ICT Risk Assessment: come analizzare i rischi tecnologiciArticolo a cura di Elisabetta Piras, Executive Director di Macfin Group

Come presidiare i processi aziendali dai rischi tecnologici

  • L’impatto dei rischi tecnologici per le organizzazioni
  • Gli elementi da considerare per identificare e analizzare i rischi ICT
  • Le azioni da intraprendere per mitigare i potenziali rischi

Rischi tecnologici e minacce informatiche

Impostare una corretta analisi dei rischi è una chiave di successo in qualsiasi organizzazione.

Come è noto, tra i rischi più importanti che le società si trovano ad affrontare troviamo quelli connessi all’utilizzo delle tecnologie dell’informazione e della comunicazione (c.d. rischi ICT).

La crescente dipendenza dai sistemi digitali, intensificata dalla crisi pandemica del COVID-19, sta progressivamente accrescendo le minacce informatiche. Negli ultimi anni, le industrie hanno subito una rapida digitalizzazione, i lavoratori si sono spostati verso il lavoro a distanza, ove possibile, e le piattaforme e i dispositivi che favoriscono tale cambiamento sono proliferate.

Allo stesso tempo, le minacce relative alla cybersecurity sono cresciute (e stanno tutt’ora crescendo) significativamente: ad esempio – nel 2020 – gli attacchi malware e ransomware sono incrementati rispettivamente del 358% e del 435%[1] e stanno superando la capacità delle società di prevenirle o di rispondervi in modo efficace.

Minori barriere all’ingresso per la criminalità informatica, strategie e metodi di attacco sempre più aggressivi, scarsità di professionisti-competenze nell’ambito della cybersecurity e carenza nell’assetto di governance delle organizzazioni, sono sicuramente solo alcuni dei fattori che stanno aggravando i rischi di carattere tecnologico.

Proteggere le informazioni

Pertanto, la corretta analisi dei rischi connessi all’utilizzo delle tecnologie dell’informazione e della comunicazione è fondamentale.

È importante ricordare che l’obiettivo ultimo dovrebbe essere quello di garantire la riservatezza, integrità e disponibilità delle informazioni e dei dati trattate dai sistemi informatici aziendali, tenendo conto della necessaria operatività a cui questi sono sottoposti per il raggiungimento degli obiettivi di business.

Le informazioni dovrebbero essere protette per tutto il loro ciclo di vita: quando sono inserite, modificate e/o elaborate e/o in trasferimento, archiviate ed infine cancellate.

Nel seguito proviamo a fornire un possibile approccio per l’impostazione di un ICT Risk Assessment, focalizzandoci su quali sono i principali passi da seguire e quali sono i principali elementi che è opportuno considerare.

Il processo di gestione dei rischi informatici: ICT Risk Assessment

Il processo continuativo di gestione dei rischi informatici (cd. ICT Risk management) ha l’obiettivo di individuare e valutare tali rischi e adottare idonee azioni di mitigazione del profilo di rischio informatico identificato, qualora questo dovesse essere al di sopra dei limiti di rischio ritenuto accettabile dall’organizzazione.

Le fasi principali di tale processo potrebbero essere ricondotte ai seguenti step:

Ripercorriamo quindi ciascun passaggio.

Inventariazione degli asset IT

Il primo passo è quello di censire tutti gli asset informativi presenti nell’organizzazione[2], classificandoli in cluster omogenei, distinguendo ad esempio tra:

  • risorse IT APPLICATIVE: accesso, supporto, operation
  • risorse IT INFRASTRUTTURALI: security, computing, TLC

e mappando le interconnessioni con i processi e le funzioni aziendali.

Gli asset IT potranno essere valutati ciclicamente in ottica risk based tenendo conto del grado di rilevanza per l’organizzazione, track record in termini – ad esempio – di incidenti o data-breach, di recenti sviluppi applicativi infrastrutturali, cambi di fornitore/outsourcer, migrazioni di dati, e altro.

