Soluzioni GRC: analisi dei rischi cyber tra limiti e opportunità

Premessa: Le sfide legate alla cyber security

In un mondo sempre più digitale, la sicurezza informatica è fondamentale per la nostra vita, per le aziende e per le istituzioni. Gli attacchi informatici, sempre più sofisticati, rappresentano una minaccia crescente. Con la diffusione di dispositivi IoT e OT/SCADA, la superficie di attacco è aumentata, rendendo più facile per gli hacker colpire i sistemi informatici. In questo scenario, la sicurezza informatica è una priorità assoluta per tutti, sia per le persone comuni che per le organizzazioni.

Le aziende devono aumentare la consapevolezza della propria sicurezza informatica. A livello sovrannazionale, l’Unione Europea ha riconosciuto l’importanza della sicurezza informatica, emanando normative che regolano l’intero ciclo di vita della sicurezza informatica.

In Italia, il Piano Nazionale per la Sicurezza Cibernetica si concentra sulla sicurezza delle infrastrutture, in particolare delle telecomunicazioni. Il piano promuove la collaborazione tra il settore pubblico e il privato per affrontare le minacce cibernetiche.

La Direttiva NIS è un importante atto normativo dell’Unione Europea che si rivolge agli Operatori dei servizi essenziali (OES) e ai fornitori di servizi digitali (FSD). Lo scopo della Direttiva è rafforzare la sicurezza informatica in tutti i settori che si basano sulla tecnologia dell’informazione e della comunicazione (TIC).

Nel Novembre 2022 Il Parlamento UE ha approvato il Regolamento DORA (Digital Operational Resilience) che mira a proteggere la resilienza operativa digitale del settore finanziario. Il regolamento richiede alle entità finanziarie e ai loro fornitori critici di servizi tecnologici di identificare e gestire ex ante i rischi informatici.

Altrettanto importante è Il Regolamento (UE) 2016/679, meglio noto come GDPR, è un pilastro fondamentale per la protezione dei dati personali. Il GDPR pone l’accento sulla responsabilità e sulla trasparenza nell’uso dei dati personali, e richiede alle organizzazioni di adottare misure per ridurre al minimo i rischi per la privacy.

Le normative sulla sicurezza informatica condividono un approccio comune: identificare e valutare i rischi, e definire le migliori pratiche per prevenirli e mitigarne le conseguenze. In questo contesto, sempre più aziende stanno adottando soluzioni GRC per integrare governance, gestione dei rischi e compliance. In passato, l’approccio era più frammentato e focalizzato sulla risoluzione immediata delle minacce. Oggi, invece, le aziende preferiscono un approccio olistico, supportato da strumenti GRC, che consente al management di prendere decisioni più informate sui rischi.

Cosa sono le soluzioni GRC

La Governance, Risk and Compliance (GRC) è modello integrato che può aiutare le aziende a:

  • Definire gli obiettivi di sicurezza e identificare le azioni necessarie per perseguirli (Governance)
  • Identificare, valutare e gestire i rischi informatici a cui sono esposte (Risk)
  • Garantire che le loro attività siano conformi alle normative (Compliance)

Il mercato offre diverse soluzioni software che si prefiggono l’obiettivo di supportare le Aziende nell’implementazione di modelli “integrati” che perseguano gli obiettivi della Governance Risk e Compliance. Per aiutare le aziende nella scelta di queste soluzioni, Gartner identifica cinque proprietà che un software deve possedere per implementare un modello GRC. Come vedremo di seguito, tutte queste proprietà ruotano intorno al concetto di gestione dei rischi informatici. In pratica una soluzione GRC dovrebbe permettere:

