Differenza tra metodi quantitativi e qualitativi nella cyber risk

Differenza tra metodi quantitativi e qualitativi nella cyber risk

Il rischio informatico

In sicurezza informatica, il termine cybersecurity viene definito nell’ambito legislativo italiano nel decreto del presidente del Consiglio dei ministri del 24 gennaio 2013: “condizione per la quale lo spazio cibernetico risulti protetto grazie all’adozione di idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria od accidentale, consistenti nell’acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi”. Sempre nello stesso decreto viene definito spazio cibernetico “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonchè delle relazioni logiche, comunque stabilite, tra di essi”.

Ed è nell’ottica di mantenere un adeguato livello di sicurezza informatica che si inserisce la valutazione del cyber risk come misura atta a classificare i propri asset e modellare una strategia di protezione efficace. Il tema del rischio informatico rappresenta uno snodo critico nel processo di analisi e riduzione dei rischi a cui un’impresa è soggetta nello svolgimento della propria attività. Adottare strumenti per la gestione del cyber-rischio in maniera oculata assume oggi giorno un carattere preponderante per assicurare le sorti stesse dell’impresa, poichè è sull’infrastruttura informatica che transitano e risiedono sempre più informazioni sensibili.

Differenza tra metodi quantitativi e qualitativi nella cyber risk

Minacce e danni informatici

Gli attacchi informatici sono diventati la prima minaccia per impatto economico mondiale, questo fattore deriva dalla sempre più crescente quantità di dati aziendali e personali presenti nel cyberspazio e dal sempre maggior utilizzo di quest’ultimo per attività economiche, finanziare e commerciali. Le minacce sono anche conosciute come “fattore di rischio”, poichè sono la causa prima che scatena un evento nocivo. Queste possono colpire:

  • gli asset;
  • i processi;
  • i servizi.

Una minaccia è efficace solo quando può sfruttare una vulnerabilità del sistema, ed è nel caso in cui ciò avviene che gli si può attribuire un valore di impatto, che tiene conto del valore delle risorse coinvolte e di tutte le possibili conseguenze.

Le minacce si possono dividere in:

  • atti intenzionali: qualsiasi attività fraudolenta e illegale
  • atti non intenzionali: errori di natura involontaria compiuti da operatori o utenti
  • violazioni di clausole contrattuali: possono essere sia volontarie che non, e sia verso clienti che verso terzi
  • atti di forza maggiore: eventi disastrosi non controllabili
  • eventi tecnologici: malfunzionamenti di natura informatica software o hardware

Le minacce informatiche comportano una serie di danni, che si possono distinguere in tre macrocategorie:

  1. Danni materiali diretti: si tratta dei danni causati direttamente dall’evento ai beni materiali (PC, cavi, server, ecc.).
  2. Danni materiali indiretti: ogni tipologia di danni causato in maniera indiretta da un evento
  3. Danni immateriali diretti e indiretti: qualsiasi danno che causi la perdita totale o parziale di informazioni o di software. In questa categoria rientrano le perdite di informazioni causate da danni fisici ai server, la cancellazione dei dati in maniera volontaria o non, qualsiasi danno causato da virus, ecc.

Valutazione del cyber risk

Esistono due metodi per l’analisi del rischio applicabili alle risorse esposte di un organizzazione:

  1. Quantitativo: un valore numerico che interseca la probabilità del verificarsi di un evento e la rispettiva perdita in cui si incapperebbe.
  2. Qualitativo: una classificazione categorica con valori quali ‘alto’, ‘medio’ e ‘basso’, derivati dalla valutazione dei potenziali impatti della minaccia, interpolando elementi come le policy aziendali, i controlli, la classificazione delle vulnerabilità, e ogni aspetto interconnesso.

Metodi quantitativi

Il valore del rischio può essere presentato con l’uso di un qualsiasi tipo di scala o direttamente come predizione delle perdite finanziarie connesse a un tipo di rischio, in un determinato periodo. Raramente il team che conduce il processo di valutazione del rischio ha a disposizione tutti i dati necessari per la realizzazione accurata del risk assessment senza la presenza di errori. Inoltre l’ammontare preciso delle perdite non è sempre facile da stabilire per ogni risorsa dell’organizzazione.

