A cura di Elena Vaciago, Associate Research Manager, The Innovation Group

All’interno delle organizzazioni è in atto un forte cambiamento, che porta a ripensare la gestione del rischio cyber, ad adottare framework integrati di Cyber Risk Management, a far evolvere il monitoraggio della security adottando strumenti opportuni, a diffondere una cultura sul tema e una maggiore security awareness. Le organizzazioni sono oggi maggiormente consapevoli della necessità di rivedere la gestione interna del rischio IT e cyber, di ripensare il disegno complessivo, misure e processi, nell’ottica di:

1. Abbandonare l’approccio compliance-based finora seguito e adottare un approccio intelligence-led (di continuo monitoraggio all’interno e all’esterno, verso la supply chain, subfornitori, ecc) e risk based in modo da prioritizzare gli investimenti.
2. Capire quali sono le minacce più gravi per il proprio business e quali sono gli asset chiave da proteggere.
3. Impostare piani di Incident Response efficaci e testarli, adottare pratiche di info-sharing con terze parti, collaborare con i peers, le forze dell’ordine e le autorità di controllo.
4. Valutare nella gestione del rischio tutte le possibilità: ossia di evitare, accettare, mitigare ed eventualmente trasferire tale rischio tramite le coperture assicurative disponibili sul mercato.

In futuro un numero sempre maggiore di aziende potrà sottoscrivere polizze anti-hacker specifiche contro gli attacchi informatici, la perdita di dati  e di Intellectual Property. Le compagnie assicurative si stanno adeguando, creando coperture specifiche per il rischio cyber,  ma il tema è complicato, non è facile valutare con certezza rischi e costi per i cyber attack. Secondo quanto riporta uno studio Allianz di settembre 2015 (Guide to Cyber Risk: Managing The Impact of Increasing Interconnectivity), al momento meno del 10% delle imprese internazionali ha sottoscritto una cyber insurance. Si stima però che i premi di queste polizze registreranno un tasso di crescita annuale di oltre il 20%, aumentando a livello globale dagli attuali 2 miliardi a più di 20 miliardi di dollari l’anno nei prossimi 10 anni. Negli USA la crescita che si ha avuto negli ultimi anni è stata conseguenza di una legislazione più attenta sul fronte delle notifiche dei data breach verso gli utenti impattati. Al momento responsabilità legale e data protection sono gli ambiti per cui più spesso si fa ricorso a cyber insurance, mentre in futuro il focus si sposterà sulla business interruption.

Velocità ed efficacia del team della security sono sempre di più un elemento chiave di competitività delle aziende, che devono rispondere di possibili scenari devastanti sul fronte delle minacce cyber. Per raggiungere questi obiettivi è fondamentale per le aziende dotarsi di strumenti che diano completa visibilità su anomalie che riguardano l’utilizzo delle infrastrutture (database activity monitoring, endpoint visibility e control, network analysis e visibility) e piani di Incident Response testati ed efficaci. Questo cambio di paradigma è oggi possibile soltanto con un forte commitment da parte del Board dell’azienda, che deve essere coinvolto in tutti gli aspetti strategici di impostazione di un Programma di Cyber Risk Management e di Incident Management & Response.

E’ fondamentale quindi che le aziende vedano oggi la security come un Business Risk e che la gestione del rischio IT e Cyber sia integrata con quella di tutti i rischi aziendali (ERM, Enterprise Risk Management) in modo da presentare la problematica all’intera organizzazione e in particolar modo al Top Management che dovrà effettuare scelte e prendere decisioni di investimento sulla base di una comprensione chiara della situazione e di un’assunzione di rischio consapevole.

Un tema rilevante è quello degli Insider Threats, ossia delle minacce originate dall’interno (contando non solo i dipendenti ma anche le terze parti). Si parla spesso di cyber risk con l’errata concezione che sia tutto solo dovuto ad attaccanti esterni, mentre ci sono evidenze importanti che i principali attacchi hanno tutti degli “insider” che facilitano l’operazione. Secondo la ricerca “Data Breaches in Europe: Reported Breaches of Compromised Personal Records in Europe, 2005-2014” del Center of Media, Data e Society  – che ha come oggetto di indagine i data breach noti in 28 paesi EU – nel periodo dal 2005 al 2014 ci sono stati 229 incidenti con perdita di informazioni che riguardavano singole persone. Complessivamente sono stati trafugati 645 milioni di record di dati. Nel 51% degli incidenti analizzati le perdite di dati hanno riguardato aziende, e, dato importante, nella maggior parte dei casi aziendali (il 57%) gli incidenti sono attribuibili a “organizational errors, insider abuse, other internal mismanagement”. Solo nei restanti casi si hanno  hacker esterni identificati. Quindi si può affermare ragionevolmente che per oltre la metà delle volte i data breaches sarebbero da ricondurre a cause interne alle aziende.

Infine, attenzione al “fattore umano”, alla security awareness e all’utilizzo di nuovi metodi di autentificazione più efficaci rispetto a quelli tradizionali. Nell’era dei Social, del computing in mobilità con nuovi device come smartphone e tablet, è sempre più importante che le persone adottino comportamenti consapevoli, siano i primi responsabili dell’uso sicuro di dati, software aziendale, soluzioni di archiviazione in cloud. Per quanto riguarda i metodi di autenticazione, la password è da tempo superata, e ciò nonostante il furto di account composti da nome utente e password continua a spopolare su Internet. E’ necessario un ripensamento dei metodi di identificazione e un’alternativa concreta è quella auspicata con la diffusione del sistema pubblico SPID, introdotto con il DPCM 24 ottobre 2014 .