Progettazione e implementazione di un Toolkit per la valutazione del rischio informatico.pdf
pierfrancescobin1
56 views
53 slides
Dec 01, 2024
Slide 1 of 53
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
About This Presentation
Progettazione e implementazione di un Toolkit per la valutazione del rischio informatico tramite un approccio basato sugli eventi di minaccia integrato con dei Key Performance Indicator.
Slide Content
UNIVERSITÀ DEGLI STUDI DI TRIESTE
Dipartimento di Ingegneria e Architettura
Corso di Laurea Magistrale in Ingegneria Elettronica e Informatica
Tesi di Laurea
Laureando:
Pierfrancesco Bin
Relatore:
Prof. Alberto Bartoli
Correlatore:
Nicola Agostini
Progettazione e implementazione di un Toolkit per
la valutazione del rischio informatico tramite un
approccio basato sugli eventi di minaccia integrato
con dei Key Performance Indicator
Anno accademico 2023 - 2024
Dipartimento di Ingegneria e Architettura
Corso di Laurea Magistrale in Ingegneria Elettronica e Informatica
Tesi di Laurea
Laureando:
Pierfrancesco Bin
Relatore:
Prof. Alberto Bartoli
Correlatore:
Nicola Agostini
Progettazione e implementazione di un Toolkit per
la valutazione del rischio informatico tramite un
approccio basato sugli eventi di minaccia integrato
con dei Key Performance Indicator
Anno accademico 2023 - 2024
Pierfrancesco Bin Università degli Studi di Trieste
2
2
Pierfrancesco Bin Università degli Studi di Trieste
3
INDICE
1 Introduzione....................................................................................................................4
2 Il panorama della sicurezza informatica ...........................................................................6
2.1 Evoluzione delle minacce informatiche ................................................................................6
2.2 L’importanza della gestione del rischio informatico .............................................................7
2.3 Incidenti rilevanti in ambito Cyber .......................................................................................9
3 Principi dell’analisi del rischio cyber ............................................................................... 11
3.1 Definizione del rischio: probabilità e impatto..................................................................... 11
3.2 Quantificazione e qualificazione del rischio ....................................................................... 12
3.3 Processo di gestione del rischio ......................................................................................... 14
3.4 Metodologia dell’analisi del rischio ................................................................................... 16
3.5 Integrazione dei Key Performance Indicator ...................................................................... 17
4 Progettazione e sviluppo del Toolkit per la valutazione del rischio informatico ............... 19
4.1 Presentazione del progetto ............................................................................................... 19
4.2 Identificazione delle minacce ............................................................................................ 20
4.3 Panoramica del Toolkit ..................................................................................................... 22
4.4 Registro dei Rischi ............................................................................................................. 24
4.5 Tassonomia di riferimento ................................................................................................ 27
4.6 Mapping Controlli - Scenari di rischio................................................................................. 28
4.7 Livelli di incidenza dei controlli .......................................................................................... 31
4.8 Valutazione della maturità dei controlli ............................................................................. 32
4.9 KPI Dashboard & Storico di supporto dei KPI ..................................................................... 35
4.10 Foglio di supporto #1 ........................................................................................................ 36
4.11 Foglio di supporto #2 ........................................................................................................ 38
5 Use case: utilizzo del Toolkit per la valutazione del livello di rischio ................................ 43
5.1 Applicazione del Toolkit per la valutazione del livello di rischio .......................................... 43
5.2 Risultati del Cyber Risk Assessment ................................................................................... 44
6 Conclusioni e considerazioni finali .................................................................................. 49
7 Bibliografia e Sitografia................................................................................................. 52
3
INDICE
1 Introduzione....................................................................................................................4
2 Il panorama della sicurezza informatica ...........................................................................6
2.1 Evoluzione delle minacce informatiche ................................................................................6
2.2 L’importanza della gestione del rischio informatico .............................................................7
2.3 Incidenti rilevanti in ambito Cyber .......................................................................................9
3 Principi dell’analisi del rischio cyber ............................................................................... 11
3.1 Definizione del rischio: probabilità e impatto..................................................................... 11
3.2 Quantificazione e qualificazione del rischio ....................................................................... 12
3.3 Processo di gestione del rischio ......................................................................................... 14
3.4 Metodologia dell’analisi del rischio ................................................................................... 16
3.5 Integrazione dei Key Performance Indicator ...................................................................... 17
4 Progettazione e sviluppo del Toolkit per la valutazione del rischio informatico ............... 19
4.1 Presentazione del progetto ............................................................................................... 19
4.2 Identificazione delle minacce ............................................................................................ 20
4.3 Panoramica del Toolkit ..................................................................................................... 22
4.4 Registro dei Rischi ............................................................................................................. 24
4.5 Tassonomia di riferimento ................................................................................................ 27
4.6 Mapping Controlli - Scenari di rischio................................................................................. 28
4.7 Livelli di incidenza dei controlli .......................................................................................... 31
4.8 Valutazione della maturità dei controlli ............................................................................. 32
4.9 KPI Dashboard & Storico di supporto dei KPI ..................................................................... 35
4.10 Foglio di supporto #1 ........................................................................................................ 36
4.11 Foglio di supporto #2 ........................................................................................................ 38
5 Use case: utilizzo del Toolkit per la valutazione del livello di rischio ................................ 43
5.1 Applicazione del Toolkit per la valutazione del livello di rischio .......................................... 43
5.2 Risultati del Cyber Risk Assessment ................................................................................... 44
6 Conclusioni e considerazioni finali .................................................................................. 49
7 Bibliografia e Sitografia................................................................................................. 52
Pierfrancesco Bin Università degli Studi di Trieste
4
1 Introduzione
Il presente elaborato tratta la progettazione e lo sviluppo di uno strumento per la
valutazione del rischio informatico secondo un approccio basato sui diversi scenari di
minaccia esistenti assieme all’integrazione di Key Performance Indicators (KPI), utilizzati
come parte integrante della valutazione del rischio.
Durante il periodo di tirocinio presso PricewaterhouseCoopers a Rubano, Padova, l’autore
della tesi ha preso parte, assieme al gruppo di lavoro dell’azienda, ad un progetto che ha
condotto allo sviluppo e all’applicazione del Toolkit in questione, integrato al contesto del
cliente che ne ha richiesto la progettazione. Il progetto, infatti, nasce dalla richiesta
specifica del cliente di condurre un’analisi del rischio informatico dell’azienda.
Le principali fasi affrontate nel corso del progetto sono:
• Analisi delle principali best practices e linee guida di riferimento per la gestione del
rischio informatico.
• Progettazione e implementazione del Toolkit.
• Applicazione del Toolkit per la valutazione del rischio informatico del cliente.
Come piattaforma di sviluppo, su specifica richiesta del cliente, è stata utilizzata Microsoft
Excel. Questo strumento, infatti, risultava essere facilmente adattabile alle specifiche del
contesto del richiedente.
Nel presente elaborato sono stati sviluppati i seguenti capitoli:
• Il panorama della sicurezza informatica: descrizione del contesto attuale della
sicurezza informatica, del crescente numero di incidenti e l’impatto che questi
hanno sulle aziende.
• Principi dell'analisi del rischio cyber: illustrazione dei principi del rischio
informatico come la definizione del concetto di rischio, metodologia e processo di
gestione del rischio e l’utilizzo dei KPI nel processo di valutazione.
4
1 Introduzione
Il presente elaborato tratta la progettazione e lo sviluppo di uno strumento per la
valutazione del rischio informatico secondo un approccio basato sui diversi scenari di
minaccia esistenti assieme all’integrazione di Key Performance Indicators (KPI), utilizzati
come parte integrante della valutazione del rischio.
Durante il periodo di tirocinio presso PricewaterhouseCoopers a Rubano, Padova, l’autore
della tesi ha preso parte, assieme al gruppo di lavoro dell’azienda, ad un progetto che ha
condotto allo sviluppo e all’applicazione del Toolkit in questione, integrato al contesto del
cliente che ne ha richiesto la progettazione. Il progetto, infatti, nasce dalla richiesta
specifica del cliente di condurre un’analisi del rischio informatico dell’azienda.
Le principali fasi affrontate nel corso del progetto sono:
• Analisi delle principali best practices e linee guida di riferimento per la gestione del
rischio informatico.
• Progettazione e implementazione del Toolkit.
• Applicazione del Toolkit per la valutazione del rischio informatico del cliente.
Come piattaforma di sviluppo, su specifica richiesta del cliente, è stata utilizzata Microsoft
Excel. Questo strumento, infatti, risultava essere facilmente adattabile alle specifiche del
contesto del richiedente.
Nel presente elaborato sono stati sviluppati i seguenti capitoli:
• Il panorama della sicurezza informatica: descrizione del contesto attuale della
sicurezza informatica, del crescente numero di incidenti e l’impatto che questi
hanno sulle aziende.
• Principi dell'analisi del rischio cyber: illustrazione dei principi del rischio
informatico come la definizione del concetto di rischio, metodologia e processo di
gestione del rischio e l’utilizzo dei KPI nel processo di valutazione.
Pierfrancesco Bin Università degli Studi di Trieste
5
• Progettazione e sviluppo del Toolkit per la valutazione del rischio
informatico: descrizione dettagliata dei singoli sheet del toolkit e della rispettiva
funzione.
• Use case: utilizzo del Toolkit per la valutazione del livello di rischio: vengono
illustrati i principali risultati dell’analisi del rischio informatico effettuata assieme al
cliente con il toolkit sviluppato.
5
• Progettazione e sviluppo del Toolkit per la valutazione del rischio
informatico: descrizione dettagliata dei singoli sheet del toolkit e della rispettiva
funzione.
• Use case: utilizzo del Toolkit per la valutazione del livello di rischio: vengono
illustrati i principali risultati dell’analisi del rischio informatico effettuata assieme al
cliente con il toolkit sviluppato.
Pierfrancesco Bin Università degli Studi di Trieste
6
2 Il panorama della sicurezza informatica
2.1 Evoluzione delle minacce informatiche
Negli ultimi anni, l’importanza della sicurezza informatica è cresciuta in modo
esponenziale, diventando una preoccupazione concreta per la gran parte delle aziende e
governi mondiali.
La crescente dipendenza delle infrastrutture digitali e l’espansione esponenziale dei
dispositivi interconnessi hanno creato un ambiente maturo e prolifico per diversi tipi di
minacce informatiche. Gli attacchi informatici, infatti, stanno aumentando sia in frequenza
che in complessità, colpendo settori critici come la sanità, la finanza e l’energia
[1]
. Anche
l’ENISA, l’European Union Agency for Cyber Security
[2]
, ha sottolineato l’importanza di
adottare quadri di sicurezza informatica affidabili, osservando che il panorama globale
delle minacce informatiche si sta evolvendo a un ritmo senza precedenti, guidato da fattori
quali il numero crescente di vulnerabilità e quelle che sono definite come minacce
informatiche avanzate e persistenti.
Tra i più pericolosi si annoverano gli attacchi ransomware, in cui i Threat Actor
1
criptano i
dati della vittima e chiedono un riscatto per la loro restituzione, e gli attacchi di Phishing,
che utilizzano sofisticate tecniche di Social Engineering per ingannare le persone e, per
esempio, indurle a fornire informazioni sensibili o ad effettuare pagamenti fraudolenti.
Oltre a questi devono essere menzionati anche gli attacchi Distributed Denial of Service
(DDoS), i quali rendono inaccessibile un servizio sovraccaricandolo con un elevato
numero di richieste simultanee. Questi attacchi si sono rilevati particolarmente pericolosi,
in quanto si traducono spesso in significative perdite finanziarie e violazione dei dati. In
Figura 1 viene illustrata la ripartizione degli incidenti informatici per tipo di minaccia
1
Threat Actor: individui, riferiti nel testo anche come “attaccanti”, che cercano di sfruttare vulnerabilità
all’interno dell’ecosistema IT per intenti malevoli e illeciti.
6
2 Il panorama della sicurezza informatica
2.1 Evoluzione delle minacce informatiche
Negli ultimi anni, l’importanza della sicurezza informatica è cresciuta in modo
esponenziale, diventando una preoccupazione concreta per la gran parte delle aziende e
governi mondiali.
La crescente dipendenza delle infrastrutture digitali e l’espansione esponenziale dei
dispositivi interconnessi hanno creato un ambiente maturo e prolifico per diversi tipi di
minacce informatiche. Gli attacchi informatici, infatti, stanno aumentando sia in frequenza
che in complessità, colpendo settori critici come la sanità, la finanza e l’energia
[1]
. Anche
l’ENISA, l’European Union Agency for Cyber Security
[2]
, ha sottolineato l’importanza di
adottare quadri di sicurezza informatica affidabili, osservando che il panorama globale
delle minacce informatiche si sta evolvendo a un ritmo senza precedenti, guidato da fattori
quali il numero crescente di vulnerabilità e quelle che sono definite come minacce
informatiche avanzate e persistenti.
Tra i più pericolosi si annoverano gli attacchi ransomware, in cui i Threat Actor
1
criptano i
dati della vittima e chiedono un riscatto per la loro restituzione, e gli attacchi di Phishing,
che utilizzano sofisticate tecniche di Social Engineering per ingannare le persone e, per
esempio, indurle a fornire informazioni sensibili o ad effettuare pagamenti fraudolenti.
Oltre a questi devono essere menzionati anche gli attacchi Distributed Denial of Service
(DDoS), i quali rendono inaccessibile un servizio sovraccaricandolo con un elevato
numero di richieste simultanee. Questi attacchi si sono rilevati particolarmente pericolosi,
in quanto si traducono spesso in significative perdite finanziarie e violazione dei dati. In
Figura 1 viene illustrata la ripartizione degli incidenti informatici per tipo di minaccia
1
Threat Actor: individui, riferiti nel testo anche come “attaccanti”, che cercano di sfruttare vulnerabilità
all’interno dell’ecosistema IT per intenti malevoli e illeciti.
Pierfrancesco Bin Università degli Studi di Trieste
7
registrati nel corso dell’ultimo anno, secondo quanto riportato all’interno del report “Threat
Landscape 2024” dell’ENISA
[2]
.
Figura 1 - Ripartizione degli incidenti analizzati per tipo di minaccia (luglio 2023 - giugno 2024)
Inoltre, l’insorgere della pandemia del Covid-19 ha costretto molti settori a adottare
repentinamente pratiche di lavoro da remoto, spesso senza essere pienamente preparati
alle sfide associate alla Cyber Security. Negli ultimi anni, infatti, gli ambienti di lavoro ibridi
sono diventati un obiettivo primario degli attacchi cyber a causa delle difese della rete
domestica e del maggiore affidamento ai servizi cloud, spesso non adeguatamente
protetti.
