Nel momento in cui si parla di IT Risk Management fuori dalla cerchia degli addetti ai lavori, è facile incappare in qualche fraintendimento. Non è raro, infatti, che le espressioni IT Risk Management e Cyber Risk Management vengano utilizzate in modo equivalente, quando invece indicano due fattispecie di rischio diverse.
Cos’è l’IT Risk Management?
Per togliere qualsiasi dubbio, cominciamo a definire in modo corretto cos’è l’IT Risk Management. Aderire a questa specifica modalità di gestione del rischio significa sviluppare la capacità di monitorare e valutare con efficacia tutte le minacce che derivano dall’utilizzo diretto e indiretto delle tecnologie informatiche. Il che vuol dire, oggi, riuscire a maturare una visuale completa e approfondita su una componente che è diventata parte attiva di tutti i processi aziendali.
Il protagonismo dell’IT nelle prassi quotidiane di qualsiasi tipo di organizzazione – incluse quelle che rivestono un ruolo critico o strategico per l’interesse nazionale – ha ovviamente attirato l’attenzione del legislatore, che ha dato vita negli anni a un complesso e stratificato framework, finalizzato alla messa in sicurezza degli strumenti formatici e dei processi che da essi dipendono. Proprio per questo, in un corretto approccio all’IT Risk Management assume rilevanza cruciale la componente di compliance normativa: la quale risulta ormai imprescindibile per lo sviluppo di qualsiasi layer tecnologico, non solo sul fronte delle procedure interne, ma anche e soprattutto rispetto alla user experience fornita alla propria clientela. In tal senso, la gestione del rischio informatico consente in modo indiretto di risultare più efficace anche nella gestione ordinaria dei processi aziendali.
A livello operativo, l’IT Risk Management va dunque affrontato in termini estremamente concreti. Il che significa impostare una roadmap con precisi meccanismi di verifica che aiutino risk manager e owner di processo non solo a identificare i livelli di rischio e gli impatti potenziali dell’avverarsi delle minacce individuate sugli asset critici, ma anche a capire quanto, lungo il percorso evolutivo dell’azienda, il sistema dei controlli e gli strumenti stessi di risk monitoring siano maturi in relazione agli scenari da gestire.
La differenza tra IT Risk Management e Cyber Risk
Veniamo ora ai non pochi elementi che differenziano l’IT Risk Management dal Cyber Risk Management. Chi pensa che si tratti di contesti leggermente diversi, o di qualche piccola sfumatura si sbaglia di grosso: a cambiare è proprio la logica con cui si affrontano le due fattispecie di rischio. Sono campi di battaglia, strategie e modus operandi del tutto differenti. Senza allontanarci troppo dalla metafora del campo di battaglia, infatti, la distanza che corre tra le due discipline è la stessa che separa due scenari bellici che chiunque considererebbe contrapposti.
L’IT Risk Management, senza esagerare, può essere paragonato alle classiche guerre napoleoniche: schieramenti che si fronteggiano l’uno di fronte all’altro con giubbe rosse e azzurre, soldati che usano le stesse armi e generali che hanno le medesime potenzialità, e che adottano strategie codificate, apprese all’accademia. All’attacco di uno schieramento corrisponde la mossa dell’altro, in una partita a scacchi dove ciascuna contromisura fa parte di un approccio che più che metodico è schematico. Ed è lo stesso approccio con cui chi è responsabile della gestione del rischio IT provvede a preparare la difesa di un perimetro ben definito. L’ambizione – in qualche caso la presunzione – è quella di intercettare qualsiasi tipo di elemento esterno che si concretizzi in uno scenario di rischio, lasciando ampio spazio alle tecniche predittive.
Al contrario, il Cyber Risk vede gli avversari confrontarsi in una sorta di Vietnam. Parliamo quindi di guerriglia, una forma di conflitto armato in cui una delle due parti combattenti evita scontri diretti preferendo logorare il nemico con piccole unità, spesso irregolari, molto mobili, e in molti casi difficilmente distinguibili dalla popolazione locale. Le aziende, soprattutto quelle medio-grandi, ormai hanno una postura difensiva elevatissima: come un esercito regolare sono ben attrezzate, dispongono di un arsenale potente e di nuova generazione. Il problema è che di fronte a sé non vedono alcun nemico. L’opponente infatti è invisibile, usa armi non convenzionali, sfrutta tattiche che il generale non conosce, e si muove con agilità nell’ambiente circostante senza fare il minimo rumore.
