L’assegnazione delle priorità deve essere un processo continuo e costantemente monitorato. RSA, la Security Division di EMC, ha pubblicato, in partnership con Deloitte Advisory Cyber Risk,
il Report “Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise”. Nel Report si evidenzia come per le aziende sia fondamentale dotarsi di un processo sistematico per identificare e categorizzare le diverse fonti di cyber risk, gli stakeholder maggiormente esposti a questo tipo di attacchi e definire la propria propensione ai cyber risk.
"In primo luogo, affermano gli autori del Report,
le aziende devono ridefinire il concetto di cyber risk: non più solo un attacco pianificato e mirato a un sistema informatico - che comunque rimane un fatto importante – ma una serie di eventi che possono arrecare danni o gravi perdite a causa dell’utilizzo della tecnologia all’interno di una società. Il report suggerisce di suddividere i cyber risk a seconda che questi siano generati da comportamenti intenzionali o meno. I cosiddetti
cyber risk event possono infatti dipendere da azioni volontarie - ad esempio da parte di hacker che hanno l’obiettivo di compromettere informazioni sensibili – o da errori commessi involontariamente da parte di utenti. Allo stesso modo, possono provenire dall’esterno - cyber criminali o fornitori - o da risorse interne all’azienda, come dipendenti o contractor".
Per determinare in modo efficace la propria propensione al rischio,
il report suggerisce alle aziende di stilare un elenco di potenziali cyber risk, quantificarne l’impatto sulla propria organizzazione e assegnare a ciascuno di essi delle priorità. Si inizia con immaginare il peggior scenario possibile e stabilire quali sono le informazioni sensibili che non devono entrare in possesso di soggetti terzi o essere rese pubbliche; si prosegue con assegnare ad ogni rischio individuato una priorità sia sulla base del possibile impatto che essi possono avere sui sistemi mission e business critical, sia sulla criticità di questi ultimi, e questo prima di pensare all’infrastruttura, agli ecosistemi estesi (ad esempio le applicazioni per la gestione della supply chain e i portali per i partner) o ai possibili punti di interazione con l’esterno.
"
Le aziende che avranno successo - si legge nella conclusione del Report - saranno quelle in grado di quantificare i cyber risk e di prendere decisioni consapevoli riguardo alla loro propensione al rischio. Alcuni costi possono essere facilmente quantificati, come quelli legati a sanzioni, spese legali, perdita di produttività, incidenti; altri possono essere più difficili da determinare, come per esempio una perdita del valore del brand o di proprietà intellettuale".