  1. La Governance dei Rischi, cioè il processo attraverso il quale definire chi ha la responsabilità, su quali aspetti e come dovrebbe prendere decisioni riguardo la gestione dei rischi aziendali, al fine di assicurare il raggiungimento degli obiettivi attesi. Per perseguire tale fine sarebbe utile che una soluzione software GRC disponga di:
    • Un registro dei rischi, ovvero un documento che contenga tutti i rischi identificati dall’organizzazione, con informazioni quali, il livello di rischio, i soggetti responsabili del rischio e le azioni intraprese per ridurlo. Tale registro dovrebbe identificare ed assegnare chiaramente quali sono le parti interessate alle attività di gestione dei rischi. Le parti interessate possono includere i Risk Owner, gli stakeholder, i responsabili della conformità, i responsabili della sicurezza e i responsabili della comunicazione;
    • Un elenco degli obblighi, ovvero una lista di tutti i requisiti legali, normativi e organizzativi che l’organizzazione deve rispettare. Questa lista andrà aggiornata regolarmente.
    • Una metodologia di valutazione dei rischi efficace, finalizzata a determinare il livello di “pericolosità” di ogni rischio identificato, basata su una valutazione qualitativa e/o quantitativa dei rischi. La metodologia dovrebbe essere in grado di definire la tolleranza al rischio e il livello di rischio tollerati poiché sono parametri che indicano la quantità di rischio che un’organizzazione è disposta a correre.
  2. L’Analisi dei Rischi, cioè il processo attraverso il quale identificare e valutare i possibili rischi che un’azienda potrebbe affrontare. Per perseguire tale fine, sarebbe utile che una soluzione software GRC permetta di:
    • Eseguire la mappatura dei rischi, che consiste nel collegare i rischi alle minacce ed alle misure di sicurezza da implementare per contenere tali rischi, permettendo così di avere una visione completa del livello di sicurezza dell’azienda, facilitando l’individuazione e la riduzione dei rischi.
    • Unificare le misure di sicurezza in un unico framework, in modo da combinare le misure da diversi framework di sicurezza in un unico repository centrale. Questa operazione faciliterà le aziende nell’identificazione delle misure duplicate e nel garantire che tutte le misure siano implementate in modo coerente.
    • Gestire i processi di creazione, revisione e distribuzione della documentazione, in modo che sia sempre aggiornata e che tutti i responsabili siano sempre informati.
    • Comprendere l’interdipendenza dei rischi, in modo da identificare e visualizzare le interrelazioni tra i diversi rischi e comprendere appieno l’impatto di ogni singolo rischio sull’azienda.
    • Consentire l’analisi delle ipotesi per identificare meglio quali siano i punti deboli nella valutazione, migliorando così l’accuratezza delle valutazioni e della selezione delle misure di sicurezza da implementare.
  3. Il Monitoraggio dei Rischi in modo da consentire al management di mantenere una costante consapevolezza sui rischi di sicurezza che interessano l’azienda, sul programma di gestione del rischio e sulle attività connesse. Per perseguire tale fine, sarebbe utile che una soluzione software GRC consentisse di:
    • Associare le misure di sicurezza ai rischi, ai requisiti legali e normativi, ai processi aziendali e agli asset tecnologici, in modo da garantire che tali misure siano coerenti con la strategia di gestione del rischio intrapresa dall’Azienda.
    • Verificare lo stato di attuazione delle misure di sicurezza. Ciò aiuterebbe le aziende a garantire che le misure siano efficaci e che siano implementate in modo corretto.
    • Gestire il flusso di lavoro delle verifiche sulle misure di sicurezza, inclusi la creazione, la revisione e il processo di approvazione. Ciò consentirebbe la conduzione omogenea e coerente delle verifiche di sicurezza e la disponibilità dei risultati ai rispettivi responsabili.
    • Definire degli indicatori chiave di rischio (KRI), ovvero una misura da utilizzare per valutare regolarmente i diversi rischi di sicurezza che incombono sull’organizzazione aziendale.
    • Valutare l’adeguatezza del framework delle misure di sicurezza rispetto ai cambiamenti normativi.
    • Analizzare le cause dei rischi per prevenire i problemi di sicurezza in modo proattivo e garantire che le misure di sicurezza siano proporzionate al livello di rischio da contrastare.
  4. La Risposta ai Rischi, per implementare un piano, una strategia o un trattamento del rischio necessario ad affrontare un problema o una misura di sicurezza non implementata correttamente o non efficace. Per raggiungere tale fine sarebbe utile che una soluzione software GRC renda disponibile:
    • Una Dashboard che riassuma i principali problemi di sicurezza esistenti, consentendo di identificare rapidamente i problemi più critici e di prendere iniziative per risolverli.
    • La gestione di un flusso di lavoro per la presa in carico e la correzione dei problemi consentendo di tenerne traccia, risparmiare tempo e concentrarsi sulle attività più importanti.
    • Una funzione di gestione dei casi in modo da consentire di creare, assegnare e monitorare i casi di sicurezza, aiutando a tenere traccia dell’avanzamento delle attività nei tempi stabiliti per la risoluzione dell’intervento.
    • La gestione delle eccezioni, per identificare, documentare, valutare e risolvere le eccezioni alle misure di sicurezza. Questa funzione aiuterebbe a garantire che le misure di sicurezza siano implementate in modo appropriato e che siano efficaci. Se un’eccezione non venisse gestita correttamente, potrebbe rappresentare un rischio per la sicurezza dell’organizzazione.
    • La gestione della risposta ai rischi, per definire, implementare e monitorare i piani di risposta ai rischi preparando così l’azienda a rispondere alle crisi in modo efficace.
  5. La Documentazione dei Rischi, per raccogliere tutte le informazioni utilizzate per identificare i rischi che potrebbero influenzare i processi aziendali. Tali informazioni dovrebbero essere poi riportate attraverso report formali per tenere traccia della loro evoluzione nel tempo. Tale fine potrebbe essere raggiunto con una soluzione software GRC che renda disponibile:
    • Una Dashboard per il monitoraggio dei rischi che mostri quali siano i rischi più importanti per l’Azienda, quali siano i loro impatti sui processi aziendali e se siano presenti anomalie che debbano essere affrontate nell’immediato.
    • Il reporting agli stakeholder che consenta di condividere informazioni sui rischi con stakeholder esterni, come auditor, regolatori e clienti.
    • Il supporto alle attività di audit (ad esempio, report e workflow configurati per l’audit), che permetta agli auditor di accedere facilmente alle informazioni sui rischi, di generare report sugli audit effettuati e tracciare le attività eseguite.

