Una delle grandi sfide di chi si occupa di cybersecurity, soprattutto nelle piccole e medie organizzazioni, è far comprendere al board l’importanza di investire in tali ambiti. Ragionare in un’ottica cyber risk, con le metodologie che utilizzano le compagnie assicurative, può fornire qualche spunto interessante.
C’è un gap comunicativo difficilmente colmabile tra chi si occupa di gestire la sicurezza informatica di un’organizzazione e chi, questa organizzazione, la gestisce. I motivi sono diversi:
- La cybersecurity, comunque sia declinata, approda spesso su tecnicismi difficilmente comprensibili per i non addetti ai lavori.
- Le spese sostenute per la cybersecurity non hanno uno strumento per misurare il ritorno di investimento (ROI, Return Of Investment). Se si investe correttamente in sicurezza, il risultato finale sarà che non succederà niente.
- Non esiste una misura che consenta di determinare il livello di adeguatezza delle spese sostenute.
- Anche cercando di misurare economicamente il potenziale danno subito (spese per ripristino e recupero dati, costo giornaliero di interruzione della produzione, della vendita, della fornitura di servizi, costo delle potenziali sanzioni, impatto reputazionale, danni verso terzi, …) non è facile fornire dei valori concreti e realistici.
- È praticamente impossibile rispondere affermativamente alla domanda più comune posta dagli amministratori dell’organizzazione: “Siamo sicuri?” (a meno che i sistemi non siano completamente spenti, beninteso).
Ecco allora che si devono trovare delle metriche con cui agevolare il confronto fra chi chiede i soldi per investire in sicurezza e chi li deve mettere a bilancio.
In questo ambito, è utile ragionare sulle dinamiche evolutive delle polizze cyber risk degli ultimi anni.
Senza andare troppo indietro nel tempo, (basta risalire al 2018, l’anno di adozione del GDPR in Europa, ad esempio), per stipulare una polizza cyber risk per una piccola/media organizzazione bastavano poche centinaia di euro. Adesso gli importi dei premi sono molto più significativi e il calcolo degli stessi è piuttosto strutturato, per svariate ragioni:
- Gli attacchi informatici alle organizzazioni sono spaventosamente aumentati, in termini di complessità, persistenza e numerosità (i rapporti Clusit hanno misurato un aumento del 527% degli attacchi informatici nel periodo 2018-22). Si potrebbe quasi dire che il cyber crime stia diventando un business maturo.
- La tecnologia è sempre più inserita nei processi informativi aziendali, con sempre maggiori punti di accesso alle risorse (PC, tablet, cellulari aziendali e privati, …) e conseguentemente con più possibili punti di attacco.
- L’avvento repentino dello smart working nella situazione emergenziale causata dall’avvento del Covid-19 non ha dato un tempo adeguato alle organizzazioni per metabolizzare questa importante innovazione, in termini di sicurezza degli accessi.
- Il ricorso agli ambienti cloud è un paradigma nuovo, i cui rischi intrinseci non sono talvolta ancora del tutto compresi né da clienti né da fornitori.
- I dati a disposizione delle compagnie assicurative in tema di cyber attacchi sono stati sottostimati per anni, visto che la tendenza delle organizzazioni colpite era di non rendere pubblico l’attacco subito. Questo ha portato di conseguenza a sottodimensionare gli indici di rischio con cui si calcolavano i premi.
- Se in passato molte organizzazioni cercavano di celare l’attacco subito per evitare danni reputazionali, adesso è sempre più difficile, poiché sono gli stessi criminali a divulgare i loro successi per ottenere un vantaggio nella negoziazione del riscatto.
- Ora le organizzazioni esposte sono più consapevoli e, di conseguenza, ricorrono sempre più spesso alle richieste di rimborso.
Una rivoluzione copernicana nell’ambito cyber risk, a cui le compagnie assicurative hanno dovuto adattarsi in maniera molto repentina per sopravvivere.
Oltre all’inevitabile aumento dei premi assicurativi, le compagnie hanno dovuto affrontare il nuovo contesto con un approccio più strutturato, dal punto di vista tecnico e organizzativo. La prima cosa su cui hanno iniziato a ragionare, infatti, è stato identificare un perimetro su cui fosse possibile accettare il rischio di assicurare le organizzazioni: senza alcune misure di mitigazione, infatti, la probabilità di un attacco informatico sarebbe stata decisamente troppo elevata per poter sostenere il rischio correlato.
Ecco allora l’intervento radicale: predisporre una soglia di misure di sicurezza al di sotto della quale le organizzazioni non potessero essere dichiarate “assicurabili” dal punto di vista del cyber risk. Si riporta di seguito un elenco di misure richieste – in generale – da molte compagnie assicurative per accettare di assicurare le organizzazioni:
- Autenticazione a più fattori (MFA) per accesso remoto
- Filtraggio delle email e web security
- Backup protetti, crittografati e testati
- Gestione degli accessi con privilegi
- Rilevamento delle minacce e risposta (EDR)
- Gestione delle vulnerabilità e delle patch
- Vulnerability assessment e penetration test
- Piani di risposta agli incidenti (BCDR plan)
- Formazione sulla cybersecurity awareness e test di phishing
- Hardening dei protocolli di accesso remoto (VPN, ZTNA)
- Logging e monitoring
- Sostituzione o protezione dei sistemi end-of-life (EOL)
- Gestione del rischio informatico nella supply chain
Prima di assicurare un’organizzazione richiedente, le società assicurative impongono la sussistenza delle misure che ritengono necessarie per garantire un livello adeguato di sicurezza. In alcuni casi l’adozione di dette misure può essere dichiarata dall’organizzazione attraverso la compilazione di specifiche checklist, in altri casi è verificata “sul campo” attraverso un intervento di assessment.
In caso di attacco, prima di procedere al rimborso la compagnia procede alla verifica della sussistenza delle condizioni richieste: nel caso alcune delle misure non siano state adottate, le società non rimborsano.
Questo approccio può tornare utile a chi deve organizzare la cyber security nella propria organizzazione: non è possibile dimostrare a chi esercita la governance che gli importi spesi (o richiesti) per la cybersecurity siano necessari ed adeguati per garantire la sicurezza aziendale, però può risultare efficace evidenziare che chi quotidianamente definisce, gestisce e misura il cyber risk ha introdotto delle soglie di sicurezza al di sotto delle quali il rischio non è sostenibile. Un approccio basato sul risk management per dialogare con i decisori è molto più efficace di mille spiegazioni tecnologiche.
La conclusione è molto semplice e diretta: alla domanda “siamo sicuri?” si potrebbe, in casi critici, arrivare a rispondere “con queste misure neanche le compagnie assicurative ci darebbero fiducia…”.
Questa tematica sarà ulteriormente approfondita nel corso del seminario che si terrà a Milano il prossimo 28 settembre:
“Cybersecurity, una sfida da giocare su diversi livelli”
La partecipazione è gratuita, ma i posti sono limitati.
Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Instagram, Telegram