Obbiettivi:
- Costruzione di un modello di gestione strategica dei cyber risk (rischi legati al furto di dati, alla perdita di informazioni sensibili e interruzioni nella rete IT) che comportino effetti negativi sulle attività e performance aziendali.
- Costruzione di un modello ad hoc di analisi e ottimizzazione del portafoglio di strumenti di prevenzione e mitigazione del cyber risk.
- Profilazione di strumenti efficaci ed efficienti di cyber risk insurance.
Attività:
Il progetto prevede lo svolgimento di un’indagine “on field” volta ad analizzare la percezione e le strategie di cyber risk management adottate dalle imprese. I risultati dell’indagine supporteranno lo sviluppo, nella fase successiva del progetto, di modelli di gestione del cyber risk efficienti ed efficaci.
In particolare, è stato assegnata una valutazione con una scala che va da SCARSO a OTTIMO ai seguenti aspetti:
RISK ASSESSMENT: ovvero le tecniche e le attività messe in atto dall’organizzazione per valutare il rischio, come ad esempio: processi di identificazione, misurazione e valutazione del rischio.
RISK GOVERNANCE: ovvero la gestione da parte dell’organizzazione delle risorse umane e organizzative per implementare il processo di gestione del rischio.
AWARENESS: ovvero la conoscenza del rispondente, intesa come percezione e consapevolezza, relativa al Rischio Cyber.
RISK PREVENTION AND MITIGATION: ovvero le misure di prevenzione adottate dall’organizzazione al fine di ridurre la probabilità di accadimento di un evento avverso e quelle di mitigazione del rischio (adottate dall’organizzazione per minimizzare l’impatto dell’evento avverso).
NIST:
Inoltre, attraverso un insieme esaustivo di linee guida e best practice per supportare le organizzazioni a prevenire, rilevare e rispondere agli incidenti informatici (NIST Cybersecurity Framework) redatto dal National Institute of Standards and Technology del Dipartimento del Commercio degli Stati Uniti) elaboriamo le informazioni ricevute su una scala che va da SCARSO a OTTIMO per le 5 funzioni chiave individuate dal suddetto framework.
RESPOND: ovvero la capacità dell’organizzazione di contenere un incidente informatico.
IDENTIFY: ovvero il livello di comprensione organizzativa dimostrata dall’organizzazione per la gestione del rischio informatico per sistemi, persone, risorse, dati e continuità operativa.
RECOVER: ovvero le misure adottate dall’organizzazione per ripristinare servizi, asset e/o dati compromessi in seguito ad un incidente informatico.
DETECT: ovvero le attività praticate dall’organizzazione per rilevare in modo tempestivo il verificarsi di eventi di sicurezza informatica, come ad esempio l’implementazione di funzionalità di monitoraggio continuo del sistema e della rete aziendale.
PROTECT: ovvero le misure adottate dall’organizzazione per garantire la salvaguardia del proprio sistema informatico, come ad esempio il controllo degli accessi (fisico e digitale), le attività di manutenzione, la responsabilizzazione e la formazione del personale, le tecnologie adottate per proteggere e garantire la sicurezza e la resilienza dei sistemi e degli asset, etc..
Minacce:
Infine analizziamo la probabilità di accadimento delle sei minacce informatiche piu` temute nell’ultimo anno.
In particolare, sulla base dei dati forniti, è stata stimata una probabilità di accadimento dei seguenti attacchi indicata attraverso una scala che va da PROBABILITA ́ SCARSA a PROBABILITA ́ MOLTO ELEVATA:
Phishing e Social Engineering: ovvero tentativi da parte di un attaccante di ottenere informazioni sensibili fingendosi un contatto affidabile, come ad esempio una banca, un servizio online o attraverso tecniche di ingegneria sociale.
Hacking: ovvero il tentativo di ottenere l’accesso ai sistemi informatici interni da parte di un attaccante esterno all’organizzazione.
Ransomware: ovvero virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli;
Insider threat: ovvero un attacco messo in atto dai dipendenti, consapevoli o inconsapevoli, con il fine di sottrarre dati sensibili o di causare malfunzionamenti al sistema.
Denial of Service: ovvero un attacco messo in atto da un attaccante con l’obiettivo di far esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.
Data Loss :ovvero la perdita di dati sensibili.