Inside IT

Rischio (informatico) o non rischio: questo è il dilemma

Tipicamente il rischio viene associato alla probabilità che un evento, in genere avverso, produca dei danni. Questo concetto abbastanza vago può essere calato nella terminologia informatica: il rischio informatico è la probabilità che una minaccia possa colpire i sistemi informativi. Mentre per i nostri sistemi il danno può essere dato dal malfunzionamento del computer, dalla parziale perdita di dati, da un utilizzo non autorizzato delle nostre utenze, per un’azienda il danno si traduce in molteplici variabili: un danno reputazionale, danni fisici ai sistemi e perdite economiche. Pertanto, è chiaro quanto tentare di contenere il rischio informatico sia fondamentale per ogni impresa, poiché non è possibile avere un rischio pari a zero.

In questo contesto si colloca il recente studio a cura di Trend Micro, nota azienda di sicurezza informatica, in collaborazione con il Ponemon Institute. L’obiettivo è quello di mettere in luce la capacità di gestione del rischio nelle aziende. L’analisi si concentra in tre macroaree geografiche: l’America, l’Europa e l’Asia. Il quadro che ne emerge non è dei più rosei poiché globalmente persiste un rischio definito alto (in una scala di valori da -10 a 10, dove -10 è il massimo rischio per un’azienda).

Il CRI (Indice di rischio informatico) calcolato da TrendMicro. Credits: TrendMicro

Tuttavia, è bene anche precisare che la ricerca si basa su interviste fatte ai clienti di Trend Micro e quindi su valutazioni soggettive del personale delle aziende intervistate. L’indice di rischio è calcolato su due componenti: da un lato la capacità di individuare una minaccia (ovvero essere pronti a reagire), dall’altro la capacità di rispondere a un attacco quando questo è in corso. Queste due misure sono infatti indicatori di quanto un’azienda sia preparata nei confronti del rischio informatico.

Rischio informatico: individuare le minacce

Un fattore determinante nella gestione dei rischi informatici è la proattività con la quale si cercano le vulnerabilità dei propri sistemi, per ridurre la superficie d’attacco e minimizzare l’impatto che una minaccia potrebbe avere colpendo l’azienda. Infatti, maggiore sarà la superficie d’attacco, maggiori saranno le probabilità che un attaccante riesca a far breccia nei nostri sistemi e perciò a recarci danno.

Come possiamo ridurre la superficie d’attacco? La cosa più semplice sarebbe tenere il software sempre aggiornato così che eventuali patch di sicurezza, contenenti ad esempio, la risoluzione di bug relativi a minacce cosiddette zero-day (cioè vulnerabilità non note per le quali però esiste un attacco) possano essere installati sui sistemi e ridurre la probabilità che un attacco abbia successo. Questo è uno dei punti carenti nella maggior parte delle aziende: spesso si preferisce continuare ad utilizzare sistemi detti legacy perché funzionano piuttosto che aggiornarli. Nelle aziende produttive, infatti, molti sistemi di controllo dei robot si basano ancora su Windows XP, il cui supporto è terminato diversi anni fa.

Gestire il rischio informatico significa anche essere proattivi in caso di attacco.

Qualcuno potrebbe obiettare che il rischio si può ridurre scollegandosi da Internet, dove circolano la maggior parte delle minacce, ma resta il fatto che non è possibile avere un sistema completamente isolato, quindi è sempre possibile trovare un punto d’accesso. Nascondendoci dai pericoli non siamo effettivamente più forti, anzi il nostro livello di sicurezza potrebbe peggiorare. Trend Micro, addirittura, evidenzia la necessità di snellire la complessità dei sistemi e ancora migliorare l’allineamento (di versioni, software…) fra sistemi eterogenei. Il primo assioma dell’ingegneria dice, infatti, che più un sistema è complesso, maggiore è la complessità per verificarne la correttezza. Analogamente uno dei principi cardine della sicurezza si chiama KISS:Keep it simple, stupid” ovvero “Rendilo semplice, quasi elementare”!

Aumentare la nostra potenza di fuoco

L’altro aspetto della ricerca, come abbiamo già introdotto, è la capacità di rispondere qualora un attacco sia in corso o sia avvenuto. Anche se l’indicatore sembra banale è bene riflettere che le aziende non riescono a comportarsi come gli hacker che vediamo nei film: non c’è una persona dietro a uno schermo che ha in mano tutta l’infrastruttura. Reagire a un attacco comporta l’utilizzo di procedure snelle e rapide, che consentano di tenere traccia di ciò che succede, ma che diano anche ampia possibilità di manovra in caso di compromissione dei sistemi.

Purtroppo, questi due concetti sono difficili da realizzare perché le strutture aziendali sono spesso complesse, articolate e gerarchiche. Ciò si traduce in una difficoltà di reazione che vanifica la capacità di risposta causata dalla lentezza tra l’individuazione dell’attacco e l’apportare modifiche ai sistemi per aumentarne la sicurezza.

I rischi primari per le aziende

La ricerca di Trend Micro evidenzia effettivamente cinque aree d’intervento su cui concentrare gli sforzi per ridurre i rischi aziendali:

  • rischio di minacce digitali, ovvero l’insieme degli attacchi a cui siamo passibili (in modo particolare clickjacking, ransomware, phishing e ingegneria sociale, attacchi Man-in-the-middle);
  • rischi legati al dato, cioè la capacità di anticipare attacchi zero-day e contenerne gli effetti;
  • rischi derivanti dal capitale umano e pertanto legati alle scelte decisionali della direzione che influiscono sulla capacità di gestione e risposta della divisione di sicurezza (ad esempio, alcune aziende potrebbero ritenere la sicurezza più una spesa che un reale vantaggio);
  • rischio infrastrutturale, ovvero sia la capacità di individuare gli asset strategici per l’azienda per proteggerli adeguatamente sia la rapidità nell’evolvere verso nuove tecnologie a supporto dell’operatività quotidiana;
  • infine, il rischio operazionale e cioè, come dicevamo prima, la nostra potenza di fuoco in caso di eventi avversi e la capacità di reagire prontamente.
I tipi di rischi informatici. Credits: TrendMicro

L’Europa (e l’Italia) si colloca in un fattore di rischio pari a – 0,13: un valore elevato ma pur sempre migliore rispetto all’America che ottiene – 1,07. Meglio di noi soltanto il continente asiatico capace di totalizzare – 0,03.

Convivere con il rischio informatico

Abbiamo detto che il rischio non può essere nullo ma possiamo soltanto minimizzarlo. È necessario adottare una strategia che ci consenta di convivere al meglio che possiamo, cercando di essere sufficientemente tranquilli. Come?

  1. Individuare le contromisure giuste che si rivelino efficaci e che siano sopportabili per l’azienda in termini economici e di applicazione. Avere una buona strategia difesa e sicuramente un punto di partenza importante.
  2. Implementare tali contromisure! Ovvio, vero? Spesso però ci si perde tra la teoria e la pratica per varie ragioni, per cui è necessario che i piani vengano messi in atto.
  3. Indagare! Verificare che quanto abbiamo preventivato dia i risultati sperati. Altrimenti sarebbe come avere una Ferrari senza benzina: quando dovremo partire, ci ritroveremo fermi e senza possibilità d’intervento.
Per ridurre il rischio informatico è necessario adottare specifiche strategie che lo minimizzino.

Il lavoro di Trend Micro è sicuramente un’indagine importante da cui partire per migliorare la gestione del rischio, il resto poi tocca a noi farlo!

Articolo a cura di Nicola Fioranelli

Published by
Redazione