acronimi e gergalità tecnico-specialistiche. Normalmente per il board sarà sufficiente una singola pagina ben composta.
Focus sulla mitigazione dei rischi
Spesso i cyber risk manager, soprattutto delle grandi organizzazioni, sono sommersi dalle informazioni sui rischi che eccedono la loro capacità di rispondervi appropriatamente. Ma fortunatamente non tutti questi alert sono fondati e giustificati. Per esempio, molte organizzazioni sono poco minacciate da quelli che si chiamano Advanced Persistent Threats (APT): tale bassa probabilità diventa evidente in seguito ad una approfondita analisi di rischio che eviti di destinare risorse a tecnologie di difesa altamente sofisticate necessarie a proteggersi da quel tipo di minacce.
Invece, le organizzazioni dovrebbero essere in grado di concentrarsi nell’implementare contromisure per i comuni tipi di minaccia, come ad esempio un Distributed Denial of Service (DDoS) procurato da un malware. La strategia ottimale dovrebbe includere controlli che prevengano danni collaterali e investimenti in tecnologie che assicurino una efficace continuità operativa in caso di attacco. L’obiettivo di un cyber risk manager è un regime sostenibile, efficace e adattabile. Per ottenere questo si deve dare grande importanza alle prioritizzazioni.
Un accurato dimensionamento dipende dai seguenti input:
- una prospettiva di business sugli asset chiave e sui maggior rischi che posso interessarli;
- un assessment realistico aggiornato sulle minacce e sugli attori, formulato con dettaglio appropriato;
- una definizione di risk appetite consistente ed accurata, adeguatamente rivista e prioritizzata.
Con questo tipo di approccio, i senior ececutive posso ottenere una guida chiara sui cyber risk distribuita su tutti i livelli organizzativi.
Risolvere il data dilemma
Molte organizzazioni diffidano della qualità delle fonti dati (i.e. datasource) e spesso incaricano i propri team di risk management di svilupparne di nuove. Ma questa risposta al problema talvolta ne crea uno di nuovo. Infatti, frequentemente queste scelte comportano ingenti spese che possono portare a report inconsistenti e a un crescente serbatoio di dati obsoleti. Inoltre, quando nascono delle esigenze specifiche talvolta i dati necessari non sono rinvenibili e l’azione appropriata non può essere intrapresa, con il rischio per il risk manager, di doversi affrettare nel recupero manuale dei dati necessari, di eseguire dei doppi controlli e di condurre delle interviste per riscostruire la realtà della situazione che si sta affrontando.
La soluzione consta nel costruire una data architecture integrata e un data lake consolidato.
Per evitare informazioni conflittuali e inconsistenti, il data lake dovrebbe essere popolato con dati sui fornitori, personale, applicazioni, infrastrutture e database, provenienti direttamente dalla “golden sources” aziendali. Apportando, laddove necessario, eventuali correzioni in modo consistente coprendo tutti gli asset rilevanti.
Attraverso il rafforzamento della consistenza dei dati (i.e. data consinstency) le organizzazioni saranno in grado di favorire la consapevolezza sui cyber risk. Tutti coloro i quali stanno lavorando sulla raccolta, pulizia, elaborazione e analisi dei dati in questo momento stanno contribuendo alla trasformazione della cybersecurity.
Incrementare il livello di automazione dei dati
Per assicurare un continuo, consistente, accurato e tempestivo cyber risk reporting, il livello di automazione della raccolta dei dati e della loro elaborazione, dovrebbe essere costantemente incrementato.
Aree come quella della identificazione degli asset o del monitoraggio della compliance, possono essere affrontati sequenzialmente.
L’automazione può migliorare sensibilmente la data quality, il machine learning e gli analytic posso scovare celle vuote, pezzi di informazione mancanti, e pattern sospetti. Quest’ultima capability è particolarmente adatta ed efficace nel verificare la qualità delle fonti dati provenienti dall’esterno dell’organizzazione.
Il cyber risk reporting
Generalmente, quando i manager decidono di adottare un approccio olistico al cyber risk reporting, rimangono spesso alquanto sorpresi da quanta poca conoscenza hanno della loro organizzazione.