Il Cyber Risk Management attiene a un contesto del tutto similare a quello appena descritto: quando si analizzano gli scenari di rischio si parte dal presupposto che non si conoscono gli attaccanti. Non solo: non c’è piena consapevolezza dei propri punti deboli, e anche mettendo in campo il più avanzato apparato di contromisure informatiche resteranno sempre scoperte delle vulnerabilità ignote e spesso fatali. Un’altra caratteristica fortemente differenziante rispetto all’IT Risk Management è il fatto che nell’ambito Cyber la superficie potenziale di attacco è pressoché infinita, anche perché la capacità di un attaccante di avere successo può derivare da una serie di fattori tutt’altro che immediatamente riconoscibili. Fattori che però possono essere scoperti e monitorati. Anzi, è proprio questa la missione principale del Cyber Risk Management.
Perché l’IT Risk Management rimane così importante?
Confrontati in questi termini, il Cyber Risk Management sembra quasi fagocitare il IT Risk Management. Ma non è così. La gestione dei rischi informatici non è affatto figlia di un dio minore, e continuerà ad avere la sua dignità anche nell’era delle onnipresenti minacce cyber. Il motivo di base è che sviluppando best practices nell’ambito IT, i risk manager hanno l’opportunità di effettuare una ricognizione precisa del livello di rischio informatico che grava sugli asset aziendali e sui loro perimetri, il che permette di ottenere in modo implicito una valutazione di adeguatezza degli strumenti a disposizione dell’organizzazione. È dunque un elemento fondamentale nella gestione ordinaria del rischio, senza contare che, come accennato, le normative continuano a porre l’accento sullo sviluppo di una cultura della data protection.
Quali sono dunque i passaggi da seguire per ottimizzare la gestione del rischio informatico? Adottando la prospettiva più ampia possibile, bisogna partire dal presupposto che occorre identificare prima di ogni altra cosa il perimetro di analisi, sviluppando una visione precisa, accurata e completa del proprio parco macchine. Gli asset aziendali, a prescindere dal fatto che siano materiali o logici, devono essere poter gestiti come se fossero schedati all’interno di quello che sarà a tutti gli effetti un inventario, da aggiornare con la raccolta strutturata e puntuale delle informazioni sulle proprietà di natura informatica che detiene l’organizzazione. Non bisogna agire sul singolo device, ma puntare ad ampliare la visibilità sulle diverse tipologie di asset, adottando criteri per esempio fondati sulle implicazioni che hanno sui processi, oppure evidenziando relazioni distintive, di tipo utilitaristico, tra gli strumenti e chi li utilizza.
Ma esistono anche altre modalità, legate a scopi che prescindono dall’IT Risk Management in senso stretto e che sfociano nella gestione dei processi aziendali e organizzativi. Razionalizzando le informazioni in questo modo, diventa possibile identificare gli owner dei processi, il che permette di affrontare con efficacia uno dei problemi tipici della gestione dei rischi informatici. A differenza di altre tipologie di rischio più “tangibili” (come quello operativo), nell’IT Risk Management si riscontra sovente la difficoltà di identificare in modo univoco un responsabile che abbia la profondità analitica e la cultura informatica necessarie per contribuire fattivamente alla valutazione del rischio.
Risk Assessment e Risk Mitigation nella sicurezza IT
Il Risk Assessment è naturalmente il passaggio preliminare alla Risk Mitigation vera e propria. A seconda dell’approccio metodologico scelto, le valutazioni possono avvenire sia con strumenti quantitativi, sia con sessioni qualitative.
Anche se si tende a credere che i metodi quantitativi siano più efficaci, perché si basano su riscontri oggettivi che dimostrano i fatti indipendentemente dalla prospettiva assunta, non di rado si verificano incidenti causati proprio da questo eccesso di sicurezza. Del resto, anche un’indagine qualitativa pura può risultare estremamente utile se la valutazione è fatta da soggetti qualificati con criteri oggettivi.
Lo scopo di un assessment informatico è d’altra parte sostanzialmente quello di identificare gap e situazioni di rischio che possono essere serenamente accettate se il rapporto costi/benefici è sfavorevole, o contrastate con strategie di mitigazione delle minacce.
A prescindere dalla scelta, riuscire a ottimizzare le situazioni di rischio delineate facilita il rafforzamento della resilienza complessiva dell’organizzazione. Essere resilienti è una solida base di partenza per individuare nuovi punti di debolezza, gestirli e orientarli. Tutto ciò, ovviamente, senza dimenticare che oggi il miglior piano di trattamento possibile sul fronte dell’IT Risk Management rimane quello che prevede l’aumento dell’awareness dei propri dipendenti, così da renderli più consapevoli dei rischi connessi all’operatività quotidiana. Si possono infatti implementare soluzioni avanzate ed elaborare strategie che risultano a prova di bomba, almeno sulla carta. Ma ancora troppo spesso, negli ambiti IT e Cyber, è il fattore umano quello che scatena gli incidenti più gravi.
Articolo originariamente pubblicato il 24 Mag 2023