2.2 L’importanza della gestione del rischio informatico
In questo contesto, la comprensione e la mitigazione del rischio informatico sono diventate
una priorità strategica essenziale per le imprese di tutto il mondo. La crescente
complessità delle minacce informatiche richiede un approccio proattivo e strutturato alla
gestione del rischio.
7
registrati nel corso dell’ultimo anno, secondo quanto riportato all’interno del report “Threat
Landscape 2024” dell’ENISA
[2]
.
Figura 1 - Ripartizione degli incidenti analizzati per tipo di minaccia (luglio 2023 - giugno 2024)
Inoltre, l’insorgere della pandemia del Covid-19 ha costretto molti settori a adottare
repentinamente pratiche di lavoro da remoto, spesso senza essere pienamente preparati
alle sfide associate alla Cyber Security. Negli ultimi anni, infatti, gli ambienti di lavoro ibridi
sono diventati un obiettivo primario degli attacchi cyber a causa delle difese della rete
domestica e del maggiore affidamento ai servizi cloud, spesso non adeguatamente
protetti.
2.2 L’importanza della gestione del rischio informatico
In questo contesto, la comprensione e la mitigazione del rischio informatico sono diventate
una priorità strategica essenziale per le imprese di tutto il mondo. La crescente
complessità delle minacce informatiche richiede un approccio proattivo e strutturato alla
gestione del rischio.
Pierfrancesco Bin Università degli Studi di Trieste
8
In tale contesto, un’efficace gestione del rischio informatico è fondamentale per affrontare
le minacce sempre più frequenti che colpiscono le aziende di tutti i settori capaci di
determinare danni significativi come perdite finanziarie, interruzioni operative o danni alla
reputazione. La capacità di gestire il rischio informatico in modo strutturato, non solo aiuta
a prevenire tali eventi, ma assicura anche il contenimento degli impatti derivanti da teli
eventi.
La gestione del rischio implica l’identificazione, la valutazione e la prioritizzazione dei
rischi risultanti, al fine di implementare strategie che riducano la probabilità o l’impatto di
potenziali rischi. Le organizzazioni possono strutturare il processo di gestione del rischio
adottando framework consolidati come quelli proposti dall’International Organization for
Standardization (ISO) e dal National Institute of Standards and Technology (NIST),
allineando le proprie politiche di sicurezza interne alla mission aziendale. Questi approcci
forniscono alle aziende gli strumenti per anticipare, monitorare e rispondere
proattivamente alle minacce, riducendo al minimo la vulnerabilità.
Inoltre, in un ambiente normativo sempre più rigoroso, le organizzazioni sono tenute a
dimostrare solide pratiche di risk management per conformarsi alle normative in vigore,
come per esempio la direttiva NIS2
[3]
o il regolamento DORA
[4]
. Il primo impone requisiti
più stringenti per la gestione del rischio informatico ad una più vasta gamma di ambiti
rispetto alla direttiva precedente, includendo, tra gli altri, settori come quello dell’energia,
dei trasporti e della salute. Il secondo, invece, si focalizza in maniera specifica sul settore
finanziario.
La mancata gestione di questi rischi non solo espone l’organizzazione a potenziali
violazioni della sicurezza, ma comporta anche possibili significative sanzioni
amministrative. Di conseguenza, una gestione strutturata del rischio informatico non è
solo una misura difensiva, ma un fattore critico per garantire la stabilità aziendale a lungo
termine.
8
In tale contesto, un’efficace gestione del rischio informatico è fondamentale per affrontare
le minacce sempre più frequenti che colpiscono le aziende di tutti i settori capaci di
determinare danni significativi come perdite finanziarie, interruzioni operative o danni alla
reputazione. La capacità di gestire il rischio informatico in modo strutturato, non solo aiuta
a prevenire tali eventi, ma assicura anche il contenimento degli impatti derivanti da teli
eventi.
La gestione del rischio implica l’identificazione, la valutazione e la prioritizzazione dei
rischi risultanti, al fine di implementare strategie che riducano la probabilità o l’impatto di
potenziali rischi. Le organizzazioni possono strutturare il processo di gestione del rischio
adottando framework consolidati come quelli proposti dall’International Organization for
Standardization (ISO) e dal National Institute of Standards and Technology (NIST),
allineando le proprie politiche di sicurezza interne alla mission aziendale. Questi approcci
forniscono alle aziende gli strumenti per anticipare, monitorare e rispondere
proattivamente alle minacce, riducendo al minimo la vulnerabilità.
Inoltre, in un ambiente normativo sempre più rigoroso, le organizzazioni sono tenute a
dimostrare solide pratiche di risk management per conformarsi alle normative in vigore,
come per esempio la direttiva NIS2
[3]
o il regolamento DORA
[4]
. Il primo impone requisiti
più stringenti per la gestione del rischio informatico ad una più vasta gamma di ambiti
rispetto alla direttiva precedente, includendo, tra gli altri, settori come quello dell’energia,
dei trasporti e della salute. Il secondo, invece, si focalizza in maniera specifica sul settore
finanziario.
La mancata gestione di questi rischi non solo espone l’organizzazione a potenziali
violazioni della sicurezza, ma comporta anche possibili significative sanzioni
amministrative. Di conseguenza, una gestione strutturata del rischio informatico non è
solo una misura difensiva, ma un fattore critico per garantire la stabilità aziendale a lungo
termine.
Pierfrancesco Bin Università degli Studi di Trieste
9
2.3 Incidenti rilevanti in ambito Cyber
A dimostrazione di quanto descritto, negli ultimi anni si è assistito a una serie di incidenti
informatici di alto profilo che hanno evidenziato la crescente gravità e impatto delle
violazioni della sicurezza informatica. Un caso noto è la violazione dei dati di Marriot
International
[5]
, avvenuta per 4 anni, a partire dal 2014, ma scoperta solamente nel 2018.
Questa fuga di dati ha esposto i dati personali di oltre 500 milioni di ospiti, comprese
informazioni sensibili come i numeri di passaporto e i dati delle carte di credito. L’incidente
non ha solo provocato danni alla reputazione, ma ha anche comportato una sanzione di
circa 20 milioni di euro imposta dall’Information Commissioner’s Office (ICO) del Regno
Unito ai sensi del General Data Protection Regulation (GDPR).
Un altro caso significativo è stato l’attacco ransomware al Colonial Pipeline nel maggio
2021
[6]
, in cui uno dei più grandi oleodotti degli Stati Uniti è stato costretto a interrompere
le operazioni a causa di un cyberattacco che ha criptato i suoi sistemi informatici.
L’attacco, attribuito al gruppo di ransomware DarkSide, ha causato un’interruzione diffusa
delle attività, causando carenza di carburante negli Stati Uniti orientali e costringendo
l’azienda a pagare un riscatto di circa cinque milioni di dollari per riprendere il controllo
dei propri sistemi. L’incidente ha evidenziato la vulnerabilità delle infrastrutture critiche agli
incidenti cyber e ha sollevato preoccupazioni sul potenziale di futuri attacchi ai servizi
essenziali.
Secondo il rapporto Cost of a Data Breach del 2023 di IBM
[7]
, il costo medio di una
violazione di dati a livello globale ha raggiunto una cifra record superando i 4 milioni di
euro, segnando un aumento del 15% negli ultimi tre anni. Il rapporto sottolinea che settori
come la sanità e i servizi finanziari sopportano l’onere economico più elevato, con le
violazioni sanitarie che costano in media più di 10 milioni di euro per incidente.
Inoltre, come illustrato in Figura 2, secondo il “Rapporto Clusit 2024 sulla sicurezza ICT
in Italia”
[1]
, il numero di attacchi Cyber è in forte aumento anche in Italia, dove il dato del
2023 supera nettamente la linea di tendenza degli ultimi anni, basti notare che quasi il
50% degli incidenti registrati dal 2019 ad oggi sono avvenuti nel corso dell’ultimo anno.
9
2.3 Incidenti rilevanti in ambito Cyber
A dimostrazione di quanto descritto, negli ultimi anni si è assistito a una serie di incidenti
informatici di alto profilo che hanno evidenziato la crescente gravità e impatto delle
violazioni della sicurezza informatica. Un caso noto è la violazione dei dati di Marriot
International
[5]
, avvenuta per 4 anni, a partire dal 2014, ma scoperta solamente nel 2018.
Questa fuga di dati ha esposto i dati personali di oltre 500 milioni di ospiti, comprese
informazioni sensibili come i numeri di passaporto e i dati delle carte di credito. L’incidente
non ha solo provocato danni alla reputazione, ma ha anche comportato una sanzione di
circa 20 milioni di euro imposta dall’Information Commissioner’s Office (ICO) del Regno
Unito ai sensi del General Data Protection Regulation (GDPR).
Un altro caso significativo è stato l’attacco ransomware al Colonial Pipeline nel maggio
2021
[6]
, in cui uno dei più grandi oleodotti degli Stati Uniti è stato costretto a interrompere
le operazioni a causa di un cyberattacco che ha criptato i suoi sistemi informatici.
L’attacco, attribuito al gruppo di ransomware DarkSide, ha causato un’interruzione diffusa
delle attività, causando carenza di carburante negli Stati Uniti orientali e costringendo
l’azienda a pagare un riscatto di circa cinque milioni di dollari per riprendere il controllo
dei propri sistemi. L’incidente ha evidenziato la vulnerabilità delle infrastrutture critiche agli
incidenti cyber e ha sollevato preoccupazioni sul potenziale di futuri attacchi ai servizi
essenziali.
Secondo il rapporto Cost of a Data Breach del 2023 di IBM
[7]
, il costo medio di una
violazione di dati a livello globale ha raggiunto una cifra record superando i 4 milioni di
euro, segnando un aumento del 15% negli ultimi tre anni. Il rapporto sottolinea che settori
come la sanità e i servizi finanziari sopportano l’onere economico più elevato, con le
violazioni sanitarie che costano in media più di 10 milioni di euro per incidente.
Inoltre, come illustrato in Figura 2, secondo il “Rapporto Clusit 2024 sulla sicurezza ICT
in Italia”
[1]
, il numero di attacchi Cyber è in forte aumento anche in Italia, dove il dato del
2023 supera nettamente la linea di tendenza degli ultimi anni, basti notare che quasi il
50% degli incidenti registrati dal 2019 ad oggi sono avvenuti nel corso dell’ultimo anno.
Pierfrancesco Bin Università degli Studi di Trieste
10
Figura 2 - Distribuzione dei cyber attacchi in Italia nel periodo 2019-2023
Questi incidenti sono solo alcuni dei pochissimi casi che sono avvenuti, avvengono e
avverranno sempre di più in futuro qualora le aziende non si adeguino a sufficienza per
difendersi contro le minacce informatiche. I danni finanziari, legali e reputazionali subiti
dalle aziende colpite da questi attacchi sottolineano la necessità di strategie di gestione
del rischio proattive ed efficaci.
10
Figura 2 - Distribuzione dei cyber attacchi in Italia nel periodo 2019-2023
Questi incidenti sono solo alcuni dei pochissimi casi che sono avvenuti, avvengono e
avverranno sempre di più in futuro qualora le aziende non si adeguino a sufficienza per
difendersi contro le minacce informatiche. I danni finanziari, legali e reputazionali subiti
dalle aziende colpite da questi attacchi sottolineano la necessità di strategie di gestione
del rischio proattive ed efficaci.
Pierfrancesco Bin Università degli Studi di Trieste
11
3 Principi dell’analisi del rischio cyber
3.1 Definizione del rischio: probabilità e impatto
Nel campo della Cyber Security, il rischio può essere inteso come il potenziale di subire
un danno o una perdita che può derivare dal verificarsi di un incidente informatico. In
termini più precisi, il rischio è definito come la combinazione di due fattori chiave: la
probabilità che un particolare evento si verifichi e l’impatto (o conseguenza) che
quell’evento causerebbe. Il concetto di rischio, infatti, può essere espresso sotto forma di
equazione:
????????????��ℎ??????�=??????�����??????�??????�à∗??????������
La probabilità di un evento si riferisce alle possibilità che l’evento si verifichi entro un certo
periodo di tempo oppure in determinate circostanze. Nel contesto del rischio informatico,
ciò può comportare la stima delle probabilità di un attacco informatico sulla base di diversi
fattori che possono essere presi in considerazione. Tra questi, si possono analizzare i
diversi tipi di minacce cyber, lo storico degli incidenti e l’attuale maturità aziendale rispetto
ad un determinato evento o minaccia.
L’impatto, invece, si riferisce all’entità delle conseguenze che l’azienda dovrebbe
affrontare nel caso in cui l’evento si verificasse. Per calcolare l’impatto è possibile
condurre una Business Impact Analysis (BIA), che aiuta a stabilire dei criteri per cui
associare ad un certo evento un impatto di una certa entità. La BIA solitamente analizza
gli impatti prendendo in considerazione tre criteri differenti, ossia: riservatezza, integrità e
disponibilità. L’analisi viene condotta, infatti, ipotizzando gli impatti in caso di perdita di
riservatezza e di integrità dei dati o in caso di indisponibilità di un sistema allo scorrere
del tempo.
È essenziale evidenziare che i due aspetti che determinano il livello di rischio, quali
appunto probabilità e impatto, sono soggetti a diversi gradi di incertezza e valutazioni
soggettive. Di conseguenza, uno degli obiettivi principali della gestione del rischio è
11
3 Principi dell’analisi del rischio cyber
3.1 Definizione del rischio: probabilità e impatto
Nel campo della Cyber Security, il rischio può essere inteso come il potenziale di subire
un danno o una perdita che può derivare dal verificarsi di un incidente informatico. In
termini più precisi, il rischio è definito come la combinazione di due fattori chiave: la
probabilità che un particolare evento si verifichi e l’impatto (o conseguenza) che
quell’evento causerebbe. Il concetto di rischio, infatti, può essere espresso sotto forma di
equazione:
????????????��ℎ??????�=??????�����??????�??????�à∗??????������
La probabilità di un evento si riferisce alle possibilità che l’evento si verifichi entro un certo
periodo di tempo oppure in determinate circostanze. Nel contesto del rischio informatico,
ciò può comportare la stima delle probabilità di un attacco informatico sulla base di diversi
fattori che possono essere presi in considerazione. Tra questi, si possono analizzare i
diversi tipi di minacce cyber, lo storico degli incidenti e l’attuale maturità aziendale rispetto
ad un determinato evento o minaccia.