Risulta quindi che la valutazione del rischio è rappresentata come il valore della potenziale perdita, basata su tre concetti fondamentali:

  1. il valore associato alla risorsa nel contesto dell’impresa;
  2. la frequenza associata ad una minaccia, definita come il numero delle occorrenze;
  3. la misurazione della probabilità di una perdita a seguito del verificarsi di una minaccia.

Metodi qualitativi

Il metodo qualitativo valuta l’entità dell’impatto potenziale di una minaccia come alta, media o bassa. I metodi qualitativi sono le misure più comuni dell’impatto dei rischi. L’approccio qualitativo non fa uso di valutazioni monetarie degli asset e non necessita di quantificare la frequenza con cui si verificano degli attacchi al sistema, ciò implica che non è necessario utilizzare delle misure oggettive e indipendenti per le valutazioni. La valutazione del rischio associato agli asset viene infatti effettuata in maniera soggettiva e sulla base di interviste a coloro che lavorano direttamente con la risorsa. Una volta raccolte le informazioni necessarie il team di assessment utilizza degli strumenti per trarre le proprie conclusioni sulla situazione del sistema. Uno degli strumenti più comuni è la matrice di rischio, che permette di individuare le situazioni di rischio relative ad un certo asset e a determinare se è necessario intervenire o meno a mitigare il rischio individuato.

Perchè investire in Cybersecurity e ROI

Come per qualsiasi organizzazione, anche i CERT (Computer Emergency Response Team) devono misurare il loro rapporto costo-efficacia, giustificare il loro utilizzo delle risorse finanziarie e fornire argomenti di supporto per la loro prossima richiesta di budget. Ma le organizzazioni spesso hanno difficoltà a misurare con precisione l’efficacia e il costo delle loro attività di sicurezza informatica. Il motivo è che la sicurezza non è un investimento che fornisce profitti ma una prevenzione delle perdite. La valutazione del rapporto costo-efficacia dei CERT dovrebbe tenere conto delle azioni benefiche che i CERT realizzano contribuendo a rilevare, gestire, recuperare e scoraggiare gli incidenti in modo tempestivo ed efficiente. Nell’equazione bisogna tenere conto del tempismo, poichè prima viene gestito un incidente, meno costosa è la sua attenuazione. La redditività di un CERT viene quindi valutata determinando la differenza dei costi di gestione dell’incidente da parte di un CERT rispetto al non avere alcun CERT.

In finanza, la valutazione di ogni investimento di bilancio è chiamata ROI (Return On Investment), ed è calcolato come segue:

ROI = (guadagno dell’investimento − costo dell’investimento) / costo dell’investimento

Il classico approccio finanziario per calcolare il ROI non è particolarmente appropriato per misurare le iniziative legate alla sicurezza: infatti la sicurezza si traduce in prevenzione delle perdite e non in profitto. Dato che investendo in sicurezza ti aspetti di ridurre i rischi che minacciano le risorse, la valutazione di questa manovra viene effettuta stimando le perdite evitate grazie all’investimento stesso. Pertanto, il valore monetario dell’investimento deve essere confrontato con il valore monetario della riduzione del rischio; quest’ultimo può essere stimato mediante una valutazione quantitativa del rischio. Per valutare il rischio si considerano alcune sue componenti: SLE, ARO e ALE.

Modello Gordon & Loeb

Lawrence Gordon e Martin Loeb sono economisti all’Università del Maryland che hanno pubblicato “The Economics of Information Security Investment” nel 2002. Nel loro studio, gli autori affermano che, contrariamente ai principi di base delle valutazioni del rischio, un bene di maggior valore non deve necessariamente beneficiare di un investimento maggiore per essere protetto. L’investimento ottimale per la sicurezza delle informazioni non aumenta sempre proporzionalmente all’aumento della vulnerabilità; c’è un punto in cui non è nell’interesse di un’azienda investire ulteriormente in misure per la sicurezza informatica.

Secondo questo studio, l’importo ottimale da spendere per la sicurezza non supera mai il 37% della perdita stimata nel caso di una violazione. Quindi, l’importo ottimale da spendere per la sicurezza sarebbe in genere molto inferiore rispetto alla relativa perdita in caso di danneggiamento.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *