Cybersecurity e percezione del rischio in azienda. Quanto siamo preparati?

Chi pensa che per risolvere i problemi di sicurezza informatica sia sufficiente spendere, o per meglio dire investire, solo e soltanto in hardware e software commette un errore. Paul Frenken, Senior Technology Executive per ISACA (Information Systems Audit and Control Association®) ha dichiarato: “Uno dei modi migliori per un’organizzazione di ridurre il rischio informatico è costruire una cultura della sicurezza informatica creando da un lato una mentalità nei dipendenti secondo cui il rischio è reale e le loro azioni quotidiane hanno un impatto su tale rischio, e dall’altro, strutturare la valutazione del rischio Cyber in azienda come un processo che includa componenti organizzative, procedurali e strumenti dedicati”.

Senza un focus culturale sul rischio informatico, potrebbero verificarsi situazioni in cui i dipendenti seguono percorsi e “rimedi alternativi” per finalizzare un lavoro rapidamente, evitando un insieme di salvaguardie, con il conseguente aumento del rischio per la loro organizzazione. Invece, una cultura del rischio informatico efficacemente diffusa e divulgata, rende consapevoli i dipendenti del rapporto causa-effetto sul fronte “cyber” e li prepara meglio (grazie a procedure, organizzazione e tecnologia) sia in termini di prevenzione, sia quando dovesse accadere l’evento incidente informatico.

Lo scorso anno è stata aggiornata la norma ISO 27013 alla versione del 2021 che guida all’implementazione della sicurezza informatica in tutte le sue componenti di protezione dai rischi di Cybersecurity ed abbiamo voluto approfondire questa norma e il tema più generale della cultura di valutazione del rischio informatico con Federica Maria Rita Livelli consulente di Business Continuity & Risk Management certificata in Business Continuity – AMBCI BCI (UK) e CBCP DRI (USA), Risk Management FERMA Rimap ®.

Perché la valutazione del rischio e oggi di quello Cyber è da sempre un punto percepito come “ostico” da alcune aziende?

Partiamo dal presupposto che vivere protetti dal rischio presuppone una condivisione della cultura del rischio. Purtroppo, ad oggi, sussiste ancora una distonia tra la scienza Risk Management, Business Continuity e Cybersecurity e la percezione del rischio da parte delle organizzazioni e delle persone comuni. Per quanto attiene il rischio cyber, di fatto, se da un lato, come confermato dalla survey patrocinata da ANRA sul rischio cyber svolta con l’Università di Verona in collaborazione di Riesko e presentata lo scorso novembre 2021, vi è una alta consapevolezza del rischio cyber da parte delle organizzazioni, dall’altro lato, esse risultano ancora impreparate nell’adozione di piani di risk mitigation, nella promozione di progetti di formazione interna e nell’investimento dei budget aziendali. In realtà non si tratta solo di trascuratezza. In effetti, si tratta di un processo cognitivo complesso dato che, solo partendo dalla conoscenza del contesto interno ed esterno in cui si opera (già gli antichi greci dicevano “gnòthi seautòn”, i.e. “conosci te stesso”) si acquisisce la consapevolezza necessaria per orientare i comportamenti delle organizzazioni e delle persone di fronte a decisioni che coinvolgono rischi.

Come impostare la valutazione del rischio e  di quello Cyber correttamente? 

Gli esperti/professionisti di Risk Management, Business Continuity e Cybersecurity, per raggiungere l’obiettivo,  fanno riferimento a standard internazionali, definiscono i rischi con un linguaggio tecnico o scientifico, implementano sistemi di gestione e relative procedure, strategie e piani per il governo di eventuali impatti e tendono a considerare variabili tecniche legate alla natura del danno potenziale, alla probabilità che l’evento dannoso si verifichi, al numero di persone coinvolte, e così via…  Molte organizzazioni e persone si trovano ancora oggi in difficoltà nell’intraprendere una gestione del rischio in quanto si tratta, innanzitutto, di avere una comprensione/percezione del rischio stesso.

Come deve essere questa percezione e comprensione del rischio? 

Nella percezione del rischio, entrano in gioco componenti diverse quali probabilità e gravità e componenti emozionali e soggettive, pertanto, diventa quanto più urgente e necessario prendere consapevolezza della tipologia di rischio ed attuare le necessarie strategie/soluzioni per mitigarlo. In altre parole, manca un ecosistema della cybersecurity che possa garantire un approccio strutturato al mondo digitale con coscienza e con competenza per far fronte al processo di digitalizzazione ed innovazione accelerato che presuppone la centralità delle persone. Dunque, sarà sempre più importante diffondere una cultura dei rischi mediante una formazione puntuale e continua delle persone atta a migliorare la conoscenza dei rischi ed individuare strategie attraverso uno stile di vita digitale più responsabile e inclusivo attraverso l’implementazione delle ISO della famiglia 27000 che costituiscono valide linee guida nel perseguire la cybersecurity e la resilienza organizzativa ed operativa.

Può chiarire le definizioni della  ISO 27001 e della ISO 20000-1 visto che la ISO 27013 si basa su di esse?