L’impatto, invece, si riferisce all’entità delle conseguenze che l’azienda dovrebbe
affrontare nel caso in cui l’evento si verificasse. Per calcolare l’impatto è possibile
condurre una Business Impact Analysis (BIA), che aiuta a stabilire dei criteri per cui
associare ad un certo evento un impatto di una certa entità. La BIA solitamente analizza
gli impatti prendendo in considerazione tre criteri differenti, ossia: riservatezza, integrità e
disponibilità. L’analisi viene condotta, infatti, ipotizzando gli impatti in caso di perdita di
riservatezza e di integrità dei dati o in caso di indisponibilità di un sistema allo scorrere
del tempo.
È essenziale evidenziare che i due aspetti che determinano il livello di rischio, quali
appunto probabilità e impatto, sono soggetti a diversi gradi di incertezza e valutazioni
soggettive. Di conseguenza, uno degli obiettivi principali della gestione del rischio è
Pierfrancesco Bin Università degli Studi di Trieste
12
proprio quella di ridurre l’incertezza in fase di valutazione, identificando adeguatamente i
rischi potenziali e individuando le misure volte a mitigare o eliminare i rischi più rilevanti.
Oltre a questi concetti basilari, è fondamentale considerare all’interno dell’analisi due tipi
di rischio: inerente e residuale.
Il rischio inerente rappresenta il livello di rischio a cui si è esposti prima di applicare
qualsiasi misura di controllo o mitigazione. Esso evidenzia l’impatto in caso di assenza
delle adeguate contromisure.
Il rischio residuale, invece, è il livello risultante dopo l’implementazione delle misure di
sicurezza. Sebbene questi interventi possano ridurlo significativamente, una certa
esposizione rimane quasi sempre presente. Pertanto, il rischio residuale rappresenta la
porzione di rischio che deve essere scelto se accettare, mitigare ulteriormente o trasferire,
a seconda dei casi specifici. Inoltre, questo permette di determinare l’urgenza e la priorità
delle misure da implementare al fine di mitigare eventuali vulnerabilità presenti.
3.2 Quantificazione e qualificazione del rischio
Per effettuare la valutazione del rischio informatico esistono diversi approcci distinti.
All’interno della norma ISO 27005
[8]
, dedicata alla gestione dei rischi informatici, infatti,
sono descritti sia metodi qualitativi che quantitativi.
L’analisi qualitativa del rischio prevede la valutazione e la classificazione dei rischi in base
alla probabilità e al loro impatto utilizzando delle scale di valutazione descrittive. Questo
metodo viene spesso utilizzato quando non è semplice reperire dei dati utili all’analisi,
rendendo il processo più accessibile e veloce a diverse aziende. L’obiettivo è quello di
permettere ugualmente l’identificazione dei rischi più critici, consentendo alle aziende di
indirizzare le loro decisioni in base alle risultanze dell’analisi. Tuttavia, l’analisi qualitativa
è basata sul giudizio e sulla percezione degli esperti piuttosto che su dati misurabili, il che
può talvolta portare a incongruenze nella valutazione.
12
proprio quella di ridurre l’incertezza in fase di valutazione, identificando adeguatamente i
rischi potenziali e individuando le misure volte a mitigare o eliminare i rischi più rilevanti.
Oltre a questi concetti basilari, è fondamentale considerare all’interno dell’analisi due tipi
di rischio: inerente e residuale.
Il rischio inerente rappresenta il livello di rischio a cui si è esposti prima di applicare
qualsiasi misura di controllo o mitigazione. Esso evidenzia l’impatto in caso di assenza
delle adeguate contromisure.
Il rischio residuale, invece, è il livello risultante dopo l’implementazione delle misure di
sicurezza. Sebbene questi interventi possano ridurlo significativamente, una certa
esposizione rimane quasi sempre presente. Pertanto, il rischio residuale rappresenta la
porzione di rischio che deve essere scelto se accettare, mitigare ulteriormente o trasferire,
a seconda dei casi specifici. Inoltre, questo permette di determinare l’urgenza e la priorità
delle misure da implementare al fine di mitigare eventuali vulnerabilità presenti.
3.2 Quantificazione e qualificazione del rischio
Per effettuare la valutazione del rischio informatico esistono diversi approcci distinti.
All’interno della norma ISO 27005
[8]
, dedicata alla gestione dei rischi informatici, infatti,
sono descritti sia metodi qualitativi che quantitativi.
L’analisi qualitativa del rischio prevede la valutazione e la classificazione dei rischi in base
alla probabilità e al loro impatto utilizzando delle scale di valutazione descrittive. Questo
metodo viene spesso utilizzato quando non è semplice reperire dei dati utili all’analisi,
rendendo il processo più accessibile e veloce a diverse aziende. L’obiettivo è quello di
permettere ugualmente l’identificazione dei rischi più critici, consentendo alle aziende di
indirizzare le loro decisioni in base alle risultanze dell’analisi. Tuttavia, l’analisi qualitativa
è basata sul giudizio e sulla percezione degli esperti piuttosto che su dati misurabili, il che
può talvolta portare a incongruenze nella valutazione.
Pierfrancesco Bin Università degli Studi di Trieste
13
L’analisi quantitativa del rischio, invece, cerca di assegnare un valore numerico sia alla
probabilità che un rischio si verifichi sia al suo impatto potenziale. Questo metodo utilizza
dati, record storici o modelli statistici per fornire una valutazione quantificabile del rischio
tramite dei parametri numerici. L’analisi quantitativa comporta in genere il calcolo della
perdita attesa combinando la probabilità e l’impatto di ciascun rischio. Ad esempio,
un’azienda potrebbe utilizzare i dati di incidenti precedenti per stimare le probabilità di un
attacco informatico e calcolare la perdita attesa in base al valore delle risorse colpite.
In conclusione, entrambi i metodi sono strumenti praticamente utilizzati per la gestione del
rischio e, in diversi casi, come verrà mostrato anche in seguito, si può utilizzare una
combinazione di entrambi gli approcci. I metodi qualitativi sono ottimali per l’identificazione
iniziale e la definizione delle priorità dei rischi, mentre quelli quantitativi forniscono
valutazioni basate sui dati, offrendo una diversa prospettiva utile per supportare le
decisioni sui rischi ad alta priorità.
Oltre alle metodologie già citate, come quelle della ISO 27005, esistono diversi altri
approcci come il modello FAIR (Factor Analysis of Information Risk) o le simulazioni di
Monte Carlo. Questi sono solo due dei metodi alternativi che stanno emergendo.
Il FAIR fornisce un quadro dettagliato per l’analisi e la quantificazione del rischio in termini
finanziari, traducendo i rischi informatici tecnici in linguaggio commerciale, rendendo
l’argomento più comprensibile e facilmente trattabile dal Top Level Management, aiutando
a comprendere meglio le minacce informatiche.
Le simulazioni di Monte Carlo sono un altro strumento sofisticato utilizzato nell’analisi del
rischio. Questo metodo utilizza un campionamento casuale ripetuto per simulare un’ampia
gamma di risultati potenziali, fornendo una distribuzione probabilistica dei livelli di rischio.
Eseguendo migliaia di simulazioni, le organizzazioni possono ottenere una visione più
approfondita della potenziale gamma di perdite o danni che potrebbero derivare da
specifici rischi informatici. Sebbene queste simulazioni richiedano notevoli risorse di dati
e di calcolo, sono più adatti in scenari in cui l’incertezza è elevata ed è necessaria
un’analisi approfondita.
13
L’analisi quantitativa del rischio, invece, cerca di assegnare un valore numerico sia alla
probabilità che un rischio si verifichi sia al suo impatto potenziale. Questo metodo utilizza
dati, record storici o modelli statistici per fornire una valutazione quantificabile del rischio
tramite dei parametri numerici. L’analisi quantitativa comporta in genere il calcolo della
perdita attesa combinando la probabilità e l’impatto di ciascun rischio. Ad esempio,
un’azienda potrebbe utilizzare i dati di incidenti precedenti per stimare le probabilità di un
attacco informatico e calcolare la perdita attesa in base al valore delle risorse colpite.
In conclusione, entrambi i metodi sono strumenti praticamente utilizzati per la gestione del
rischio e, in diversi casi, come verrà mostrato anche in seguito, si può utilizzare una
combinazione di entrambi gli approcci. I metodi qualitativi sono ottimali per l’identificazione
iniziale e la definizione delle priorità dei rischi, mentre quelli quantitativi forniscono
valutazioni basate sui dati, offrendo una diversa prospettiva utile per supportare le
decisioni sui rischi ad alta priorità.
Oltre alle metodologie già citate, come quelle della ISO 27005, esistono diversi altri
approcci come il modello FAIR (Factor Analysis of Information Risk) o le simulazioni di
Monte Carlo. Questi sono solo due dei metodi alternativi che stanno emergendo.
Il FAIR fornisce un quadro dettagliato per l’analisi e la quantificazione del rischio in termini
finanziari, traducendo i rischi informatici tecnici in linguaggio commerciale, rendendo
l’argomento più comprensibile e facilmente trattabile dal Top Level Management, aiutando
a comprendere meglio le minacce informatiche.
Le simulazioni di Monte Carlo sono un altro strumento sofisticato utilizzato nell’analisi del
rischio. Questo metodo utilizza un campionamento casuale ripetuto per simulare un’ampia
gamma di risultati potenziali, fornendo una distribuzione probabilistica dei livelli di rischio.
Eseguendo migliaia di simulazioni, le organizzazioni possono ottenere una visione più
approfondita della potenziale gamma di perdite o danni che potrebbero derivare da
specifici rischi informatici. Sebbene queste simulazioni richiedano notevoli risorse di dati
e di calcolo, sono più adatti in scenari in cui l’incertezza è elevata ed è necessaria
un’analisi approfondita.
Pierfrancesco Bin Università degli Studi di Trieste
14
3.3 Processo di gestione del rischio
Oltre alle diverse metodologie e approcci per l’analisi del rischio, è necessario
concentrarsi sul processo generale di gestione del rischio descritto in maniera strutturata
all’interno della norma ISO 31000
[9]
. Questo standard delinea un approccio sistematico e
strutturato all’interno processo di gestione del rischio, descrivendo le diverse fasi:
Figura 3 - Processo di gestione del rischio della ISO 31000
1. Ambito, contesto e criteri: questa fase iniziale garantisce che il processo di gestione
del rischio sia allineato al perimetro dell’organizzazione.
● Ambito: definizione distinta dei confini del processo (un processo specifico,
un’area aziendale o dell’intera organizzazione).
● Contesto: comprensione dei fattori interni ed esterni che possono influenzare il
processo (p.e. struttura organizzativa, requisiti normativi, etc.).
● Criteri: definizione dei parametri di valutazione del rischio.
14
3.3 Processo di gestione del rischio
Oltre alle diverse metodologie e approcci per l’analisi del rischio, è necessario
concentrarsi sul processo generale di gestione del rischio descritto in maniera strutturata
all’interno della norma ISO 31000
[9]
. Questo standard delinea un approccio sistematico e
strutturato all’interno processo di gestione del rischio, descrivendo le diverse fasi:
Figura 3 - Processo di gestione del rischio della ISO 31000
1. Ambito, contesto e criteri: questa fase iniziale garantisce che il processo di gestione
del rischio sia allineato al perimetro dell’organizzazione.
● Ambito: definizione distinta dei confini del processo (un processo specifico,
un’area aziendale o dell’intera organizzazione).
● Contesto: comprensione dei fattori interni ed esterni che possono influenzare il
processo (p.e. struttura organizzativa, requisiti normativi, etc.).
● Criteri: definizione dei parametri di valutazione del rischio.
Pierfrancesco Bin Università degli Studi di Trieste
15
2. Valutazione del rischio: la fase di valutazione consiste in tre componenti
interconnesse: identificazione, analisi e valutazione. L’insieme di queste fasi
costituisce il nucleo del processo di gestione del rischio, permettendo di prioritizzare i
rischi a seconda delle valutazioni effettuate.
● Identificazione del rischio: identificazione di tutti i rischi potenziali, derivanti da
vulnerabilità interne o minacce esterne, che potrebbero avere un impatto sui
principali processi e asset aziendali.
● Analisi dei rischi: dopo averli identificati, viene effettuata l’analisi per
comprendere la probabilità di accadimento e l’impatto in caso di
concretizzazione. Come già osservato, l’analisi può essere svolta utilizzando
metodi differenti.
● Valutazione del rischio: classificazione del rischio derivante dai risultati
dell’analisi in base al potenziale di danno che potrebbero causare.
3. Trattamento del rischio: valutati e classificati i rischi, la fase seguente è il trattamento
dei rischi.
● Prevenzione del rischio: modifica sostanziale di sistemi o processi per evitare
che possa verificarsi.
● Riduzione del rischio: implementazione di misure correttive per ridurre al minimo
le probabilità o l’impatto del rischio.
● Trasferimento del rischio: trasferimento del rischio ad una terza parte.
● Accettazione del rischio: il rischio rientra nei livelli di tolleranza.
4. Comunicazione e consultazione: durante tutto il processo tutte le parti interessate
devono essere informate e consultate sui rischi, metodi di analisi e azioni di rimedio.
5. Monitoraggio e revisione: deve essere periodicamente monitorato il livello di rischio
ed eventualmente aggiornate le valutazioni del livello di rischio e, se necessario, le
rispettive azioni di rimedio. Questo consente al processo di rimanere efficace nel
tempo
15
2. Valutazione del rischio: la fase di valutazione consiste in tre componenti
interconnesse: identificazione, analisi e valutazione. L’insieme di queste fasi
costituisce il nucleo del processo di gestione del rischio, permettendo di prioritizzare i
rischi a seconda delle valutazioni effettuate.
● Identificazione del rischio: identificazione di tutti i rischi potenziali, derivanti da
vulnerabilità interne o minacce esterne, che potrebbero avere un impatto sui
principali processi e asset aziendali.
● Analisi dei rischi: dopo averli identificati, viene effettuata l’analisi per
comprendere la probabilità di accadimento e l’impatto in caso di
concretizzazione. Come già osservato, l’analisi può essere svolta utilizzando
metodi differenti.
● Valutazione del rischio: classificazione del rischio derivante dai risultati
dell’analisi in base al potenziale di danno che potrebbero causare.
3. Trattamento del rischio: valutati e classificati i rischi, la fase seguente è il trattamento
dei rischi.
● Prevenzione del rischio: modifica sostanziale di sistemi o processi per evitare
che possa verificarsi.
● Riduzione del rischio: implementazione di misure correttive per ridurre al minimo
le probabilità o l’impatto del rischio.
● Trasferimento del rischio: trasferimento del rischio ad una terza parte.
● Accettazione del rischio: il rischio rientra nei livelli di tolleranza.