Identificazione delle categorie di rischio / scenari

Secondariamente sarà necessario identificare le possibili categorie / scenari di rischio a cui l’organizzazione è esposta, tenendo conto delle best practice in tema di controllo e misure di sicurezza.

Le categorie di rischio potrebbero identificarsi in:

  • IT security risk: ovvero i rischi che impattano sulla sicurezza di sistemi e dati aziendali;
  • IT availability & continuity risk: i rischi che vertono sulla disponibilità di dati e sistemi, sulla capacità di garantire la resilienza e la continuità operativa dell’organizzazione e sulla qualità ed efficacia dei test di continuità operativa;
  • IT data quality & integrity risk: i rischi che impattano sull’integrità e qualità dei dati e, conseguentemente, sulla relativa reportistica aziendale (l’informazione non è accurata, tempestiva e completa);
  • IT change risk: i rischi connessi alle eventuali inefficienze nella gestione dei cambiamenti applicati agli asset IT aziendali (reti, sistemi, applicazioni di business) e che possono impattare sull’agilità nell’eseguire il cambiamento (es. il rischio che i cambiamenti nei sistemi informatici non vengano effettuati nei limiti di budget ritenuti accettabili e alla velocità di attuazione definita);
  • IT outsourcing risk: i rischi che possono derivare da inefficienze nella governance dei rapporti con i terzi fornitori o da inadeguatezza della resilienza e sicurezza informatica adottata da terze parti.

Per ogni categoria potrebbero presentarsi diversi scenari avversi, a titolo esemplificativo:

  • Inadeguato “Capacity Management”: ovvero la mancanza di risorse (ad es. hardware, software, personale) tale da non soddisfare più le esigenze di business e, più in generale, tale da evitare l’interruzione del sistema, il degrado del servizio ed errori operativi;
  • Fallimento sistemi ICT a causa di un guasto software: perdita di disponibilità dei sistemi informativi a causa di malfunzionamenti software e bug (ad esempio software che non sono più supportati dai loro fornitori);
  • Inadeguatezza dei piani di Business Continuity e di Disaster Recovery: inefficienza delle soluzioni pianificate per la disponibilità e la continuità dei sistemi ICT e/o inefficienza dei piani di disaster recovery (ad esempio a causa di differenze di configurazione tra il centro dati primario e quello secondario);
  • Errata elaborazione dati o inadeguata gestione dei dati: i dati potrebbero risultate danneggiati o persi a causa di errori di sistema, nell’applicazione, nella pratica di estrazione dati, nell’attività di trasferimento e caricamento (ETL) di dati;
  • Inadeguatezza dei controlli in ambito di change e sviluppi ICT: incidenti a seguito di un change nel sistema, causati da errori o vulnerabilità non rilevate (ad es. messa in produzione di software insufficientemente testati o modifiche di configurazione con effetti negativi imprevisti sui dati (ad es. corruzione, cancellazione) e/o sulle prestazioni del sistema ICT (ad es. guasto o degrado delle prestazioni);
  • Inadeguatezza dell’outsourcing governance: il rischio di avere un grave degrado dei servizi o una interruzione totale dei servizi acquisiti da una terza parte, dovuto ad esempio a carenze nei processi di controllo e/o assenza di adeguate competenze in grado di identificare e valutare i rischi.

Se questi scenari dovessero malauguratamente manifestarsi sarebbe necessario interrogarsi sull’impatto (in termini economici, competitivi, reputazionali, legali) che la società potrebbe subire.

Generalmente le figure dell’organizzazione maggiormente deputate a fornire tali tipo di giudizi sono i responsabili dei verticali di business, ovvero coloro che meglio di altri possono fornire un giudizio realistico e affidabile (in base – ad esempio – alle numeriche di budget e di conto economico).

Probabilità di accadimento delle minacce

Determinato l’impatto, la domanda che rimane è: quante probabilità ci sono che questo scenario avverso si manifesti?

È necessario chiedersi qual è la frequenza di accadimento delle potenziali minacce che possono innescare i suddetti scenari di rischio.

