2 minute read
MISURARE IL RISCHIO CYBER CON DATI OGGETTIVI
Oggi è sempre più importante una corretta valutazione del rischio cyber e della postura di sicurezza dell’azienda. In questa intervista Renato Bloise, chief operating officer di Cybersel, ci spiega il valore di una misurazione dei rischi basandosi su dati oggettivi.
Quali sono le attività più rilevanti nella gestione del rischio cyber?
Oggi il punto centrale nel controllo del rischio è la gestione delle performance della sicurezza, o security performance management. Per ottimizzare la gestione occorre però partire da una chiara valutazione del rischio cyber su tutto il perimetro digitale esposto avvalendosi di valutazioni oggettive. Ad oggi, il perimetro digitale non ha confini, arriva al cloud o a perimetri nascosti, sconosciuti alla stessa azienda. È fondamentale aiutare le aziende nel processo di governance e in tutte le procedure inerenti alla gestione del rischio cyber, al fine di guidare gli investimenti e garantire un adeguato ritorno su tutti i controlli di sicurezza implementati. Servono, quindi, meccanismi di controllo continuo e costante della performance, da mantenere nel tempo, ossia un security performance management del perimetro digitale. L’ideale sarebbe avere un indicatore giornaliero.
Qual è oggi la cultura delle aziende italiane su questo tema?
La cultura del rischio è sempre più matura. Molti studi hanno posizionato il rischio cyber per un’azienda come quello più elevato in assoluto, anche più di quello geopolitico. Controllarlo e gestirlo è quindi un’attività fondamentale. Per la security governance servono soprattutto buoni indicatori: non è possibile farla basandosi su sensazioni. Bisogna quindi disporre di strumenti e di una visione completa su tutti i controlli di sicurezza, per poter garantire un adeguato ritorno degli investimenti.
Come si affronta l’analisi del rischio cyber della supply chain?
Se una volta la supply chain era un tema a cui si interessavano solo i più preparati, oggi non è più così. Esiste una chiara compliance che impone di controllare il rischio cyber dei fornitori, ma per gestire correttamente la sicurezza delle terze parti è necessario mixare informazioni soggettive (quelle provenienti dai questionari) e anche oggettive. Se da un lato non posso fare a meno di chiedere alcune cose alla supply chain, dall’altro lato non posso limitarmi ai soli questionari, devo integrarli con dati oggettivi.
Questi sono recuperabili, ad esempio, dai security score rating: noi da anni siamo il principale fornitore europeo di BitSight, una tecnologia che misura il rischio cyber tuo e delle tue terze parti analizzando dati pubblici provenienti da fonti Osint (Open Source INTelligence, ndr). Questa soluzione analizza quindi i fattori di rischio delle terze parti indipendentemente dal coinvolgimento della mia terza parte. Ciò ha un’elevata rilevanza: se faccio il questionario chiedendo alla terza parte se negli ultimi mesi ha rilevato delle botnet, e la risposta è no, posso avere dati oggettivi che confutano tale informazione. Ciò impatta sulla qualità dei dati soggettivi raccolti con il questionario. Un secondo aspetto da considerare è che, in tema di sicurezza della supply chain, emerge il coinvolgimento di figure business, come le funzioni di rischio o procurement: il processo di gestione va quindi esteso all’interno dell’azienda. Bisogna tenere conto di tutti questi elementi, individuare i corretti processi aziendali, affrontare questo progetto gradualmente, sapendo che prima o poi saranno coinvolte più funzioni aziendali. E pensarlo da subito come un processo integrato nell’azienda.