4. Comunicazione e consultazione: durante tutto il processo tutte le parti interessate
devono essere informate e consultate sui rischi, metodi di analisi e azioni di rimedio.
5. Monitoraggio e revisione: deve essere periodicamente monitorato il livello di rischio
ed eventualmente aggiornate le valutazioni del livello di rischio e, se necessario, le
rispettive azioni di rimedio. Questo consente al processo di rimanere efficace nel
tempo
Pierfrancesco Bin Università degli Studi di Trieste
16
6. Registrazione e reporting: la documentazione garantisce che i processi e le
valutazioni del rischio siano dettagliati e consultabili dai principali referenti aziendali.
La comunicazione, invece, permette di integrare l’analisi nel più ampio quadro di
governance dell’organizzazione.
Aderendo a questo processo strutturato le organizzazioni possono non solo identificare e
affrontare i rischi potenziali, ma anche integrare queste attività nei loro obiettivi strategici
più ampi. Permette, inoltre, che la gestione del rischio rimanga una funzione dinamica in
grado di adattarsi alle continue evoluzioni del mondo moderno. Tutto ciò comporta una
preparazione adeguata nei confronti delle possibili minacce e una diminuzione di
incertezza in un panorama di rischi molto vasto.
3.4 Metodologia dell’analisi del rischio
La gestione del rischio è guidata da standard riconosciuti a livello internazionale, tra questi
la norma ISO 31000
[9]
rappresenta il quadro generale per la valutazione del rischio in tutti
i settori. Questo standard fornisce un approccio completo, sottolineando l’importanza di
identificare, valutare e gestire i rischi in forma sistematica e strategica. Si tratta di una
procedura dinamica e continua, che garantisce alle organizzazioni la capacità di adattarsi
a un panorama di minacce in continua evoluzione. Integrando la gestione del rischio nei
principali processi decisionali, questa norma consente alle aziende di strutturarsi in modo
da poter affrontare i diversi scenari di rischio possibili.
Nel contesto specifico della Cyber Security, standard come ISO/IEC 27001
[10]
e ISO/IEC
27005
integrano la ISO 31000 fornendo delle linee guida adatte al trattamento dei rischi
della sicurezza informatica.
Questi standard rappresentano solo alcuni dei numerosi framework che, nel loro insieme,
costituiscono una base sempre più strutturata e completa per una gestione efficace del
rischio.
16
6. Registrazione e reporting: la documentazione garantisce che i processi e le
valutazioni del rischio siano dettagliati e consultabili dai principali referenti aziendali.
La comunicazione, invece, permette di integrare l’analisi nel più ampio quadro di
governance dell’organizzazione.
Aderendo a questo processo strutturato le organizzazioni possono non solo identificare e
affrontare i rischi potenziali, ma anche integrare queste attività nei loro obiettivi strategici
più ampi. Permette, inoltre, che la gestione del rischio rimanga una funzione dinamica in
grado di adattarsi alle continue evoluzioni del mondo moderno. Tutto ciò comporta una
preparazione adeguata nei confronti delle possibili minacce e una diminuzione di
incertezza in un panorama di rischi molto vasto.
3.4 Metodologia dell’analisi del rischio
La gestione del rischio è guidata da standard riconosciuti a livello internazionale, tra questi
la norma ISO 31000
[9]
rappresenta il quadro generale per la valutazione del rischio in tutti
i settori. Questo standard fornisce un approccio completo, sottolineando l’importanza di
identificare, valutare e gestire i rischi in forma sistematica e strategica. Si tratta di una
procedura dinamica e continua, che garantisce alle organizzazioni la capacità di adattarsi
a un panorama di minacce in continua evoluzione. Integrando la gestione del rischio nei
principali processi decisionali, questa norma consente alle aziende di strutturarsi in modo
da poter affrontare i diversi scenari di rischio possibili.
Nel contesto specifico della Cyber Security, standard come ISO/IEC 27001
[10]
e ISO/IEC
27005
integrano la ISO 31000 fornendo delle linee guida adatte al trattamento dei rischi
della sicurezza informatica.
Questi standard rappresentano solo alcuni dei numerosi framework che, nel loro insieme,
costituiscono una base sempre più strutturata e completa per una gestione efficace del
rischio.
Pierfrancesco Bin Università degli Studi di Trieste
17
Lo standard ISO 27005 consente l’uso di diversi approcci di analisi del rischio, tra cui
metodi basati sugli asset e sulle minacce. Entrambi offrono una prospettiva distinta per
l’identificazione e la mitigazione dei potenziali rischi per la sicurezza.
L’approccio basato sugli asset si concentra sull’identificazione degli asset critici di
un’organizzazione, come dati, sistemi e infrastrutture, e sull’analisi dei rischi associati a
ciascuno di essi. Questo metodo è particolarmente efficace per le organizzazioni che
prediligono dare priorità alle specifiche risorse più preziose. Valutando l’importanza dei
singoli asset e determinando come potrebbero essere attaccati o compromessi, le
aziende possono disporre delle misure di sicurezza ad-hoc per proteggere maggiormente
gli asset più critici.
Infine, l’approccio basato sulle minacce esamina le possibili insidie interne ed esterne
all’organizzazione, analizzando il modo in cui diversi Threat-Actor, potrebbero condurre
attacchi informatici. L’accento è quindi posto sulla comprensione degli scenari in cui
queste minacce possano concretizzarsi. Questo approccio offre una prospettiva dinamica,
consentendo alle organizzazioni di reagire alla costante evoluzione del panorama
informatico.
3.5 Integrazione dei Key Performance Indicator
I Key Performance Indicator (KPI) sono un tipo specifico di metrica quantificabile,
progettata per valutare le prestazioni di un’organizzazione, di un progetto o di un processo
rispetto a precisi obiettivi prefissati. All’interno del contesto aziendale, i KPI costituiscono
strumenti di misurazione per monitorare l’efficacia e l’efficienza operativa, consentendo di
assumere decisioni fondate sull’analisi dei dati. Un KPI adeguato deve essere rilevante
per gli obiettivi da raggiungere, misurabile e in grado di restituire un valore misurabile.
I KPI non sono soltanto utili a misurare le prestazioni delle attività operative, ma
permettono anche di monitorare periodicamente l’andamento dell’indicatore, riflettendo
così l’evoluzione dell’oggetto della misurazione.
17
Lo standard ISO 27005 consente l’uso di diversi approcci di analisi del rischio, tra cui
metodi basati sugli asset e sulle minacce. Entrambi offrono una prospettiva distinta per
l’identificazione e la mitigazione dei potenziali rischi per la sicurezza.
L’approccio basato sugli asset si concentra sull’identificazione degli asset critici di
un’organizzazione, come dati, sistemi e infrastrutture, e sull’analisi dei rischi associati a
ciascuno di essi. Questo metodo è particolarmente efficace per le organizzazioni che
prediligono dare priorità alle specifiche risorse più preziose. Valutando l’importanza dei
singoli asset e determinando come potrebbero essere attaccati o compromessi, le
aziende possono disporre delle misure di sicurezza ad-hoc per proteggere maggiormente
gli asset più critici.
Infine, l’approccio basato sulle minacce esamina le possibili insidie interne ed esterne
all’organizzazione, analizzando il modo in cui diversi Threat-Actor, potrebbero condurre
attacchi informatici. L’accento è quindi posto sulla comprensione degli scenari in cui
queste minacce possano concretizzarsi. Questo approccio offre una prospettiva dinamica,
consentendo alle organizzazioni di reagire alla costante evoluzione del panorama
informatico.
3.5 Integrazione dei Key Performance Indicator
I Key Performance Indicator (KPI) sono un tipo specifico di metrica quantificabile,
progettata per valutare le prestazioni di un’organizzazione, di un progetto o di un processo
rispetto a precisi obiettivi prefissati. All’interno del contesto aziendale, i KPI costituiscono
strumenti di misurazione per monitorare l’efficacia e l’efficienza operativa, consentendo di
assumere decisioni fondate sull’analisi dei dati. Un KPI adeguato deve essere rilevante
per gli obiettivi da raggiungere, misurabile e in grado di restituire un valore misurabile.
I KPI non sono soltanto utili a misurare le prestazioni delle attività operative, ma
permettono anche di monitorare periodicamente l’andamento dell’indicatore, riflettendo
così l’evoluzione dell’oggetto della misurazione.
Pierfrancesco Bin Università degli Studi di Trieste
18
In particolare, questi indicatori trovano applicazione anche nell’ambito della sicurezza
informatica. All’interno del NIST SP 800-55
[11]
, infatti, viene descritto il processo di
definizione, raccolta e analisi dei KPI. Anzitutto deve essere determinato lo scopo di ogni
indicatore, quindi cosa deve misurare esattamente e come possono essere usati i relativi
risultati. Per ogni KPI si deve inoltre stabilire quali sono le metriche di valutazione che
rispecchino anche gli obiettivi aziendali. Infine, dopo aver stabilito come devono essere
misurati gli indicatori, devono essere raccolti e analizzati i dati.
I KPI, dunque, offrono un metodo di valutazione quantificabile per monitorare l’efficacia
dei controlli di sicurezza
2
. Questo elemento risulta fondamentale nella gestione del rischio
informatico, dove spesso si tende a fare affidamento su valutazioni qualitative che
possono condurre a incongruenze tra le valutazioni stesse o portare ad una sottostima o
sovrastima di un determinato rischio.
Inoltre, i KPI sono di fatto utili anche per il monitoraggio periodico dell’efficienza dei
controlli, consentendo così di adeguare in modo proattivo le strategie dell’organizzazione.
In questo modo i KPI, non solo contribuiscono in maniera cruciale alla valutazione finale
del rischio, ma indirizzano l’azienda verso un percorso di miglioramento continuo.
2
Controlli di sicurezza: con questo termine viene fatto riferimento ad una misura (detta anche contromisura) o
pratica standardizzata progettata per mitigare specifici rischi informatici.
18
In particolare, questi indicatori trovano applicazione anche nell’ambito della sicurezza
informatica. All’interno del NIST SP 800-55
[11]
, infatti, viene descritto il processo di
definizione, raccolta e analisi dei KPI. Anzitutto deve essere determinato lo scopo di ogni
indicatore, quindi cosa deve misurare esattamente e come possono essere usati i relativi
risultati. Per ogni KPI si deve inoltre stabilire quali sono le metriche di valutazione che
rispecchino anche gli obiettivi aziendali. Infine, dopo aver stabilito come devono essere
misurati gli indicatori, devono essere raccolti e analizzati i dati.
I KPI, dunque, offrono un metodo di valutazione quantificabile per monitorare l’efficacia
dei controlli di sicurezza
2
. Questo elemento risulta fondamentale nella gestione del rischio
informatico, dove spesso si tende a fare affidamento su valutazioni qualitative che
possono condurre a incongruenze tra le valutazioni stesse o portare ad una sottostima o
sovrastima di un determinato rischio.
Inoltre, i KPI sono di fatto utili anche per il monitoraggio periodico dell’efficienza dei
controlli, consentendo così di adeguare in modo proattivo le strategie dell’organizzazione.
In questo modo i KPI, non solo contribuiscono in maniera cruciale alla valutazione finale
del rischio, ma indirizzano l’azienda verso un percorso di miglioramento continuo.
2
Controlli di sicurezza: con questo termine viene fatto riferimento ad una misura (detta anche contromisura) o
pratica standardizzata progettata per mitigare specifici rischi informatici.
Pierfrancesco Bin Università degli Studi di Trieste
19
4 Progettazione e sviluppo del Toolkit per la
valutazione del rischio informatico
4.1 Presentazione del progetto
Durante il periodo di tirocinio in PwC, l’autore ha avuto l’opportunità di collaborare con un
gruppo di lavoro dedicato allo sviluppo di un Toolkit personalizzato per il Cyber Risk
Assessment.
Una prima fase di studio e analisi dei principali standard di riferimento e del contesto
aziendale ha gettato le basi per la definizione strutturata di ambito, contesto e criteri del
Toolkit. Queste componenti preliminari servono a definire i confini delle attività di
valutazione. La definizione dell’ambito consente di definire chiaramente le unità aziendali,
processi o asset da includere nella valutazione. Tale ambito può variare a seconda delle
aree oggetto di analisi, ed è per questo che rappresenta il primo passo da compiere.
Altrettanto cruciale è la definizione del contesto atta a identificare i fattori interni ed esterni
che possono influenzare il panorama dei rischi informatici. A livello interno, si considerano
fattori come le capacità IT, la struttura organizzativa e le risorse disponibili. All’esterno si
considerano fattori come i requisiti normativi, le condizioni di mercato e le minacce
emergenti. Analizzando sistematicamente il contesto è possibile collegare l’analisi da
effettuare alla realtà dell’azienda, rendendo questo esercizio meno teorico possibile.
Tramite la definizione di una soglia di accettazione del rischio, chiamata anche “Risk
Appetite”, lo strumento consente di stabilire diversi livelli di tolleranza e di adeguarli a
seconda delle esigenze della specifica organizzazione (p.e. in relazione alla politica
interna di accettazione del rischio). Questo grado di customizzazione, infatti, consente di
utilizzare il Toolkit come uno strumento flessibile in grado di adattarsi ai diversi contesti
aziendali.
19
4 Progettazione e sviluppo del Toolkit per la
valutazione del rischio informatico
4.1 Presentazione del progetto
Durante il periodo di tirocinio in PwC, l’autore ha avuto l’opportunità di collaborare con un
gruppo di lavoro dedicato allo sviluppo di un Toolkit personalizzato per il Cyber Risk
Assessment.
Una prima fase di studio e analisi dei principali standard di riferimento e del contesto
aziendale ha gettato le basi per la definizione strutturata di ambito, contesto e criteri del
Toolkit. Queste componenti preliminari servono a definire i confini delle attività di
valutazione. La definizione dell’ambito consente di definire chiaramente le unità aziendali,
processi o asset da includere nella valutazione. Tale ambito può variare a seconda delle
aree oggetto di analisi, ed è per questo che rappresenta il primo passo da compiere.
Altrettanto cruciale è la definizione del contesto atta a identificare i fattori interni ed esterni
che possono influenzare il panorama dei rischi informatici. A livello interno, si considerano
fattori come le capacità IT, la struttura organizzativa e le risorse disponibili. All’esterno si
considerano fattori come i requisiti normativi, le condizioni di mercato e le minacce
emergenti. Analizzando sistematicamente il contesto è possibile collegare l’analisi da
effettuare alla realtà dell’azienda, rendendo questo esercizio meno teorico possibile.