Ogni scenario, infatti, potrà essere generato da diverse e numerose minacce, quali ad esempio:

  • Abuso di privilegi: cancellazione o modifica di dati non autorizzata, piuttosto che modifiche non autorizzata ai sistemi operativi o al codice applicativo;
  • Errore umano: errata comunicazione dei dati/ flussi di alimentazione, errori di progettazione di una componente del sistema informatico, errori di profilazione utenti e assegnazione diritti di accesso, errori nella conduzione del processo di change (infrastrutturale, applicativo);
  • Guasti al software di base e SO: malfunzionamento non previsto delle varie componenti;
  • Furto o sottrazione di dati: furto di credenziali di accesso, intercettazione / interferenza delle comunicazioni, furto dei dati;
  • Malfunzionamenti al codice applicativo: malfunzionamento non previsto del codice, insufficienti linee guida per lo sviluppo del software, errata procedura di estrazione dati;
  • Mancata o carente definizione di accordi e clausole contrattuali con fornitori;
  • Mancato o carente adeguamento alla normativa esterna (privacy, copyright, normativa di settore) nonché della normativa interna.

Abbiamo quindi i due elementi che si trovano alla base del calcolo di un rischio lordo: l’impatto dello scenario di rischio e la probabilità di accadimento della minaccia.

L’efficacia dei presidi

Il passaggio successivo è capire il grado di efficacia dei presidi in essere nell’organizzazione: nella declinazione dei controlli, da considerare nel processo di valutazione, può essere utile orientarsi in base alle best practice, ad esempio, dello standard ISO 27001.

Rischio residuo e azioni correttive

Arriviamo quindi a determinare il livello di rischio residuo per i diversi asset aziendali e per i diversi scenari di rischio:

  • Rischi mitigati: laddove i controlli sono progettati correttamente e operano costantemente con efficacia ed efficienza;
  • Rischi parzialmente mitigati: laddove c’è una sola impostazione corretta ma un deficit operativo nella sistematica esecuzione del controllo;
  • Rischi non mitigati: laddove i presidi non sono ben progettati (errato design) o addirittura del tutto assenti, avremo sicuramente un rischio residuo non accettabile e quindi l’esigenza di intervenire quanto prima con azioni incisive.

È importante evidenziare che le metriche di valutazione del rischio ICT devono essere adeguate al livello di propensione al rischio dell’organizzazione, ovvero declinate in coerenza con il Risk Appetite e prevedere un processo di accettazione e approvazione in coerenza con gli obiettivi di rischio strategici.

Il valore del processo di valutazione dei rischi

È importante evidenziare che tali processi di valutazione del rischio hanno un carattere estremamente dinamico e nell’ottica di una conduzione efficace ed efficiente è opportuno tenere conto di alcuni aspetti che possono rivelarsi particolarmente insidiosi:

  • il giusto livello di granularità nell’inventariazione degli asset da sottoporre ad analisi;
  • il grado di coinvolgimento delle diverse funzioni all’interno dell’organizzazione (non solo appartenenti ai dipartimenti ICT);
  • la frequenza di aggiornamento delle minacce e dei relativi scenari di rischio;
  • l’evoluzione del business e, più in generale, i cambiamenti organizzativi e dell’operatività (processi e sistemi);
  • la revisione periodica dei controlli volti a mitigare i rischi.

È infine opportuno integrare tali strumenti di valutazione del rischio con, ad esempio, degli indicatori di rischio che possono da un lato, fornire utili indicazioni per la perimetrazione delle attività e, dall’altro, corroborare le risultanze rivenienti dalle analisi.

Note

[1] Global Risks Report 2022 del World Economic Forum.

[2] Per asset informatici si intendono le risorse, di servizio ed infrastrutturali, costituiti dai sistemi o dalle reti gestite dalla società e/o dagli altri fornitori e outsourcer utilizzati dalla società per conto di quest’ultima, idonei ad elaborare, conservare e trasmettere informazioni di proprietà o in licenza.

Elisabetta Piras

Elisabetta Piras

Executive Director

RICHIEDI UN INCONTRO

Desideri avere maggiori informazioni o richiedere un incontro con i nostri consulenti?