Le soluzioni GRC, così “integrate” (definite o organizzate), offrono numerosi benefici. In particolare, consentono di identificare, mitigare e gestire proattivamente e con tempestività i potenziali problemi di sicurezza, contribuendo all’utilizzo o all’impiego più efficiente delle risorse e a una riduzione dei costi operativi.

Decidere di adottare soluzioni GRC è il primo importante passo per poter creare una solida base per la costruzione di un sistema di gestione della sicurezza delle informazioni più resiliente, efficiente e in grado di adattarsi meglio alle mutevoli condizioni del mercato.

Metodologie tradizionali e approcci innovativi

Nel corso del tempo si sono sviluppate diverse metodologie di analisi dei rischi, offrendo approcci diversificati per valutare, classificare e affrontare le potenziali minacce digitali. Esplorare tali metodologie può aiutare a delineare strategie difensive più robuste e a identificare gli aspetti in cui è possibile apportare miglioramenti.

Molte delle pratiche di cybersecurity attuali sono state definite a partire dalle metodologie di analisi dei rischi tradizionali. Tra queste, è impossibile non citare:

  • CRAMM (CCTA Risk Analysis and Management Method) creata nel 1987 dall’agenzia britannica CCTA (U.K. Government Central Computer and Telecommunications Agency);
  • OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation), una metodologia sviluppata nel 1999 dal CERT (Computer Emergency Response Team);
  • e MEHARI (Method for Harmonized Analysis of Risk) sviluppato nel 1996 dal Club de la Sécurité de l’Information Français (CLUSIF).

Nonostante queste metodologie abbiano una storia consolidata alle spalle e abbiano dimostrato di avere efficacia, offrendo approcci sistematici e strutturati, presentano alcuni punti che possono esser oggetto di riflessione:

  1. La staticità nell’identificazione delle vulnerabilità rappresenta una limitazione significativa nel calcolo per la valutazione di un rischio legato alla possibilità che si concretizzi una minaccia. Le vulnerabilità possono mutare, e un approccio statico rischia di non cogliere nuovi rischi che emergono con l’evoluzione delle tecnologie e delle minacce. Molte metodologie attuali identificano le vulnerabilità solo in un momento specifico, trascurando il loro sviluppo nel corso del tempo. Viene spesso sottovalutato il concetto di “rischio dinamico”, che considera l’evoluzione delle vulnerabilità dal momento della scoperta fino alla loro risoluzione.
  2. La mancanza di flessibilità nella rappresentazione delle componenti essenziali di un’azienda (processi, persone, tecnologie, strumenti, ecc.), in modo da coglierne i fattori distintivi e sulle quali eseguire l’analisi dei rischi, costituisce una significativa limitazione. Questa limitazione potrebbe compromettere la capacità di individuare minacce specifiche su componenti che sono cruciali al raggiungimento della mission aziendale, e di costruire in modo personalizzato le strategie di sicurezza per il loro contenimento. Poiché ogni organizzazione ha esigenze uniche e obiettivi aziendali specifici, l’analisi dei rischi dovrebbe essere in grado di riflettere con precisione queste differenze. Solo così sarà possibile implementare misure di sicurezza che siano accurate e proporzionate alle reali esigenze specifiche dell’organizzazione.