Tramite la definizione di una soglia di accettazione del rischio, chiamata anche “Risk
Appetite”, lo strumento consente di stabilire diversi livelli di tolleranza e di adeguarli a
seconda delle esigenze della specifica organizzazione (p.e. in relazione alla politica
interna di accettazione del rischio). Questo grado di customizzazione, infatti, consente di
utilizzare il Toolkit come uno strumento flessibile in grado di adattarsi ai diversi contesti
aziendali.
Pierfrancesco Bin Università degli Studi di Trieste
20
4.2 Identificazione delle minacce
Questo strumento utilizza la metodologia di analisi basata sugli scenari di minaccia, che
sono stati identificati a partire da standard come la ISO27001:2022
[10]
, NIST SP 800-30
[12]
e il Threat Landscape Report 2023 dell’ENISA
[13]
e adatti agli scenari di minaccia già
classificati dal cliente. Per ogni categoria di minaccia (9) sono stati identificati i possibili
scenari distinti tra loro (26 in totale). In Tabella 1 è riportato l’elenco delle minacce
identificate su cui verrà calcolato il livello di rischio.
Minaccia Descrizione Scenario
Social
Engineering
Social engineering si riferisce a tutte le tecniche
utilizzate per manipolare le vittime e fargli eseguire
azioni involontarie (p.e. divulgare informazioni
riservate)
Phishing
Business Email Compromise
Social Media Attack
Malware
Il Malware, o Malicious Software, si riferisce a qualsiasi
software iniettato da un attaccante cyber, che esegue
operazioni indesiderate come il furto di dati o altri tipi di
alterazione delle funzionalità dell’asset tecnologico
Virus
Ransomware
Spyware
Threat Against
Availability
Queste minacce mirano a interrompere l’accesso ai
sistemi e dati, causando problemi operativi. Ciò può
avvenire, per esempio, sovraccaricando le
infrastrutture di rete
Denial-of Service (Dos - DDoS - RDoS)
Communication
& Application
Threats
Minacce che si verificano quando un attaccante ottiene
l’accesso necessario per compromettere sito o
applicazioni web, la rete o le comunicazioni
reindirizzando il traffico per compiere attività illegittime
Web Attacks
Other Network Attacks
Adversary Man In the Middle
Third Party
Compromise
La compromissione di terze parti si verifica quando gli
aggressori sfruttano le vulnerabilità all’interno di un
fornitore/fornitura di servizi esterni, con l’intenzione di
ottenere l’accesso al sistema e ai dati del bersaglio
originale
Data breach of supplier
Non-Disclosure Agreement Breach
Malware throughout the supply chain
SLA Non-Compliance
M&A Security Oversight
Cloud Service vulnerability exploitation
20
4.2 Identificazione delle minacce
Questo strumento utilizza la metodologia di analisi basata sugli scenari di minaccia, che
sono stati identificati a partire da standard come la ISO27001:2022
[10]
, NIST SP 800-30
[12]
e il Threat Landscape Report 2023 dell’ENISA
[13]
e adatti agli scenari di minaccia già
classificati dal cliente. Per ogni categoria di minaccia (9) sono stati identificati i possibili
scenari distinti tra loro (26 in totale). In Tabella 1 è riportato l’elenco delle minacce
identificate su cui verrà calcolato il livello di rischio.
Minaccia Descrizione Scenario
Social
Engineering
Social engineering si riferisce a tutte le tecniche
utilizzate per manipolare le vittime e fargli eseguire
azioni involontarie (p.e. divulgare informazioni
riservate)
Phishing
Business Email Compromise
Social Media Attack
Malware
Il Malware, o Malicious Software, si riferisce a qualsiasi
software iniettato da un attaccante cyber, che esegue
operazioni indesiderate come il furto di dati o altri tipi di
alterazione delle funzionalità dell’asset tecnologico
Virus
Ransomware
Spyware
Threat Against
Availability
Queste minacce mirano a interrompere l’accesso ai
sistemi e dati, causando problemi operativi. Ciò può
avvenire, per esempio, sovraccaricando le
infrastrutture di rete
Denial-of Service (Dos - DDoS - RDoS)
Communication
& Application
Threats
Minacce che si verificano quando un attaccante ottiene
l’accesso necessario per compromettere sito o
applicazioni web, la rete o le comunicazioni
reindirizzando il traffico per compiere attività illegittime
Web Attacks
Other Network Attacks
Adversary Man In the Middle
Third Party
Compromise
La compromissione di terze parti si verifica quando gli
aggressori sfruttano le vulnerabilità all’interno di un
fornitore/fornitura di servizi esterni, con l’intenzione di
ottenere l’accesso al sistema e ai dati del bersaglio
originale
Data breach of supplier
Non-Disclosure Agreement Breach
Malware throughout the supply chain
SLA Non-Compliance
M&A Security Oversight
Cloud Service vulnerability exploitation
Pierfrancesco Bin Università degli Studi di Trieste
21
Access
Compromise
Minacce che si verificano quando gli attaccanti
ottengono accesso non autorizzato ad asset aziendali,
come per esempio prendere il controllo di una
sessione attività tra un’utente e un servizio o ottenere
accesso non autorizzato ad un’identità digitale
Session Hijacking
Digital Identity & Privileged Access
Compromise
Human Factors
Il “fattore umano” si riferisce ad azioni dolose
commesse da dipendenti o personale,
involontariamente o intenzionalmente, che possono
causare potenziali danni economici, reputazionali o
normativi per l’azienda
User / IT Staff errors
Misconfigurations
Theft of hardware devices
Insider Threat
Failures &
Malfunctions
Queste minacce si riferiscono a una qualsiasi
interruzione causata da guasti hardware o software,
con conseguente interruzione del sistema o perdita di
dati. Questi possono essere causati da difetti di
progettazione, tecnologie obsolete o vulnerabilità
tecniche dei dispostivi
Failure, destruction or damage of
equipment
Software and System Failure
Governance
Minacce che possono sorgere quando I controlli interni
e I meccanismi di supervisione non vengono
implementati dall’organizzazione, con conseguente
violazione degli obblighi di legge o requisiti di
conformità
Non - Compliance
Project Management Failure
Tabella 1 - Elenco delle categorie di minacce e relativi scenari
L’approccio di gestione del rischio orientato sugli asset, pur essendo efficace per la
protezione di specifici elementi critici, tende a valutare il rischio in termini di
compromissione di ciascun asset specifico, senza considerare appieno la rete di
interazioni e di scenari che potrebbero avere un impatto simultaneo su più asset. Questo
approccio può limitare la visione complessiva del rischio, portando l’organizzazione a
prioritizzare misure di mitigazione sui singoli asset critici, trascurando scenari di minaccia
che potrebbero colpire diversi asset contemporaneamente, generando complessivamente
un rischio superiore rispetto alla compromissione del singolo asset critico.
Adottare strategie di mitigazione del rischio più mirate, che affrontano direttamente le
minacce più pericolose per l’azienda, non è un aspetto da sottovalutare in quanto una
delle maggiori difficoltà dell’evoluzione della gestione del rischio cyber a livello aziendale
sono le spese inziali necessarie per implementare le attività di rimedio più opportune.
Intraprendere iniziative efficaci è fondamentale anche per allineare le esigenze
informatiche agli obiettivi strategici del business aziendale.
21
Access
Compromise
Minacce che si verificano quando gli attaccanti
ottengono accesso non autorizzato ad asset aziendali,
come per esempio prendere il controllo di una
sessione attività tra un’utente e un servizio o ottenere
accesso non autorizzato ad un’identità digitale
Session Hijacking
Digital Identity & Privileged Access
Compromise
Human Factors
Il “fattore umano” si riferisce ad azioni dolose
commesse da dipendenti o personale,
involontariamente o intenzionalmente, che possono
causare potenziali danni economici, reputazionali o
normativi per l’azienda
User / IT Staff errors
Misconfigurations
Theft of hardware devices
Insider Threat
Failures &
Malfunctions
Queste minacce si riferiscono a una qualsiasi
interruzione causata da guasti hardware o software,
con conseguente interruzione del sistema o perdita di
dati. Questi possono essere causati da difetti di
progettazione, tecnologie obsolete o vulnerabilità
tecniche dei dispostivi
Failure, destruction or damage of
equipment
Software and System Failure
Governance
Minacce che possono sorgere quando I controlli interni
e I meccanismi di supervisione non vengono
implementati dall’organizzazione, con conseguente
violazione degli obblighi di legge o requisiti di
conformità
Non - Compliance
Project Management Failure
Tabella 1 - Elenco delle categorie di minacce e relativi scenari
L’approccio di gestione del rischio orientato sugli asset, pur essendo efficace per la
protezione di specifici elementi critici, tende a valutare il rischio in termini di
compromissione di ciascun asset specifico, senza considerare appieno la rete di
interazioni e di scenari che potrebbero avere un impatto simultaneo su più asset. Questo
approccio può limitare la visione complessiva del rischio, portando l’organizzazione a
prioritizzare misure di mitigazione sui singoli asset critici, trascurando scenari di minaccia
che potrebbero colpire diversi asset contemporaneamente, generando complessivamente
un rischio superiore rispetto alla compromissione del singolo asset critico.
Adottare strategie di mitigazione del rischio più mirate, che affrontano direttamente le
minacce più pericolose per l’azienda, non è un aspetto da sottovalutare in quanto una
delle maggiori difficoltà dell’evoluzione della gestione del rischio cyber a livello aziendale
sono le spese inziali necessarie per implementare le attività di rimedio più opportune.
Intraprendere iniziative efficaci è fondamentale anche per allineare le esigenze
informatiche agli obiettivi strategici del business aziendale.
Pierfrancesco Bin Università degli Studi di Trieste
22
4.3 Panoramica del Toolkit
Il Toolkit implementato per questo progetto è stato sviluppato utilizzando un file Excel
strutturato appositamente per fornire uno strumento adatto alle richieste del cliente. La
scelta di Excel, infatti, è stata dettata anche dalle esigenze del cliente stesso.
Il Toolkit è stato adattato per allinearsi al Cyber Security framework dell’azienda sulla base
dei 93 controlli della ISO 27001:2022.
Di seguito è riportata una panoramica dei fogli di lavoro presenti nel Toolkit, in cui verranno
esplicitati concisamente i principali input e output:
● Registro dei rischi: foglio dedicato all’identificazione e alla documentazione degli
scenari di rischio. Per ogni scenario predefinito viene fornita una breve descrizione
delle circostanze specifiche, degli attori, dei metodi e delle potenziali conseguenze
associate alla minaccia. Inoltre, vengono inseriti i livelli di probabilità e impatto
inerenti per ogni scenario, da cui poi verranno calcolati i derivanti livelli di rischio.
o Input: valutazione di probabilità e impatto inerenti inseriti dall’operatore
3
.
o Output: livello di rischio inerente, calcolato in base ai valori inseriti
dall’operatore, e livello probabilità e impatto residui, e dunque anche di
rischio residuo, risultanti dalle elaborazioni degli altri sheet illustrati in
seguito.
● Tassonomia di riferimento: foglio di consultazione in cui sono illustrate le
definizioni dei diversi livelli di rischio, probabilità e impatto.
● Mapping Controlli - Scenari di rischio: scheda che funge come principale
strumento di mappatura, in fase di implementazione del Toolkit ogni controllo della
ISO 27001:2022 viene associato allo scenario di minaccia pertinente che mitiga.
Inoltre, viene calcolata la maturità media dei controlli che permette di analizzare
3
Operatore: colui o coloro che compilano il Toolkit
22
4.3 Panoramica del Toolkit
Il Toolkit implementato per questo progetto è stato sviluppato utilizzando un file Excel
strutturato appositamente per fornire uno strumento adatto alle richieste del cliente. La
scelta di Excel, infatti, è stata dettata anche dalle esigenze del cliente stesso.
Il Toolkit è stato adattato per allinearsi al Cyber Security framework dell’azienda sulla base
dei 93 controlli della ISO 27001:2022.
Di seguito è riportata una panoramica dei fogli di lavoro presenti nel Toolkit, in cui verranno
esplicitati concisamente i principali input e output:
● Registro dei rischi: foglio dedicato all’identificazione e alla documentazione degli
scenari di rischio. Per ogni scenario predefinito viene fornita una breve descrizione
delle circostanze specifiche, degli attori, dei metodi e delle potenziali conseguenze
associate alla minaccia. Inoltre, vengono inseriti i livelli di probabilità e impatto
inerenti per ogni scenario, da cui poi verranno calcolati i derivanti livelli di rischio.
o Input: valutazione di probabilità e impatto inerenti inseriti dall’operatore
3
.
o Output: livello di rischio inerente, calcolato in base ai valori inseriti
dall’operatore, e livello probabilità e impatto residui, e dunque anche di
rischio residuo, risultanti dalle elaborazioni degli altri sheet illustrati in
seguito.
● Tassonomia di riferimento: foglio di consultazione in cui sono illustrate le
definizioni dei diversi livelli di rischio, probabilità e impatto.
● Mapping Controlli - Scenari di rischio: scheda che funge come principale
strumento di mappatura, in fase di implementazione del Toolkit ogni controllo della
ISO 27001:2022 viene associato allo scenario di minaccia pertinente che mitiga.
Inoltre, viene calcolata la maturità media dei controlli che permette di analizzare
3
Operatore: colui o coloro che compilano il Toolkit
Pierfrancesco Bin Università degli Studi di Trieste
23
come questa influisca su probabilità e impatto dello scenario per poi calcolare i loro
risultanti livelli residui.
o Input: livello di incidenza
4
e maturità dei controlli derivanti dai rispettivi fogli
“Livello di incidenza dei controlli” e “Valutazione maturità dei controlli”.
Livello dei KPI derivante da “KPI Dashboard”.
o Output: livello di probabilità e impatti residui, forniti come input al foglio
“Registro dei rischi”.
● Livelli di incidenza dei controlli: foglio in cui sono mappate le differenti categorie
di minaccia nei confronti dei livelli di incidenza per ciascuna Operational
Capabilities
5
identificata nel quadro della norma ISO 27001:2022.
o Input: livelli di incidenza delle Operational Capabilities in relazione agli
scenari di minaccia, inseriti dall’operatore.
o Output: livelli di incidenza, forniti come input al foglio “Mapping Controlli -
Scenari di rischio”.
● Valutazione della maturità dei controlli: scheda in cui viene valutato il livello di
maturità di ciascun controllo della ISO 27001:2022. A ognuno di essi viene
assegnato un livello che viene successivamente tradotto in un punteggio di
maturità che influenza il calcolo del rischio residuo.
o Input: valutazione dei singoli controlli, inseriti dall’operatore.
o Output: livello di maturità dei controlli, forniti come forniti come input al foglio
“Mapping Controlli - Scenari di rischio”.
