Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

È possibile assegnare un valore economico alla voce “rischio cyber”?

pittogramma Zerouno

Attualità

È possibile assegnare un valore economico alla voce “rischio cyber”?

23 Feb 2017

di Pamela Pace

Le violazioni Cyber sono una delle minacce più probabili e in assoluto più costose per le aziende. Eppure solo poche organizzazioni sono veramente in grado di quantificare quanto sia grande la loro esposizione a questo rischio, compromettendo così la possibilità di proteggersi in modo efficace.

La maggior parte dei manager, per definire quale sia l’esposizione al rischio della propria azienda si affida a un’analisi di tipo qualitativo, definita anche come “mappa di calore”, che descrive la gravità delle vulnerabilità in base a colori quali arancione per indicare il “medio” o rosso per indiare “alto” o sulla base di stime attraverso cui si indicano le possibili perdite definendole tra piccole, medie e grandi. Questo approccio però non aiuta di certo a capire se questi rischi rappresentino un problema da 10.000 o 1.000.000 di euro, e conseguentemente se sia meglio investire in infrastruttura, in formazione o magari nella definizione di nuovi processi ecc.

Come risultato, le aziende continuano a non comprendere pienamente quali siano le loro reali capacità di difesa in ambito di cyber security e, conseguentemente, a quali attività dare la priorità o se magari sia più opportuno mettere in campo una strategia di cessione del rischio a terzi sotto forma di servizi in outsourcing o di quella di assicurarsi rispetto allo stesso.

Certo è che nessuna azienda o istituzione ha oggi tutte le risorse necessarie per eliminare completamente questo rischio. Ciò significa che aiutare le imprese a fare le scelte strategiche più corrette su come affrontare e gestire al meglio questi temi è ancora più importante.

Si può stimare il costo reale di un potenziale attacco?

Come detto però uno dei primi aspetti da affrontare è che, in questo momento, queste decisioni vengono prese sulla base di una comprensione incompleta, o a volte del tutto errata, del reale costo che queste vulnerabilità possono avere per l’azienda.

Le organizzazioni spesso non tengono conto di tutte le possibili ripercussioni e non hanno coscienza di quale, e quanto, sia il reale abbattimento di un rischio a fronte degli investimenti sostenuti per mitigarlo.

È veramente raro sapere se attraverso gli investimenti sostenuti si stia bloccando una minaccia o semplicemente diminuendo la probabilità che essa si realizzi – e se sì, di quanto?

È essenziale che le aziende comprendano che la capacità di quantificare economicamente il rischio a cui sono esposte permetterà loro di definire la più corretta strategia di mitigazione.

La domanda è: è davvero possibile mettere il simbolo dell’euro davanti al singolo rischio, in uno scenario in così rapida e costante evoluzione e con dei dati che è difficile reperire e spesso ancora più difficile interpretare?

La stima del costo reale di una potenziale violazione informatica probabilmente non sarà mai una scienza esatta.

La buona notizia è che la nostra comprensione del perché le previsioni relative ai rischi informatici continuino a non essere troppo attendibili è decisamente migliorata.

Non solo perdite dirette, ma saper valutare quelle associate

La causa principale è rappresentata dal fatto che molto spesso le aziende quantificano il rischio cyber allo stesso modo in cui quantificano altri rischi quali quelli operativi, di mercato ecc., concentrandosi cioè unicamente sulle potenziali perdite dirette.

Ma le previsioni potrebbero essere molto più precise se si valutassero i rischi informatici su una più ampia serie di perdite associate.

Le organizzazioni sono falsamente convinte che gli attacchi cyber siano finalizzati a creare potenziali danni quali mancati guadagni, danni derivanti da responsabilità e/o danni di immagine. Risulta invece poco chiaro che le motivazioni che guidano questi attacchi sono spesso indipendenti da un fine così specifico, ma che talvolta vengono compiuti senza una vera e propria finalità.

Questa è una delle grandi differenze che rende il rischio cyber molto diverso da qualsiasi altro rischio. L’esperienza ci dice che gli attacchi cyber possono danneggiare un’azienda anche se non vi è alcun guadagno per l’autore dell’atto.

Le perdite derivanti da mancate entrate dirette, per le organizzazioni vittime di un attacco cyber, possono addirittura risultare trascurabili rispetto al danno reputazionale che ne può derivare e che a sua volta potrebbe compromettere seriamente i futuri introiti.

Ecco perché risulta ancora più importante per i manager quantificare economicamente il rischio cyber anche se in maniera approssimativa.

Attraverso questo tipo di analisi si può evitare che le aziende perdano decine di milioni di euro ogni anno.

Il primo passo per quantificare economicamente i rischi cyber è quello di individuare quali siano gli asset più importanti in azienda e quali le più grandi vulnerabilità ad essi associate.

I rischi legati a un attacco cyber rientrano generalmente in due grandi categorie:

  1. il blocco della produzione e/o dei servizi;
  2. la compromissione e la perdita di informazioni di dati sensibili, segreti industriali ecc.

Ma evidentemente le ipotesi possono essere molto diverse in funzione della tipologia di aziende a cui si fa riferimento: un grande rischio cyber per un ospedale potrebbe essere il blocco improvviso delle apparecchiature sanitarie o la perdita di dati clinici, mentre per una società di servizi potrebbe essere l’impossibilità di fatturare ai clienti, o nel caso di una banca inibire l’operatività dei conti correnti ecc.

La sfida quindi è quella di costruire un ben progettato cyber risk framework, che sia in grado di analizzare e stimare i costi derivanti da un eventuale attacco cyber legati a perdite dirette e indirette, al danno di immagine o a quelli necessari per il ripristino della normale operatività, piuttosto che derivanti da responsabilità verso terzi e i costi accessori quali legali, consulenziali, sanzioni ecc.

Infine l’azienda deve quantificare quanto dei propri ricavi futuri andranno perduti nel caso in cui l’attacco cyber abbia danneggiato la reputazione ed il Brand.

Analizzare perdite dirette e indirette per capire dove investire

Grazie a queste informazioni, sarà molto più facile per i manager giudicare se le loro aziende hanno un giusto livello di protezione da questi rischi, ed eventualmente stimare l’extra budget necessario per sostenere gli ulteriori investimenti che dovessero essere necessari.

Le risposte a domande quali quelle relative a quanto l’azienda dovrebbe investire per elevare il proprio livello di cyber security diventerebbero così molto più semplici, o le valutazioni relative a quali siano gli investimenti veramente utili da sostenere in funzione del risultato atteso, risulterebbero sempre più attendibili.

Attraverso queste analisi ci si potrebbe spingere fino a valutare se lo sviluppo di una nuova linea di prodotto o di servizio sia sostenibile in funzione dei rischi cyber a cui si potrebbe essere esposti.

Quantificare i rischi cyber è un progetto sfidante, ma fattibile, ed è importante comprendere che nessuno può ormai permettersi di non farlo.

Nella maggior parte delle imprese c’è già il necessario know-how tecnico ed una conoscenza dei rischi a cui potenzialmente si è esposti, utile per aiutare i manager a valutare correttamente quali siano le azioni necessarie da intraprendere per poterli mitigare.

Ciò che serve ora è la sensibilità dei top management per comprendere quanto la gestione di questo tema sia fondamentale per proteggere il patrimonio delle proprie aziende, e la determinazione di affrontarlo nella maniera più opportuna, definendo un piano di gestione del rischio cyber che contempli al contempo azioni strategiche, organizzative, formative ed operative.

Pamela Pace
AU di Obiectivo Technology

Articolo 1 di 5