La ISO 27001 – “Sistema di gestione della sicurezza delle informazioni” stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (SGI) atto a proteggere le informazioni e le relative attività e mezzi di trattamento. Essa può essere applicata a qualsiasi tipo di organizzazione; migliora la sicurezza generale, oltre ad assicurare e garantire la confidenzialità/riservatezza, la disponibilità, ’integrità delle informazioni. La ISO/IEC 20000-1 “Tecnologie informatiche – Gestione del servizio – Parte 1: Requisiti per un sistema di gestione del servizio” costituisce uno strumento di riferimento per le organizzazioni soprattutto quelle che erogano servizi informatici e di telecomunicazioni e fornisce i requisiti per un’organizzazione per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione del servizio (SMS – Service Management System). I requisiti specificati in questa norma includono la pianificazione, la progettazione, la transizione, l’erogazione e il miglioramento dei servizi per soddisfare i requisiti del servizio e fornire valore.

Che cosa è la ISO 27013:2021 e in cosa consiste il suo aggiornamento?

La nuova ISO 27013 dal titolo “Tecnologia dell’informazione — Tecniche di sicurezza – Guida all’implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1” è stata rilasciata lo scorso dicembre 2021 . Offre le indicazioni per l’integrazione delle due ISO 27001 e ISO 20000-1 alle organizzazioni che vogliono o sono obbligate ad integrarle, in un’ottica di miglioramento delle organizzazioni stesse e di conseguimento della conformità con i requisiti specificati. Rispetto alla versione precedente, l’inserimento già dal titolo dei concetti di “cybersecurity” e “privacy protection” reitera l’importanza del recepimento delle normative vigenti in materia e scaturiti dall’integrazione dei sistemi;

La ISO 27001 è spesso considerata solo come un sistema di tenuta sotto controllo della sicurezza per soli motivi di compliance. Come diventa invece grazie a questo aggiornamento, un sistema di controlli veramente efficaci?

La ISO 27001 è basata sulla gestione del rischio. In un’ottica di implementazione della Iso 27013 dobbiamo considerare che la ISO 2000-1 e la ISO 27001 sono due standard che hanno molte cose in comune, o meglio, si completano a vicenda, in modo sinergico ed olistico, uno di supporto all’altro in quanto: la ISO 27001 ha due obiettivi principali da implementare ovvero, la cybersecurity orientata ai processi e agli obiettivi aziendali considerando l’analisi dei rischi ICT e il suo miglioramento continuo e i controlli e le procedure più efficaci e coerenti in linea con la strategia aziendale per ridurre al minimo i rischi individuati. Invece la ISO 20000-1 definisce, implementa, gestisce e migliora il servizio IT dalla sua progettazione attraverso la gestione e il miglioramento dopo il rilascio e comprende come viene creato il servizio, come viene utilizzato e come gestisce i problemi che si verificano. Include anche il modo in cui si struttura l’organizzazione, la gestione di terze parti, i rapporti e la soddisfazione dei clienti/reclami/complimenti, ecc.

Quale è la struttura comune delle due norme ISO? 

Entrambe le norme sono conformi alla ISO High Level Structure (HLS), ora rinominata Harmonized Structure (HS).  Ciò rende la loro integrazione molto più semplice, poiché hanno lo stesso indice di requisiti per entrambi i sistemi di gestione a partire dalla sezione 4. In particolare hanno una Struttura di alto livello – ISO 20000-1 e ISO 27001 similare formata da: Contesto Organizzativo, Comando, Pianificazione, Supporto/Supporto, Operazione, Valutazione delle prestazioni, Miglioramento.

Nella tabella qui sotto riportata fra la norma ISO 20000-1 e l’allegato A della ISO 27001 si vede una corrispondenza. Può spiegarla? 

Dal confronto delle due norme si evince facilmente come la ISO 27001 contribuisca a supportare la ISO 20000-1 dato che alcuni processi di quest’ultima corrispondono ai controlli dell’allegato A. ISO 27001, garantendo controlli efficaci.

Inoltre, i principali requisiti della ISO/IEC 27001, orientati ai servizi IT, si ritrovano in sintesi nel processo di Security Management della ISO/IEC 20000-1. la calibrata sintesi delle due norme trova una naturale realizzazione nell’implementazione della ISO 27013.

Quali sono i vantaggi per l’organizzazione che implementa la ISO 27013?

I vantaggi possono essere i seguenti: fornire ai clienti esterni e interni di un’organizzazione IT servizi di qualità, di sicurezza informatica e di sostenibilità; l’integrazione nell’analisi dei rischi dei servizi e degli asset che supportano tali servizi (servizi/attività/analisi e gestione dei rischi/controlli da applicare) e conseguenti minori rischi di incidenti di sicurezza riferiti a servizi (e trattamento di informazioni) che possono implicare problematiche di privacy; maggiore comprensione e sinergia tra il personale addetto alla sicurezza delle informazioni e quello addetto alla gestione dei servizi, attraverso la creazione di obiettivi comuni ed un unico sistema di gestione e governo atto a garantire maggiore affidabilità ed efficienza operativa, considerando l’eliminazione di duplicazione di processi; minori tempi e costi di implementazione a fronte dello sviluppo integrato dei processi di supporto; l’ntegrazione del ciclo di miglioramento continuo (Plan, Do, Check, Act -PDCA o ciclo di Deming) per i due sistemi, in termini di servizi informatici.