● KPI Dashboard: cruscotto contenente i Key Performance Indicator (KPI) associati
alle capacità operative della ISO 27001:2022. Ogni KPI è descritto e associato alla
formula di calcolo e alla relativa valutazione risultante.
4
Livello di incidenza: indice qualitativo che indica quanto un’Operational Capability può mitigare il rischio associato
allo specifico scenario di minaccia.
5
Operational Capability: rappresentano le diverse funzioni di sicurezza strutturate all’interno dell’organizzazione
che definiscono, implementano e gestiscono le attività e i controlli di sicurezza.
23
come questa influisca su probabilità e impatto dello scenario per poi calcolare i loro
risultanti livelli residui.
o Input: livello di incidenza
4
e maturità dei controlli derivanti dai rispettivi fogli
“Livello di incidenza dei controlli” e “Valutazione maturità dei controlli”.
Livello dei KPI derivante da “KPI Dashboard”.
o Output: livello di probabilità e impatti residui, forniti come input al foglio
“Registro dei rischi”.
● Livelli di incidenza dei controlli: foglio in cui sono mappate le differenti categorie
di minaccia nei confronti dei livelli di incidenza per ciascuna Operational
Capabilities
5
identificata nel quadro della norma ISO 27001:2022.
o Input: livelli di incidenza delle Operational Capabilities in relazione agli
scenari di minaccia, inseriti dall’operatore.
o Output: livelli di incidenza, forniti come input al foglio “Mapping Controlli -
Scenari di rischio”.
● Valutazione della maturità dei controlli: scheda in cui viene valutato il livello di
maturità di ciascun controllo della ISO 27001:2022. A ognuno di essi viene
assegnato un livello che viene successivamente tradotto in un punteggio di
maturità che influenza il calcolo del rischio residuo.
o Input: valutazione dei singoli controlli, inseriti dall’operatore.
o Output: livello di maturità dei controlli, forniti come forniti come input al foglio
“Mapping Controlli - Scenari di rischio”.
● KPI Dashboard: cruscotto contenente i Key Performance Indicator (KPI) associati
alle capacità operative della ISO 27001:2022. Ogni KPI è descritto e associato alla
formula di calcolo e alla relativa valutazione risultante.
4
Livello di incidenza: indice qualitativo che indica quanto un’Operational Capability può mitigare il rischio associato
allo specifico scenario di minaccia.
5
Operational Capability: rappresentano le diverse funzioni di sicurezza strutturate all’interno dell’organizzazione
che definiscono, implementano e gestiscono le attività e i controlli di sicurezza.
Pierfrancesco Bin Università degli Studi di Trieste
24
o Input: livello dei KPI, forniti dal foglio “Storico di supporto dei KPI”.
o Output: livello dei KPI, forniti come forniti come input al foglio “Mapping
Controlli - Scenari di rischio”.
● Storico di supporto dei KPI: archivio che consente di conservare tutte le passate
valutazioni di KPI, permettendo l’analisi delle tendenze utili a determinare se un
certo indicatore sta o meno migliorando nel tempo o necessita di un’ulteriore attività
di rimedio.
o Input: valutazioni presenti e passate dei KPI, inseriti dall’operatore.
o Output: livello dei KPI, forniti come input al foglio “KPI Dashboard”.
● Fogli di supporto #1/#2: fogli di calcolo di supporto in cui sono rappresentati
elementi come la Heatmap del rischio, il fattore correttivo dei KPI e la definizione
dei punteggi relativi al livello di maturità del rischio.
Di seguito saranno illustrate nel dettaglio le logiche dei singoli sheet.
4.4 Registro dei Rischi
Questo foglio è stato progettato per documentare e valutare i diversi scenari di rischio
predefiniti che potrebbero avere potenzialmente un impatto sull’organizzazione. Ogni
scenario di minaccia viene delineato con una breve descrizione, specificando la natura
della minaccia e le sue possibili conseguenze. Per ogni scenario viene valutato il livello di
rischio, calcolato sulla base delle valutazioni delle probabilità e degli impatti. Viene
calcolato sia il rischio intrinseco, prima dell’applicazione dei controlli di sicurezza, grazie
alle valutazioni inserite dall’operatore, che residuo, dopo aver considerato i controlli
implementati, in seguito alle elaborazioni dei relativi sheet.
La valutazione del rischio intrinseco, quindi rispettivamente di probabilità e impatto, viene
definito tramite dati iniziali forniti come input dall’operatore. La probabilità può prendere in
considerazione il contesto delle minacce attuali e dei dati storici di incidenti passati
dell’azienda. L’impatto invece, è determinato dal cliente in funzione delle categorie di
24
o Input: livello dei KPI, forniti dal foglio “Storico di supporto dei KPI”.
o Output: livello dei KPI, forniti come forniti come input al foglio “Mapping
Controlli - Scenari di rischio”.
● Storico di supporto dei KPI: archivio che consente di conservare tutte le passate
valutazioni di KPI, permettendo l’analisi delle tendenze utili a determinare se un
certo indicatore sta o meno migliorando nel tempo o necessita di un’ulteriore attività
di rimedio.
o Input: valutazioni presenti e passate dei KPI, inseriti dall’operatore.
o Output: livello dei KPI, forniti come input al foglio “KPI Dashboard”.
● Fogli di supporto #1/#2: fogli di calcolo di supporto in cui sono rappresentati
elementi come la Heatmap del rischio, il fattore correttivo dei KPI e la definizione
dei punteggi relativi al livello di maturità del rischio.
Di seguito saranno illustrate nel dettaglio le logiche dei singoli sheet.
4.4 Registro dei Rischi
Questo foglio è stato progettato per documentare e valutare i diversi scenari di rischio
predefiniti che potrebbero avere potenzialmente un impatto sull’organizzazione. Ogni
scenario di minaccia viene delineato con una breve descrizione, specificando la natura
della minaccia e le sue possibili conseguenze. Per ogni scenario viene valutato il livello di
rischio, calcolato sulla base delle valutazioni delle probabilità e degli impatti. Viene
calcolato sia il rischio intrinseco, prima dell’applicazione dei controlli di sicurezza, grazie
alle valutazioni inserite dall’operatore, che residuo, dopo aver considerato i controlli
implementati, in seguito alle elaborazioni dei relativi sheet.
La valutazione del rischio intrinseco, quindi rispettivamente di probabilità e impatto, viene
definito tramite dati iniziali forniti come input dall’operatore. La probabilità può prendere in
considerazione il contesto delle minacce attuali e dei dati storici di incidenti passati
dell’azienda. L’impatto invece, è determinato dal cliente in funzione delle categorie di
Pierfrancesco Bin Università degli Studi di Trieste
25
asset mappate sullo specifico scenario di rischio. Il calcolo del rischio residuo tiene in
considerazione il livello di maturità dei controlli, delineati all’interno della ISO 27001:2022,
e del fattore correttivo applicato a seconda del valore del relativo KPI associato.
In Figura 4 viene illustrato un esempio di Registro dei Rischi ancora da compilare con
livello di probabilità e impatto inerenti (nelle colonne in bianco).
Figura 4 - Esempio illustrativo del Registro dei Rischi prima della compilazione dell'operatore
In Figura 5 ne viene illustrato un esempio conseguente alla compilazione dell’operatore,
in cui, tramite il “Foglio di supporto #1”, viene restituito anche il livello di rischio residuo.
25
asset mappate sullo specifico scenario di rischio. Il calcolo del rischio residuo tiene in
considerazione il livello di maturità dei controlli, delineati all’interno della ISO 27001:2022,
e del fattore correttivo applicato a seconda del valore del relativo KPI associato.
In Figura 4 viene illustrato un esempio di Registro dei Rischi ancora da compilare con
livello di probabilità e impatto inerenti (nelle colonne in bianco).
Figura 4 - Esempio illustrativo del Registro dei Rischi prima della compilazione dell'operatore
In Figura 5 ne viene illustrato un esempio conseguente alla compilazione dell’operatore,
in cui, tramite il “Foglio di supporto #1”, viene restituito anche il livello di rischio residuo.
Pierfrancesco Bin Università degli Studi di Trieste
26
Figura 5 - Esempio illustrativo del Registro dei Rischi dopo la prima compilazione da parte dell'operatore
In Figura 6 viene invece illustrato un esempio del Registro di Rischi al termine dalla
compilazione del Toolkit, dove sono calcolati anche i livelli di probabilità, impatto e rischio
residui.
Figura 6 - Esempio illustrativo del Registro dei Rischi dopo la compilazione integrale del Toolkit
26
Figura 5 - Esempio illustrativo del Registro dei Rischi dopo la prima compilazione da parte dell'operatore
In Figura 6 viene invece illustrato un esempio del Registro di Rischi al termine dalla
compilazione del Toolkit, dove sono calcolati anche i livelli di probabilità, impatto e rischio
residui.
Figura 6 - Esempio illustrativo del Registro dei Rischi dopo la compilazione integrale del Toolkit
Pierfrancesco Bin Università degli Studi di Trieste
27
4.5 Tassonomia di riferimento
Per classificare i livelli di probabilità, impatto e rischio, sono state utilizzate delle scale di
valutazione che permettono di strutturare il calcolo del livello di rischio tramite l’utilizzo di
Heatmap, che sarà vista nel dettaglio più avanti. Le diverse scale di valutazione sono state
adattate al contesto specifico del cliente e il valore di riferimento è dunque da valutare
secondo i dati storici del cliente stesso. Di seguito riportate:
● Probabilità (classificazione basata sulla norma ISO 27005
[8]
)
o Rare: l’evento non si è mai verificato negli ultimi cinque anni.
o Unlikely: l’evento si è verificato nell’arco compreso tra cinque anni e un anno
fa.
o Possible: l’evento si è verificato almeno una volta nel corso dell’ultimo anno.
o Likely: l’evento si verifica più di una volta al mese.
o Almost certain: l’evento si verifica in modo ricorrente.
Il livello di probabilità assegnato ad ogni minaccia è da valutare attentatamene
prendendo in considerazione il contesto dell’azienda in esame.
● Impatto (classificazione interna basata sulla scala di impatto definita dall’azienda)
o Negligible: impatto finanziario inferiore a 500.000 euro o impatto
commerciale indiretto insignificante.
o Moderate: impatto finanziario fino a 1 milione di euro.
o Medium: impatto finanziario fino a 3 milioni di euro.
o Significant: impatto finanziario fino a 5 milioni di euro o impatto commerciale
indiretto significativo.
o Severe: impatto finanziario superiore a 5 milioni di euro.
Oltre alla definizione delle scale di valutazione di probabilità e impatto, sono definiti anche
i livelli di valutazione di maturità per singoli controlli e sono basati sul modello di
classificazione “Capability Maturity Model Integration – CMMI”
[14]
.
● Livello di maturità dei controlli
27
4.5 Tassonomia di riferimento
Per classificare i livelli di probabilità, impatto e rischio, sono state utilizzate delle scale di
valutazione che permettono di strutturare il calcolo del livello di rischio tramite l’utilizzo di
Heatmap, che sarà vista nel dettaglio più avanti. Le diverse scale di valutazione sono state
adattate al contesto specifico del cliente e il valore di riferimento è dunque da valutare
secondo i dati storici del cliente stesso. Di seguito riportate:
● Probabilità (classificazione basata sulla norma ISO 27005
[8]
)
o Rare: l’evento non si è mai verificato negli ultimi cinque anni.
o Unlikely: l’evento si è verificato nell’arco compreso tra cinque anni e un anno
fa.
o Possible: l’evento si è verificato almeno una volta nel corso dell’ultimo anno.
o Likely: l’evento si verifica più di una volta al mese.
o Almost certain: l’evento si verifica in modo ricorrente.
Il livello di probabilità assegnato ad ogni minaccia è da valutare attentatamene
prendendo in considerazione il contesto dell’azienda in esame.
● Impatto (classificazione interna basata sulla scala di impatto definita dall’azienda)
o Negligible: impatto finanziario inferiore a 500.000 euro o impatto
commerciale indiretto insignificante.
o Moderate: impatto finanziario fino a 1 milione di euro.
o Medium: impatto finanziario fino a 3 milioni di euro.
o Significant: impatto finanziario fino a 5 milioni di euro o impatto commerciale
indiretto significativo.
o Severe: impatto finanziario superiore a 5 milioni di euro.
Oltre alla definizione delle scale di valutazione di probabilità e impatto, sono definiti anche
i livelli di valutazione di maturità per singoli controlli e sono basati sul modello di
classificazione “Capability Maturity Model Integration – CMMI”
[14]
.
● Livello di maturità dei controlli
Pierfrancesco Bin Università degli Studi di Trieste
28
o Initial: il controllo non è implementato, le politiche e le procedure non sono
definite e formalizzate.
o Repeatable: il controllo è implementato ad hoc in modo informale e reattivo,
le politiche e le procedure non sono definite e formalizzate. Il controllo è
gestito da singoli individui in base alle loro capacità e disponibilità.
o Defined: il controllo è implementato secondo un processo standardizzato
regolato da politiche, procedure e standard formalmente approvati. Sono
definiti e assegnati ruoli e responsabilità operativi appropriati.
o Managed: i processi sono applicati in modo coerente e strutturato in tutta
l’organizzazione, in linea con le politiche, le procedure e gli standard
formalmente approvati, e l’efficacia dei controlli tecnici e organizzativi è
regolarmente gestita e misurata. I ruoli e le responsabilità operative sono
ben definiti e compresi nelle strutture organizzative coinvolte.
o Optimized: i controlli sono pienamente implementati, automatizzati (ove
possibile) e periodicamente rivisti e costantemente monitorati in relazione
agli obiettivi aziendali e all’evoluzione dell’ambiente delle minacce
informatiche in un’ottica di miglioramento continuo. Le eccezioni sono
documentate, gestite e ridotte al minimo.
4.6 Mapping Controlli - Scenari di rischio
Questo foglio è elemento cardine per il calcolo di probabilità e impatto residui. Al suo
interno sono mappati i specifici controlli della ISO 27001:2022 a cui vengono associati i
relativi scenari di minaccia che possono essere mitigati dal controllo in questione.
La matrice dei controlli è divisa in due sezioni fondamentali:
1. Mappatura dei controlli ai principi di Cyber Security, di cui viene riportato un estratto
in Figura 7.
