Se il rischio informatico è la minaccia di perdita o compromissione di informazioni sensibili, dati o sistemi informatici a causa di eventi indesiderati come le violazioni della sicurezza, l’analisi del rischio informatico è il processo che le aziende dovrebbero porre in essere per identificare e valutare le loro vulnerabilità rispetto a diverse fonti di rischio, così da preservare al meglio l’integrità, la riservatezza e la disponibilità dei propri dati e sistemi informativi.
A questo punto, potrebbe sorgere spontanea una domanda: in un’era contraddistinta da un’infinità di strumenti, metodologie e tecniche di difesa, perché dare centralità all’analisi del rischio, magari da eseguire periodicamente? Non è sufficiente proteggersi?
In realtà, è risaputo che la sicurezza al 100% non esista; se esistesse, inoltre, costerebbe troppo. Le aziende sono tenute a conoscere i rischi che corrono e a definire una soglia di tolleranza, così da bilanciare correttamente sicurezza, accessibilità del dato e produttività delle proprie risorse.
Sul mercato, il nostro è principalmente un ruolo di indirizzo, con l’obiettivo di creare una vera e propria cultura della sicurezza. Per farlo, partiamo proprio da alcuni elementi fondamentali, ovvero dal trasmettere la necessità di valutare il rischio informatico prima di sviluppare e implementare una strategia di protezione. L’offerta molto ampia di tool di sicurezza e la relativa semplicità di implementazione e di gestione fa sì che, in molti casi, si sviluppi una sorta di digital trust nei confronti dello strumento, da cui la convinzione di essere sempre al sicuro. Purtroppo, non è così.
Il nostro approccio non vuole essere vincolato ad una specifica attività o progetto. Riteniamo infatti che slegare l’analisi del rischio informatico da altre attività strategiche e operative significhi non solo condizionare negativamente l’efficacia, ma soprattutto non poter migliorare la security culture del Cliente. La stessa analisi del rischio informatico, per quando parta da checklist di riferimento (come quelle del NIST o del CIS) e si avvalga di metodologie di comprovata efficacia (nel nostro caso, adottiamo FMEA – Failure Mode and Effect Analysis) si traduce poi in un lavoro di squadra, poiché solo i manager dell’azienda hanno la conoscenza e la sensibilità giusta per capire il livello di rischio tollerabile dalla propria realtà. C’è molta differenza, per esempio, tra tutelare i processi di uno stabilimento produttivo e quelli di un ospedale.
Nell’analisi del rischio informatico, un consulente come Fasternet si trova ad avere un duplice ruolo. Nella prima fase, ed è qui che si vede l’esperienza e la qualità del framework di riferimento, deve essere in grado di tradurre delle rilevazioni complesse in indicatori di rischio facilmente comprensibili dai decisori aziendali, che non necessariamente sono in grado di valutare parametri tecnici. Idealmente, andrebbe presentata loro una semplice dashboard numerica.
Poi, il partner è colui che si fa carico della personalizzazione, ovvero accompagna l’azienda nel definire cosa sia tollerabile e cosa non lo sia, identificando in questo secondo caso un percorso tailor-made finalizzato a migliorare la postura di sicurezza senza impattare la produttività o richiedere investimenti coraggiosi. Alla standardizzazione della prima fase, che deve seguire metodologie di comprovata efficacia anche per essere economicamente sostenibile, segue quindi l’approccio tailor-made, fondato su competenze ed esperienza, della seconda.
Come detto, da qui è possibile intraprendere un percorso di potenziamento della security posture, che di solito coinvolge tutti gli elementi del paradigma di sicurezza, ovvero processi, persone e tecnologia. Dato il suo impatto nei confronti di componenti culturali e organizzative, il percorso determina una trasformazione in piena regola, non solamente l’integrazione di nuova tecnologia e strumenti di protezione. Per questo, i valori della fiducia, dell’empatia e dell’affiancamento costante non sono elementi di corredo, ma fattori critici di successo.