Uno sguardo al futuro

Dovendo investire su di un tool GRC, cosa dovrebbero aspettarsi i CISO in futuro? I CISO, ovvero i Chief Information Security Officer, sono figure chiave all’interno di un’organizzazione, in quanto sono responsabili della protezione dei suoi beni più preziosi: i dati.

La scelta di un tool GRC, ovvero un tool di Governance, Risk e Compliance, è una decisione importante per i CISO. I tool GRC possono aiutare i CISO ad automatizzare le attività di gestione dei rischi, migliorare la visibilità dei rischi e prendere decisioni più informate. Secondo Gartner, i tool GRC del futuro dovranno:

  • Permettere l’Integrazione dei dati: i dati relativi alla Governance, ai Rischi e alla Conformità dovranno essere integrati in un’unica piattaforma o sistema centralizzato. Ciò consentirà alle organizzazioni di avere una visione completa dei rischi a cui sono esposte e di rispondere agli incidenti in modo più rapido ed efficace.
  • Disporre di metodologie di Valutazione del Rischio Quantitativo: queste metodologie consentiranno di valutare il rischio in termini monetari, rendendo più semplice supportare i calcoli dell’analisi costi-benefici, in modo che tutti i rischi IT possano essere correlati a un valore monetario rispetto al costo di un’implementazione di una misura di sicurezza e al valore del beneficio che tale misura di sicurezza fornirebbe.
  • Integrare l’intelligenza artificiale generativa: Gli ultimi anni hanno visto l’emergere di alcuni significativi strumenti di intelligenza artificiale (come, ad esempio, Chat-GPT o Google Bard) portando così i produttori a considerare l’implementazione della stessa all’interno delle soluzioni di Cybersecurity. L’IA può essere utilizzata per analizzare grandi quantità di dati, identificare anomalie e possibili scenari di attacco. Gartner prevede che l’adozione dell’AI generativa nell’analisi dei rischi aumenterà significativamente nel prossimo decennio. Le organizzazioni che sono all’avanguardia nell’adozione di questa tecnologia saranno in grado di ottenere un vantaggio competitivo in termini di gestione del rischio.
  • Offrire personalizzazioni verticali: le soluzioni GRC dovranno essere personalizzate per soddisfare le esigenze specifiche dei diversi settori industriali. Ciò garantirà una copertura più completa delle minacce e delle vulnerabilità specifiche di ciascun settore.

Queste caratteristiche sono fondamentali per garantire un approccio efficace alla gestione dei rischi cyber, in un contesto in cui le minacce e le vulnerabilità sono in continua evoluzione.

Conclusione

L’articolo proposto vuole fornire una visione completa sulle problematiche da affrontare e da cogliere nel mondo della gestione dei rischi Cyber mettendo in luce le sfide e le opportunità principali. Nel sottolineare i limiti delle vecchie metodologie che utilizzano un approccio statico e prevedibile, si vuole aprire uno sguardo al nuovo approccio “integrato” e alle nuove funzionalità necessarie che i tool GRC dovranno offrire per garantire un adeguato strumento che possa far fronte efficacemente alle sfide attuali e future del mondo Cyber.

Bibliografia & Sitografia

Gartner, Market Guide to GRC Tools for Assurance Leaders, 2023

https://www.itgovernance.eu/it-it/nis-directive-it

https://www.ibm.com/it-it/reports/dora-action-guide

https://clusif.fr/wp-content/uploads/2015/10/mehari-2010-introduzione-italiano.pdf

https://it.wikipedia.org/wiki/Metodologia_Octave#:~:text=Octave%20%C3%A8%20un%20sistema%20di,i%20propri%20bisogni%20di%20sicurezza.

https://en.wikipedia.org/wiki/CRAMM

 

Articolo a cura di Annalisa Damato

Profilo Autore

Laureata nel 2019 in Scienze Investigative presso l'Università degli Studi di Foggia, ha deciso di approfondire la sua conoscenza in materia di sicurezza dei dati personali conseguendo la laurea magistrale in Scienze giuridiche della sicurezza dei dati personali, con tesi in sicurezza informatica concernente i “Deepfake: verso una società zero-trust”. Dal 2021 collabora con NSR s.rl. in qualità di Risk & Compliance Specialist, prestando le sue competenze prevalentemente in ambito Cybersecurity e Data Protection.

Condividi sui Social Network:

Ultimi Articoli