28
o Initial: il controllo non è implementato, le politiche e le procedure non sono
definite e formalizzate.
o Repeatable: il controllo è implementato ad hoc in modo informale e reattivo,
le politiche e le procedure non sono definite e formalizzate. Il controllo è
gestito da singoli individui in base alle loro capacità e disponibilità.
o Defined: il controllo è implementato secondo un processo standardizzato
regolato da politiche, procedure e standard formalmente approvati. Sono
definiti e assegnati ruoli e responsabilità operativi appropriati.
o Managed: i processi sono applicati in modo coerente e strutturato in tutta
l’organizzazione, in linea con le politiche, le procedure e gli standard
formalmente approvati, e l’efficacia dei controlli tecnici e organizzativi è
regolarmente gestita e misurata. I ruoli e le responsabilità operative sono
ben definiti e compresi nelle strutture organizzative coinvolte.
o Optimized: i controlli sono pienamente implementati, automatizzati (ove
possibile) e periodicamente rivisti e costantemente monitorati in relazione
agli obiettivi aziendali e all’evoluzione dell’ambiente delle minacce
informatiche in un’ottica di miglioramento continuo. Le eccezioni sono
documentate, gestite e ridotte al minimo.
4.6 Mapping Controlli - Scenari di rischio
Questo foglio è elemento cardine per il calcolo di probabilità e impatto residui. Al suo
interno sono mappati i specifici controlli della ISO 27001:2022 a cui vengono associati i
relativi scenari di minaccia che possono essere mitigati dal controllo in questione.
La matrice dei controlli è divisa in due sezioni fondamentali:
1. Mappatura dei controlli ai principi di Cyber Security, di cui viene riportato un estratto
in Figura 7.
Pierfrancesco Bin Università degli Studi di Trieste
29
Figura 7 - Mappatura dei controlli ai principi di Cyber Security
In questa sezione sono elencati i controlli definiti dalla norma ISO 27001:2002. Ogni
controllo viene quindi mappato per:
o ID Controllo: riferimento specifico del controllo ISO.
o Operational Capabilities: mappatura del controllo ad uno specifico dominio di
sicurezza (p.e. Governance, Asset Management, Information Protection, etc.).
o Tipologia del controllo: ogni controllo viene classificato come Preventive, Detective o
Corrective. I controlli Preventive hanno lo scopo di ridurre la probabilità di
accadimento di una particolare minaccia, ne sono un esempio tutti i controlli di
Governance che prevedono di definire adeguate policy di Information Security. I
controlli Detective hanno lo scopo di rilevare e monitorare qualsiasi attività non
autorizzata o anomalia in tempo reale, un esempio sono i controlli che prevedono
l’implementazione di sistemi di monitoraggio dei log. Infine, i controlli Corrective, come
per esempio quelli che prevedono l’adozione di adeguate procedure di backup,
mirano a ridurre l’impatto di un incidente.
o Maturity Level: ad ogni controllo è assegnato un livello di maturità che va da Iniziale
a Ottimizzato. Questa valutazione viene fornita come input dallo sheet “Valutazione
della maturità dei controlli”, e serve misurare il livello di implementazione del controllo
29
Figura 7 - Mappatura dei controlli ai principi di Cyber Security
In questa sezione sono elencati i controlli definiti dalla norma ISO 27001:2002. Ogni
controllo viene quindi mappato per:
o ID Controllo: riferimento specifico del controllo ISO.
o Operational Capabilities: mappatura del controllo ad uno specifico dominio di
sicurezza (p.e. Governance, Asset Management, Information Protection, etc.).
o Tipologia del controllo: ogni controllo viene classificato come Preventive, Detective o
Corrective. I controlli Preventive hanno lo scopo di ridurre la probabilità di
accadimento di una particolare minaccia, ne sono un esempio tutti i controlli di
Governance che prevedono di definire adeguate policy di Information Security. I
controlli Detective hanno lo scopo di rilevare e monitorare qualsiasi attività non
autorizzata o anomalia in tempo reale, un esempio sono i controlli che prevedono
l’implementazione di sistemi di monitoraggio dei log. Infine, i controlli Corrective, come
per esempio quelli che prevedono l’adozione di adeguate procedure di backup,
mirano a ridurre l’impatto di un incidente.
o Maturity Level: ad ogni controllo è assegnato un livello di maturità che va da Iniziale
a Ottimizzato. Questa valutazione viene fornita come input dallo sheet “Valutazione
della maturità dei controlli”, e serve misurare il livello di implementazione del controllo
Pierfrancesco Bin Università degli Studi di Trieste
30
all’interno dell’azienda. I punteggi andranno a confluire nel calcolo dei livelli di rischio
residuo.
2. Mappatura dei controlli agli scenari di rischio, di cui viene riportato un estratto in Figura
8.
Figura 8 - Mapping dei controlli agli scenari di rischio
La successiva sezione della matrice collega ogni controllo agli scenari di minacce specifici
che può mitigare. Gli scenari sono presi in input dall’elenco presente all’interno del
“Registro dei Rischi”. Questa mappatura serve a identificare che l’implementazione di un
determinato controllo contribuisce a ridurre probabilità o impatto di una determinata
minaccia.
Oltre a questo, nella parte inferiore del foglio (si veda Figura 9 per un esempio illustrativo),
vengono calcolati i livelli di probabilità e impatto residui per ogni scenario di minaccia,
30
all’interno dell’azienda. I punteggi andranno a confluire nel calcolo dei livelli di rischio
residuo.
2. Mappatura dei controlli agli scenari di rischio, di cui viene riportato un estratto in Figura
8.
Figura 8 - Mapping dei controlli agli scenari di rischio
La successiva sezione della matrice collega ogni controllo agli scenari di minacce specifici
che può mitigare. Gli scenari sono presi in input dall’elenco presente all’interno del
“Registro dei Rischi”. Questa mappatura serve a identificare che l’implementazione di un
determinato controllo contribuisce a ridurre probabilità o impatto di una determinata
minaccia.
Oltre a questo, nella parte inferiore del foglio (si veda Figura 9 per un esempio illustrativo),
vengono calcolati i livelli di probabilità e impatto residui per ogni scenario di minaccia,
Pierfrancesco Bin Università degli Studi di Trieste
31
tenendo in considerazione il fattore di riduzione di rischio
6
in base alla maturità dei controlli
applicati e dal fattore di correzione dei KPI
7
che verrà fornito come input dal foglio “KPI
Dashboard” (si veda sezione 4.10 Foglio di calcolo #1 per maggiori dettagli).
Figura 9 - Esempio di calcolo dei valori di probabilità e impatto residui
I valori ottenuti costituiranno un input per il “Registro dei Rischi” in cui verrà poi calcolato
il livello di rischio residuo.
4.7 Livelli di incidenza dei controlli
Questo foglio è necessario per valutare l’efficacia delle varie Operational Capabilities nella
mitigazione di specifiche categorie di minacce. Per farlo, ad ogni Capability viene
assegnato dall’operatore un livello di incidenza che indica l’influenza che questa ha su
ogni tipologia di minaccia. Questo valore viene assegnato sulla base di considerazioni
interne aziendali.
I valori associati al fattore di incidenza sono qualitativi – basso, medio, alto e molto alto –
e vengono successivamente trasposti in valori numerici (in ordine crescente da 1 a 4) per
consentire una più facile integrazione dei calcoli. In Figura 10 si può osservare un esempio
illustrativo.
6
Si veda sezione 4.10 “Foglio di calcolo #2” per ulteriori dettagli
7
Si veda sezione 4.11 “Foglio di calcolo #1” per ulteriori dettagli
31
tenendo in considerazione il fattore di riduzione di rischio
6
in base alla maturità dei controlli
applicati e dal fattore di correzione dei KPI
7
che verrà fornito come input dal foglio “KPI
Dashboard” (si veda sezione 4.10 Foglio di calcolo #1 per maggiori dettagli).
Figura 9 - Esempio di calcolo dei valori di probabilità e impatto residui
I valori ottenuti costituiranno un input per il “Registro dei Rischi” in cui verrà poi calcolato
il livello di rischio residuo.
4.7 Livelli di incidenza dei controlli
Questo foglio è necessario per valutare l’efficacia delle varie Operational Capabilities nella
mitigazione di specifiche categorie di minacce. Per farlo, ad ogni Capability viene
assegnato dall’operatore un livello di incidenza che indica l’influenza che questa ha su
ogni tipologia di minaccia. Questo valore viene assegnato sulla base di considerazioni
interne aziendali.
I valori associati al fattore di incidenza sono qualitativi – basso, medio, alto e molto alto –
e vengono successivamente trasposti in valori numerici (in ordine crescente da 1 a 4) per
consentire una più facile integrazione dei calcoli. In Figura 10 si può osservare un esempio
illustrativo.
6
Si veda sezione 4.10 “Foglio di calcolo #2” per ulteriori dettagli
7
Si veda sezione 4.11 “Foglio di calcolo #1” per ulteriori dettagli
Pierfrancesco Bin Università degli Studi di Trieste
32
Figura 10 - Esempio di assegnazione dei livelli di incidenza alle Operational Capabilities
I fattori di incidenza svolgono un ruolo fondamentale nella valutazione complessiva del
rischio, in quanto influenzano la maturità del singolo controllo. Difatti, più è alto il valore
assegnato e maggiore sarà la mitigazione del livello di impatto e probabilità del controllo
legato a quella specifica capability, determinata dal calcolo ponderato della maturità.
Questo garantisce un approccio più accurato e specifico per ogni rischio. Ad esempio, un
controllo di governance potrebbe avere un impatto più sostanziale su uno scenario di
minaccia di non compliance rispetto a un ipotetico attacco ransomware, evidenziando
l’efficacia del controllo legata alla natura dello specifico contesto.
4.8 Valutazione della maturità dei controlli
Questo foglio serve a valutare il livello di maturità di ciascun controllo tra quelli utilizzati
per l’assessment e per ognuno di essi viene valutato il grado di implementazione
all’interno dell’azienda e al suo allineamento con gli obiettivi di sicurezza aziendali. Alcuni
controlli, inoltre, vengono suddivisi in ulteriori sotto-controlli più specifici per ottenere una
valutazione più precisa e quanto più realistica possibile.
In Figura 11 è illustrato un estratto dello sheet ancora da compilare, in cui, in verde, sono
evidenziate le colonne in cui l’operatore inserisce il livello di maturità del singolo controllo
32
Figura 10 - Esempio di assegnazione dei livelli di incidenza alle Operational Capabilities
I fattori di incidenza svolgono un ruolo fondamentale nella valutazione complessiva del
rischio, in quanto influenzano la maturità del singolo controllo. Difatti, più è alto il valore
assegnato e maggiore sarà la mitigazione del livello di impatto e probabilità del controllo
legato a quella specifica capability, determinata dal calcolo ponderato della maturità.
Questo garantisce un approccio più accurato e specifico per ogni rischio. Ad esempio, un
controllo di governance potrebbe avere un impatto più sostanziale su uno scenario di
minaccia di non compliance rispetto a un ipotetico attacco ransomware, evidenziando
l’efficacia del controllo legata alla natura dello specifico contesto.
4.8 Valutazione della maturità dei controlli
Questo foglio serve a valutare il livello di maturità di ciascun controllo tra quelli utilizzati
per l’assessment e per ognuno di essi viene valutato il grado di implementazione
all’interno dell’azienda e al suo allineamento con gli obiettivi di sicurezza aziendali. Alcuni
controlli, inoltre, vengono suddivisi in ulteriori sotto-controlli più specifici per ottenere una
valutazione più precisa e quanto più realistica possibile.
In Figura 11 è illustrato un estratto dello sheet ancora da compilare, in cui, in verde, sono
evidenziate le colonne in cui l’operatore inserisce il livello di maturità del singolo controllo
Pierfrancesco Bin Università degli Studi di Trieste
33
e, qualora occorresse, le evidenze a supporto della valutazione. È presente una guida
sintetica per ogni controllo per facilitare la valutazione, affidata al alla discrezione
dell’operatore, con dei riferimenti da tenere in considerazione per esprimere il giudizio
finale.
Figura 11 - Esempio di valutazione della maturità dei controlli da compilare
In Figura 12, invece, viene mostrato un esempio dello sheet compilato dall’operatore con
le valutazioni dei livelli di maturità.
33
e, qualora occorresse, le evidenze a supporto della valutazione. È presente una guida
sintetica per ogni controllo per facilitare la valutazione, affidata al alla discrezione
dell’operatore, con dei riferimenti da tenere in considerazione per esprimere il giudizio
finale.
Figura 11 - Esempio di valutazione della maturità dei controlli da compilare
In Figura 12, invece, viene mostrato un esempio dello sheet compilato dall’operatore con
le valutazioni dei livelli di maturità.
Pierfrancesco Bin Università degli Studi di Trieste
34
Figura 12 - Esempio di valutazione della maturità dei controlli compilato
Queste valutazioni consentono di comprendere la solidità dei propri controlli che andranno
poi ad influire sul calcolo finale del rischio. Il fattore di riduzione di rischio aumenta
all’aumentare del livello di maturità del controllo, o insieme di controlli, implementati, più
è maturo e maggiore sarà la riduzione del rischio.
Il processo di valutazione segue un approccio strutturato in cui ogni controllo viene
valutato sulla base dei criteri definiti dal CMMI, descritti all’interno del foglio “Tassonomia
di riferimento”. Per ciascun controllo viene assegnato un valore proporzionale al livello di
maturità, rispettivamente crescente da 1, “Initial”, a 5 per “Optimized”.
All’interno del foglio, oltre alla descrizione specifica dei controlli, sono descritti i relativi
obiettivi che aiutano a chiarire ciò che il controllo deve realizzare. Come ulteriore
parametro ausiliario sono elencate delle linee guida (solitamente di standard o best
practices) per offrire maggiore supporto alla valutazione.
Assieme al valore assegnato vengono raccolte note ed evidenze (p.e. documentazione
interna, risultati di audit, etc.) che permettono di esplicare il razionale della valutazione e
possono essere utilizzate anche come elemento di confronto per i Risk Assessment futuri.
34
Figura 12 - Esempio di valutazione della maturità dei controlli compilato
Queste valutazioni consentono di comprendere la solidità dei propri controlli che andranno
poi ad influire sul calcolo finale del rischio. Il fattore di riduzione di rischio aumenta
all’aumentare del livello di maturità del controllo, o insieme di controlli, implementati, più
è maturo e maggiore sarà la riduzione del rischio.
Il processo di valutazione segue un approccio strutturato in cui ogni controllo viene
valutato sulla base dei criteri definiti dal CMMI, descritti all’interno del foglio “Tassonomia
di riferimento”. Per ciascun controllo viene assegnato un valore proporzionale al livello di
maturità, rispettivamente crescente da 1, “Initial”, a 5 per “Optimized”.
All’interno del foglio, oltre alla descrizione specifica dei controlli, sono descritti i relativi
obiettivi che aiutano a chiarire ciò che il controllo deve realizzare. Come ulteriore
parametro ausiliario sono elencate delle linee guida (solitamente di standard o best
practices) per offrire maggiore supporto alla valutazione.
