GRC 101: Cos’è il rischio informatico?

BY admin
|

Il rischio cibernetico è oggi il rischio aziendale e la priorità organizzativa in più rapida crescita. Secondo il Global Risk Perception Survey 2019, il rischio informatico è stato classificato come una priorità top 5 dal 79% delle organizzazioni globali.

La crescita del rischio informatico è in gran parte legata al crescente utilizzo della tecnologia come motore di valore. Le iniziative strategiche, come l’outsourcing, l’uso di fornitori di terze parti, la migrazione al cloud, le tecnologie mobili e l’accesso remoto, vengono utilizzate per guidare la crescita e migliorare l’efficienza, ma anche aumentare l’esposizione al rischio informatico. Il rischio informatico si è evoluto da un problema tecnologico a un problema organizzativo. In breve, il rischio informatico è il problema di tutti.

Un fattore compounding qui è nel corso degli ultimi due decenni, la criminalità informatica è cresciuta in modo esponenziale. Secondo l’IC3, il meccanismo di segnalazione del crimine informatico dell’FBI, i danni monetari derivanti dal crimine informatico segnalato ammontavano a $3.5 miliardi nel 2019, mentre il progetto Cybersecurity Ventures prevede che i costi globali della criminalità informatica raddoppieranno a trillion 6 trilioni nel 2021, rispetto a trillion 3 trilioni nel 2015.

Definizione di rischio informatico

Il rischio informatico, o rischio di sicurezza informatica, è la potenziale esposizione a perdite o danni derivanti dai sistemi di informazione o comunicazione di un’organizzazione. Gli attacchi informatici, o violazioni dei dati, sono due esempi frequentemente segnalati di rischio informatico. Tuttavia, il rischio di sicurezza informatica si estende oltre il danno e la distruzione dei dati o la perdita monetaria e comprende il furto di proprietà intellettuale, perdite di produttività e danni alla reputazione.

Esempi di rischio informatico

Il rischio informatico può essere affrontato da qualsiasi organizzazione e può provenire dall’interno dell’organizzazione (rischio interno) o da parti esterne (rischio esterno). Sia i rischi interni che quelli esterni possono essere dannosi o non intenzionali.

I rischi interni derivano dalle azioni dei dipendenti all’interno dell’organizzazione. Un esempio di rischio informatico interno dannoso sarebbe il sabotaggio dei sistemi o il furto di dati da parte di un dipendente scontento. Un esempio di rischio interno non intenzionale potrebbe essere un dipendente che non è riuscito a installare una patch di sicurezza su software obsoleto.

I rischi esterni derivano dall’esterno dell’organizzazione e dai suoi stakeholder. Un attacco dannoso esterno potrebbe essere una violazione dei dati da parte di terzi, un attacco denial-of-service o l’installazione di un virus. Un attacco esterno non intenzionale di solito deriva da partner o terze parti che si trovano al di fuori dell’organizzazione, un fornitore la cui interruzione dei sistemi provoca un’interruzione operativa della propria organizzazione.

Impatto del rischio informatico

Secondo Deloitte Advisory Cyber Risk Services, “Il rischio informatico è un problema che esiste all’incrocio tra rischio aziendale, regolamentazione e tecnologia.”Nel loro sondaggio Future of Cyber 2019,
Deloitte ha rilevato che l’impatto degli incidenti di sicurezza variava dai costi monetari reali, comprese le perdite finanziarie dovute a interruzioni operative e multe normative, ai costi immateriali, tra cui la perdita di fiducia dei clienti, la perdita di reputazione o un cambio di leadership.

I rischi di sicurezza informatica possono comportare sia perdite quantitative che impatti qualitativi. I costi realizzati possono includere mancati ricavi a causa di interruzioni della produttività o delle operazioni, spese di mitigazione e riparazione degli incidenti, spese legali o persino multe. Gli impatti meno tangibili degli incidenti di sicurezza informatica, che sono difficili da quantificare e generalmente richiedono più tempo per essere corretti, includono la perdita di avviamento, la diminuzione della reputazione del marchio o una posizione di mercato indebolita.

Gestione del rischio informatico

Il rischio informatico ha il potenziale per influenzare ogni aspetto di un’organizzazione, inclusi i suoi clienti, dipendenti, partner, fornitori, risorse e reputazione.

Come tale, un efficace programma di gestione del rischio informatico coinvolge l’intera organizzazione. Sebbene IT o Infosec possano in ultima analisi possedere la gestione del rischio di sicurezza informatica, il rischio informatico è disperso in tutta l’organizzazione, richiedendo un approccio integrato e una collaborazione cross-divisionale per gestire e mitigare efficacemente l’esposizione.

Di seguito sono riportati 4 passaggi chiave che l’organizzazione può adottare per implementare una solida strategia di gestione del rischio informatico.

  1. Comprendere il profilo di rischio: comprendere il profilo di rischio e la potenziale esposizione richiede una valutazione delle minacce a livello aziendale.
    • Identificare i rischi aziendali critici per determinare le applicazioni, i sistemi, i database e i processi soggetti al rischio informatico. Si consideri la serie di minacce esterne e interne, da un errore utente non intenzionale per l’accesso di terze parti agli attacchi dannosi.
    • Effettuare valutazioni del rischio con tutte le parti interessate per valutare la probabilità e il potenziale impatto dell’esposizione al rischio informatico, compresi gli effetti trasversali e secondari e le dipendenze tecnologiche. Considera l’esposizione di terze parti, in quanto sono sempre più diventati vettori di incidenti informatici, e il rischio rappresentato dal perimetro tecnologico in espansione a causa di esigenze di lavoro da casa.
    • Quantificare i rischi, compreso il potenziale impatto finanziario, operativo, reputazionale e di conformità di un incidente di rischio informatico. Un quadro di valutazione del rischio può contribuire a fornire una classifica più olistica delle minacce.
  2. Definire una strategia a livello aziendale: Stabilire un quadro strategico a livello aziendale per la gestione del rischio informatico
    • Dare priorità ai rischi utilizzando un quadro di misurazione del rischio condiviso e sistemi di reporting per dare priorità in modo efficace ai rischi in tutta l’organizzazione e consentire l’allocazione informata delle risorse.
    • Considera gli standard di rischio specifici del settore e incorpora tutti i requisiti di conformità specifici nella tua pratica di gestione del rischio informatico.
    • Imposta e comunica una strategia di gestione del rischio informatico e informatico a livello aziendale. L’utilizzo dell’infrastruttura tecnologica e delle applicazioni è fondamentale in ogni organizzazione. Pertanto, l’esposizione al rischio informatico può verificarsi in qualsiasi divisione, rendendola una priorità organizzativa, piuttosto che una IT.
  3. Investire nell’infrastruttura di Cyber Risk Management
    • Valutare i requisiti di sistema per capire da dove provengono le minacce informatiche organizzative e fornire una guida ai tipi di sistemi richiesti. Un’organizzazione distribuita basata su cloud avrà esigenze diverse da un’organizzazione ad alta intensità di risorse fisiche. Considera il modo in cui la tua azienda opera attualmente per garantire che una piattaforma GRC soddisfi le esigenze in continua evoluzione.
    • I potenziali investimenti in software GRC o altri strumenti di gestione del rischio informatico dovrebbero anche considerare i requisiti di reporting dei rischi e gestione degli incidenti, i flussi di lavoro, la facilità d’uso, la flessibilità e la capacità di espansione futura.
  4. Stabilire un processo dinamico di gestione del rischio informatico
    • Stabilire una supervisione solida mantenendo un inventario aggiornato delle potenziali minacce e una quantificazione dinamica del potenziale impatto e dei costi di mitigazione degli incidenti informatici.
    • Comunicare con terze parti per garantire che i loro protocolli di sicurezza siano allineati con gli standard e le pratiche organizzative.
    • Investire in formazione – Con una rapida evoluzione della tecnologia e relativi rischi di sicurezza informatica, cyber risk management non è una soluzione statica, spuntare la casella. Le organizzazioni possono spendere ingenti somme in infrastrutture di sicurezza all’avanguardia, ma un programma di gestione del rischio informatico veramente efficace richiede un’efficace formazione degli stakeholder.

La soluzione di gestione del rischio IT di LogicGate

Con l’esplosione della portata e dell’ambito del rischio informatico, come può la tua organizzazione valutare, quantificare, gestire e mitigare con precisione il rischio di sicurezza informatica? La gestione del rischio di cybersecurity richiede una solida piattaforma per consentire un coinvolgimento a livello aziendale e una gestione efficace dei rischi.

Stabilire una cultura di cyber risk awareness è più facile con un’interfaccia personalizzata e flessibile. Il software di gestione dei rischi per la sicurezza IT di LogicGate fornisce gli strumenti condivisi necessari per comunicare il quadro dei rischi della tua azienda, salvaguardare le risorse informative e rispettare gli standard di settore, in modo da poter mantenere la reputazione della tua organizzazione e proteggere azienda, dipendenti, clienti e clienti.