Logo ImpresaCity.it

RSA. come individuare la propensione al rischio

Un nuovo framework definisce gli obiettivi di sicurezza informatica più stringenti, stimandone l’impatto sull’organizzazione

Redazione

L’assegnazione delle priorità deve essere un processo continuo e costantemente monitorato. RSA, la Security Division di EMC, ha pubblicato, in partnership con Deloitte Advisory Cyber Risk, il Report “Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise”. Nel Report si evidenzia come per le aziende sia fondamentale dotarsi di un processo sistematico per identificare e categorizzare le diverse fonti di cyber risk, gli stakeholder maggiormente esposti a questo tipo di attacchi e definire la propria propensione ai cyber risk.

"In primo luogo, affermano gli autori del Report, le aziende devono ridefinire il concetto di cyber risk: non più solo un attacco pianificato e mirato a un sistema informatico - che comunque rimane un fatto importante – ma una serie di eventi che possono arrecare danni o gravi perdite a causa dell’utilizzo della tecnologia all’interno di una società.  Il report suggerisce di suddividere i cyber risk a seconda che questi siano generati da comportamenti intenzionali o meno. I cosiddetti cyber risk event possono infatti dipendere da azioni volontarie - ad esempio da parte di hacker che hanno l’obiettivo di compromettere informazioni sensibili – o da errori commessi involontariamente da parte di utenti. Allo stesso modo, possono provenire dall’esterno - cyber criminali o fornitori - o da risorse interne all’azienda, come dipendenti o contractor".  

Per determinare in modo efficace la propria propensione al rischio, il report suggerisce alle aziende di stilare un elenco di potenziali cyber risk, quantificarne l’impatto sulla propria organizzazione e assegnare a ciascuno di essi delle priorità. Si inizia con immaginare il peggior scenario possibile e stabilire quali sono le informazioni sensibili che non devono entrare in possesso di soggetti terzi o essere rese pubbliche; si prosegue con assegnare ad ogni rischio individuato una priorità sia sulla base del possibile impatto che essi possono avere sui sistemi mission e business critical, sia sulla criticità di questi ultimi, e questo prima di pensare all’infrastruttura, agli ecosistemi estesi (ad esempio le applicazioni per la gestione della supply chain e i portali per i partner) o ai possibili punti di interazione con l’esterno.

"Le aziende che avranno successo - si legge nella conclusione del Report -  saranno quelle in grado di quantificare i cyber risk e di prendere decisioni consapevoli riguardo alla loro propensione al rischio. Alcuni costi possono essere facilmente quantificati, come quelli legati a sanzioni, spese legali, perdita di produttività, incidenti; altri possono essere più difficili da determinare, come per esempio una perdita del valore del brand o di proprietà intellettuale".
Pubblicato il: 13/06/2016

Tag:

Speciali

speciali

Cybertech Europe 2018

speciali

Veeam On Forum 2018, il futuro iper-disponibile corre veloce