La definizione tradizionale di Rischio Cyber come prodotto di V (Vulnerabilità dei sistemi) x T (Threat, presenza di minacce in grado di far leva sulle vulnerabilità) x I (Incident, impatto o costo dell’incidente qualora si realizzasse) ha mostrato negli anni i suoi limiti. Il tema è affrontato con chiarezza e semplicità nell’articolo “La Gestione probabilistica del Rischio Cyber” a cura di Cesare San Martino, IT Security Consultant, EuroSel MoMa.
Come riporta il documento: “E’ una definizione congegnata da sistemisti, preoccupati di dover “patchare” appropriatamente il proprio sistema, parte del loro lavoro quotidiano, per non esporre delle vulnerabilità delle quali potrebbero avvantaggiarsi malintenzionati minacciosi in attesa di fare l’ “Exploit”. Fa parte della professionalità dei tecnici preoccuparsi di identificare e rimediare tutte le vulnerabilità ed essere al massimo grado al corrente delle minacce esistenti. Aggiungiamo che, di regola, il valore del bene da proteggere non rientra nei ragionamenti dei tecnici dell’IT Security”.
Tale definizione risulta nella pratica poco utile, se non addirittura fuorviante o anche falsa. Sicuramente, di ostacolo alla comunicazione dello stato della sicurezza al business. E infine, inibente rispetto alla necessità di quantificare correttamente gli investimenti necessari in IT Security.
“Quali sono le vulnerabilità dei sistemi? Sappiamo tutti che ogni giorno ne escono di nuove. Sappiamo che esistono debolezze zero day, cioè non note in pratica a nessuno se non agli hacker – scrive Cesare San Martino –. Inoltre quando si parla di vulnerabilità in questo modo si hanno in mente le patch che mancano, i certificati malformati, le porte Telnet aperte; tutti elementi tecnici dei sistemi da gestire. Ma ha senso avere in mente queste vulnerabilità quando è ben noto che la vulnerabilità maggiore è quella data dagli essere umani? Che aprono allegati che non dovrebbero aprire, che navigano dove non dovrebbero, che danno informazioni al telefono che non andrebbero date. In che modo quantifichiamo le vulnerabilità umane, che sono pur sempre le maggiori?
Quanto alle minacce, di nuovo, come catalogarle? Come quantificarle? Come facciamo a sapere se esiste una nuova minaccia in grado di attaccare una vulnerabilità forse nota e forse no? Infine l’Incident, il terzo elemento dell’equazione. Si intende qui il “costo” dell’incidente. Esso è di regola valutabile dalle aziende, anche se può non sempre essere semplice, dipendendo dal valore del sistema ma anche da elementi immateriali quali la perdita di reputazione o altro”.
In alternativa all’utilizzo dell’accoppiata Vulnerabilità / Minaccia (poco praticabile) nell’articolo sono proposti i vantaggi concreti per le organizzazioni di un APPROCCIO PROBABILISTICO alla gestione e misura del rischio cyber, soprattutto dove questa è strettamente legata alla determinazione degli investimenti più opportuni da effettuare. Si tratta tra l’altro di una scelta che, come spiegato bene nell’articolo, incontra anche il favore di chi è deputato ad assicurare, potenzialmente, questo tipo di rischio.
Accedi al documento completo, “La Gestione probabilistica del Rischio Cyber“, a cura di Cesare San Martino, IT Security Consultant, EuroSel MoMa.