Molte organizzazioni non possiedono infatti inventari affidabili sui database, sulle applicazioni, sui device, sulle terze parti, sugli access right, e addirittura, in molte aziende gli asset critici vulnerabili sono gestiti localmente e sono invisibili ai cyber risk manager e agli headquarter da cui dipendono.
Ad esempio, come caso studio, si riporta la situazione rinvenuta in una financial-firm dove erano presenti cinquanta copie degli stessi dati, comprese informazioni altamente sensibili relative ai clienti; mentre alcune copie erano adeguatamente protette tramite appropriati controlli, altre fluttuavano all’interno dell’ecosistema aziendale frequentemente tramite messaggi email non crittografati, talvolta anche attraverso pendrive USB in uso tra i dipendenti.
Sebbene fossero stati definiti dei controlli rigorosi, le business unit avevano parallelamente concesso deroghe che non erano allineate al processo di gestione del rischio digitale così come complessivamente stabilito, con la conseguenza che questo doppio standard operativo si rivelò essere una seria fonte di rischio incontrollato per l’intera organizzazione.
Nel cyber risk reporting devono essere riportati gli stati di avanzamento in una forma tale da fornire informazioni puntuali sugli stati delle iniziative di risk reduction e sui cambiamenti del threat landscape.
Per rendere tali informazioni facilmente accessibili ai decision maker, è suggerito ricorrere all’utilizzo di dashboard.
Le analisi della dashboard
Le dashboard sono dei pannelli che consentono ai non specialisti di eseguire prontamente una sorta di scansione dei dati cruciali. Come strumento, per poter essere efficace deve sintetizzare l’intero ambito di risk management attraverso una serie di pannelli dinamici che preferibilmente racchiudano le seguenti analisi:
- l’evoluzione dei più rilevanti threat landscape e la loro implicazione per l’organizzazione;
- una vista di insieme sui più recenti eventi di rischio cyber, come si sono sviluppati gli incidenti, le principali contromisure intraprese;
- i cyber risk principali (i.e. top risks) definiti in cooperazione con le business unit e misurati attraverso degli indicatori definiti in modo chiaro e semplice;
- le valutazioni di rischio (i.e. risk assessment) svolte alla luce di un chiaramente definito risk appetite, con relative raccomandazioni sugli asset su cui è necessario fare attenzione e dare le priorità;
- un piano di dettaglio relativamente alle iniziative in essere aventi come obiettivo la risk reduction, in cui sono formalizzate le varie accountability, gli stati implementativi e l’impatto attualizzato sulla risk reduction.
Conclusioni
Per supportare un decision making efficace, le dashboard devono essere ottimizzate in modo tale da consentire agli utenti di effettuare delle esplosioni (i.e. drill-down) dei dati da una vista generica ad una specifica su singoli business e associate vulnerabilità degli asset in modo tale da evidenziare tutti i particolari delle potenziali minacce che li interessano.
Molteplici esperienze con le cyber risk dashboard hanno dimostrato che i decision maker necessitano di avere delle viste su tutti i pertinenti Key Risk Indicators (KRIs) tanto quanto per ciascun asset che per ciascuna business unit. La vista sui KRIs potrebbe anche essere adattata in base ai ruoli: un business unit manager potrebbe essere in grado di visualizzare soltanto i KRI riferiti alla sua unit di competenza, mentre il Chief Information Officer (CIO) o il Chief Risk Officer (CRO) potrebbero essere in grado di visualizzare un output aggregato trasversalmente a tutte le business units, funzioni e entità legali.
Le metriche della cyber risk dashboard dovranno essere in grado di misurare accuratamente i livelli di rischio attuale. Il loro obiettivo è quello di abilitare una rapida presa di decisione in grado di anticipare il materializzarsi di eventuali minacce e di consentire un incremento della resilienza complessiva.
Le dashboard dovrebbero essere create sulla base dei dati maggiormente rilevanti, aggiornati, qualitativamente controllati e aggregati in maniera significativa. Dovrebbe essere corredate di tutti gli elementi utili a contrastare i potenziali attacchi e cyber frodi.
Una cyber risk dashboard efficace dovrebbe quindi saper fornire un insieme completo di informazioni in grado di supportare i risk manager nel ribilanciamento dei gradi di rischio (i.e. risk scale) e nel focalizzare le risorse sulla protezione delle minacce a maggior impatto per gli asset critici dell’organizzazione.