Assieme al valore assegnato vengono raccolte note ed evidenze (p.e. documentazione
interna, risultati di audit, etc.) che permettono di esplicare il razionale della valutazione e
possono essere utilizzate anche come elemento di confronto per i Risk Assessment futuri.
Pierfrancesco Bin Università degli Studi di Trieste
35
I risultati di queste valutazioni andranno a determinare, nel foglio “Mapping Controlli -
Scenari di rischio”, il fattore di riduzione del rischio per impatto e probabilità, insieme alle
misurazioni dei KPI.
4.9 KPI Dashboard & Storico di supporto dei KPI
Lo sheet “KPI Dashboard”, di cui viene riportato un estratto illustrativo in Figura 13, è stato
progettato con lo scopo di monitorare i KPI dell’azienda associati ai diversi controlli
utilizzati all’interno del Toolkit per misurare l’efficacia dei presidi di sicurezza implementati.
Figura 13 - Esempio illustrativo del KPI Dashboard
Per ogni KPI viene fornito un titolo esplicativo, una breve descrizione che delinea lo scopo
dell’indicatore e la formula necessaria per calcolare il valore del KPI. Inoltre, ognuno di
essi è collegato specifiche capabilities di cui fornisce la misurazione; quindi, ogni KPI è
mappato ad una o più capability di pertinenza.
Inoltre, per ognuno di essi viene stabilito, in base alle necessità e obiettivi aziendali, il
valore target che consente all’organizzazione di definire i livelli di performance accettabili.
In questo caso, i target sono stati definiti dai referenti aziendali secondo le loro valutazioni.
Ad ogni indicatore, infatti, viene assegnato uno status qualitativo in base ai valori definiti:
● Green: indica che il KPI è in linea con l’obiettivo prestabilito.
● Amber: indica che il KPI non è in linea con l’obiettivo prestabilito.
● Red: indica che il KPI è significativamente al di sotto dell’obiettivo prestabilito.
35
I risultati di queste valutazioni andranno a determinare, nel foglio “Mapping Controlli -
Scenari di rischio”, il fattore di riduzione del rischio per impatto e probabilità, insieme alle
misurazioni dei KPI.
4.9 KPI Dashboard & Storico di supporto dei KPI
Lo sheet “KPI Dashboard”, di cui viene riportato un estratto illustrativo in Figura 13, è stato
progettato con lo scopo di monitorare i KPI dell’azienda associati ai diversi controlli
utilizzati all’interno del Toolkit per misurare l’efficacia dei presidi di sicurezza implementati.
Figura 13 - Esempio illustrativo del KPI Dashboard
Per ogni KPI viene fornito un titolo esplicativo, una breve descrizione che delinea lo scopo
dell’indicatore e la formula necessaria per calcolare il valore del KPI. Inoltre, ognuno di
essi è collegato specifiche capabilities di cui fornisce la misurazione; quindi, ogni KPI è
mappato ad una o più capability di pertinenza.
Inoltre, per ognuno di essi viene stabilito, in base alle necessità e obiettivi aziendali, il
valore target che consente all’organizzazione di definire i livelli di performance accettabili.
In questo caso, i target sono stati definiti dai referenti aziendali secondo le loro valutazioni.
Ad ogni indicatore, infatti, viene assegnato uno status qualitativo in base ai valori definiti:
● Green: indica che il KPI è in linea con l’obiettivo prestabilito.
● Amber: indica che il KPI non è in linea con l’obiettivo prestabilito.
● Red: indica che il KPI è significativamente al di sotto dell’obiettivo prestabilito.
Pierfrancesco Bin Università degli Studi di Trieste
36
Le misurazioni dei singoli KPI sono inserite dall’operatore all’interno del foglio “Storico di
supporto dei KPI”. Grazie a queste è possibile assegnare lo status ai KPI che viene poi
riportato all’interno della dashboard.
La valutazione risultante da queste analisi andrà a determinare il KPI Corrective Factor,
che avrà un ruolo cruciale nel calcolo del rischio e che sarà trattato più approfonditamente
in seguito (si veda sezione 4.10 Foglio di supporto #1).
Per fornire un ulteriore dettaglio di analisi, ad ogni indicatore viene associata la tecnologia
o servizio grazie al quale viene effettuata la misurazione. Questo dato può offrire un
ulteriore spunto di riflessione per l’azienda e permette di tenere documentato il processo
di valutazione dei KPI.
Tuttavia, i valori riscontrati in questo foglio vengono ereditati dal “Storico di supporto dei
KPI”. In questa scheda, oltre ai dati già presenti all’interno del foglio precedente, vengono
registrate le diverse misurazioni dei KPI nel tempo. Aggregando i dati passati, l’archivio
consente di osservare il trend della performance e determinare se la postura complessiva
della Operational Capability sta aumentando o diminuendo nel tempo. Il risultato viene
fornito come input per il KPI Dashboard.
4.10 Foglio di supporto #1
Questo foglio funge da supporto per i vari calcoli all’interno del Toolkit, fornendo i
parametri e i valori necessari per determinare i livelli di rischio e l’efficacia dei controlli.
● Risk Heatmap: i livelli di rischio sono definiti in una scala che va da Insignificant,
Minor, Moderate, Major, Critical a Extreme, in cui ogni livello riflette la potenziale
gravità di un determinato evento.
Il livello di rischio è risultante dall’intersezione tra il livello di probabilità, lungo l’asse
delle ordinate, e dell’impatto, lungo l’asse delle ascisse.
Inoltre, come illustrato in Figura 14, è definito il livello di Risk Appetite, ossia la
soglia di rischio accettabile per un’organizzazione. In questo specifico caso, questa
36
Le misurazioni dei singoli KPI sono inserite dall’operatore all’interno del foglio “Storico di
supporto dei KPI”. Grazie a queste è possibile assegnare lo status ai KPI che viene poi
riportato all’interno della dashboard.
La valutazione risultante da queste analisi andrà a determinare il KPI Corrective Factor,
che avrà un ruolo cruciale nel calcolo del rischio e che sarà trattato più approfonditamente
in seguito (si veda sezione 4.10 Foglio di supporto #1).
Per fornire un ulteriore dettaglio di analisi, ad ogni indicatore viene associata la tecnologia
o servizio grazie al quale viene effettuata la misurazione. Questo dato può offrire un
ulteriore spunto di riflessione per l’azienda e permette di tenere documentato il processo
di valutazione dei KPI.
Tuttavia, i valori riscontrati in questo foglio vengono ereditati dal “Storico di supporto dei
KPI”. In questa scheda, oltre ai dati già presenti all’interno del foglio precedente, vengono
registrate le diverse misurazioni dei KPI nel tempo. Aggregando i dati passati, l’archivio
consente di osservare il trend della performance e determinare se la postura complessiva
della Operational Capability sta aumentando o diminuendo nel tempo. Il risultato viene
fornito come input per il KPI Dashboard.
4.10 Foglio di supporto #1
Questo foglio funge da supporto per i vari calcoli all’interno del Toolkit, fornendo i
parametri e i valori necessari per determinare i livelli di rischio e l’efficacia dei controlli.
● Risk Heatmap: i livelli di rischio sono definiti in una scala che va da Insignificant,
Minor, Moderate, Major, Critical a Extreme, in cui ogni livello riflette la potenziale
gravità di un determinato evento.
Il livello di rischio è risultante dall’intersezione tra il livello di probabilità, lungo l’asse
delle ordinate, e dell’impatto, lungo l’asse delle ascisse.
Inoltre, come illustrato in Figura 14, è definito il livello di Risk Appetite, ossia la
soglia di rischio accettabile per un’organizzazione. In questo specifico caso, questa
Pierfrancesco Bin Università degli Studi di Trieste
37
soglia indica che l’azienda considera accettabili tutti i rischi al di sotto di Major,
quindi quelli valutati come Insignificant, Minor o Moderate. I rischi che superano
questa soglia richiedono invece un’attenzione maggiore e un piano di mitigazione
immediato.
Figura 14 - Heatmap della valutazione del rischio
● Tabelle di conversione: al fine di facilitare i calcoli e standardizzare la valutazione,
sono state definite delle tabelle che convertono le valutazioni qualitative in valori
effettivi.
● KPI Corrective Factor: è un parametro variabile in base sia al KPI Status (Green,
Amber, Red) sia al livello di maturità corrente del controllo. Come si può osservare
in Figura 15, per un KPI “Green”, il fattore correttivo può variare da 0.8 per i controlli
classificati come Initial, fino a 0 per controlli a livello Optimized. Analogamente, per
KPI “Amber” il fattore varia da 0.4 a -0.8, mentre con KPI “Red”, il range oscilla da
0 a -2.
Questo valore viene sommato algebricamente al punteggio di maturità di base
ottenendo un valore che rispecchia maggiormente l’efficacia delle misure
implementate.
Questo meccanismo serve a regolare i casi in cui un controllo, teoricamente ben
implementato e quindi assegnato a un livello di maturità elevato, si rileva meno
37
soglia indica che l’azienda considera accettabili tutti i rischi al di sotto di Major,
quindi quelli valutati come Insignificant, Minor o Moderate. I rischi che superano
questa soglia richiedono invece un’attenzione maggiore e un piano di mitigazione
immediato.
Figura 14 - Heatmap della valutazione del rischio
● Tabelle di conversione: al fine di facilitare i calcoli e standardizzare la valutazione,
sono state definite delle tabelle che convertono le valutazioni qualitative in valori
effettivi.
● KPI Corrective Factor: è un parametro variabile in base sia al KPI Status (Green,
Amber, Red) sia al livello di maturità corrente del controllo. Come si può osservare
in Figura 15, per un KPI “Green”, il fattore correttivo può variare da 0.8 per i controlli
classificati come Initial, fino a 0 per controlli a livello Optimized. Analogamente, per
KPI “Amber” il fattore varia da 0.4 a -0.8, mentre con KPI “Red”, il range oscilla da
0 a -2.
Questo valore viene sommato algebricamente al punteggio di maturità di base
ottenendo un valore che rispecchia maggiormente l’efficacia delle misure
implementate.
Questo meccanismo serve a regolare i casi in cui un controllo, teoricamente ben
implementato e quindi assegnato a un livello di maturità elevato, si rileva meno
Pierfrancesco Bin Università degli Studi di Trieste
38
efficace nella pratica; in questi casi la valutazione viene diminuita. Al contrario,
qualora un controllo abbia un livello di maturità minimo ma dimostra di avere valori
di KPI ottimali, il livello viene conseguentemente aumentato.
Figura 15 – A destra, soglie della maturità dei controlli e, a sinistra, fattore di correzione dei KPI
Per fare un esempio, se ad un controllo viene assegnato un livello di maturità e un
KPI rating Red, il fattore correttivo riduce il livello precedente di 0,4. Invece, un
controllo classificato inizialmente come Optimized ma con un KPI rating Red, il
fattore riduce il punteggio di 2. Questa valutazione è dovuta al fatto che per un
controllo non adeguato, è normale aspettarsi delle performance minori e quindi
attirano da subito l’attenzione. I controlli bene implementati invece potrebbero far
pensare erroneamente che siano effettivamente sicuri, quando nella realtà i fatti
possono non rispecchiare le valutazioni.
4.11 Foglio di supporto #2
Questo secondo foglio di supporto di calcolo, nello specifico calcola i fattori di riduzione di
probabilità e impatto prendendo in considerazione come la diversa natura dei controlli,
Preventive o Corrective e Detective, influenzi la mitigazione del livello rischio.
38
efficace nella pratica; in questi casi la valutazione viene diminuita. Al contrario,
qualora un controllo abbia un livello di maturità minimo ma dimostra di avere valori
di KPI ottimali, il livello viene conseguentemente aumentato.
Figura 15 – A destra, soglie della maturità dei controlli e, a sinistra, fattore di correzione dei KPI
Per fare un esempio, se ad un controllo viene assegnato un livello di maturità e un
KPI rating Red, il fattore correttivo riduce il livello precedente di 0,4. Invece, un
controllo classificato inizialmente come Optimized ma con un KPI rating Red, il
fattore riduce il punteggio di 2. Questa valutazione è dovuta al fatto che per un
controllo non adeguato, è normale aspettarsi delle performance minori e quindi
attirano da subito l’attenzione. I controlli bene implementati invece potrebbero far
pensare erroneamente che siano effettivamente sicuri, quando nella realtà i fatti
possono non rispecchiare le valutazioni.
4.11 Foglio di supporto #2
Questo secondo foglio di supporto di calcolo, nello specifico calcola i fattori di riduzione di
probabilità e impatto prendendo in considerazione come la diversa natura dei controlli,
Preventive o Corrective e Detective, influenzi la mitigazione del livello rischio.
Pierfrancesco Bin Università degli Studi di Trieste
39
I fattori di riduzione sono calcolati utilizzando una curva logistica, il cui andamento è
rappresentato in Figura 16, che modella la relazione tra il livello di maturità di un controllo
e la sua efficacia nel ridurre il rischio. La formula utilizzata è la seguente:
????????????=
??????
(1+??????
(−??????∙(�−�))
)
ove:
● RF rappresenta il fattore di riduzione – Reduction Factor.
● x rappresenta il fattore di riduzione massimo ottenibile, stabilendo un limite
superiore per la riduzione della probabilità e dell’impatto;
● y corrisponde al livello di maturità del controllo, assegnato a un valore compreso
tra 1 e 5;
● z è il punto di flesso della curva;
● k è il parametro della pendenza della funzione logistica, che regola la ripidità della
curva e determina la sensibilità con cui il fattore di riduzione cambia al variare della
maturità del controllo.
39
I fattori di riduzione sono calcolati utilizzando una curva logistica, il cui andamento è
rappresentato in Figura 16, che modella la relazione tra il livello di maturità di un controllo
e la sua efficacia nel ridurre il rischio. La formula utilizzata è la seguente:
????????????=
??????
(1+??????
(−??????∙(�−�))
)
ove:
● RF rappresenta il fattore di riduzione – Reduction Factor.
● x rappresenta il fattore di riduzione massimo ottenibile, stabilendo un limite
superiore per la riduzione della probabilità e dell’impatto;
● y corrisponde al livello di maturità del controllo, assegnato a un valore compreso
tra 1 e 5;
● z è il punto di flesso della curva;
● k è il parametro della pendenza della funzione logistica, che regola la ripidità della
curva e determina la sensibilità con cui il fattore di riduzione cambia al variare della
maturità del controllo.
Pierfrancesco Bin Università degli Studi di Trieste
40
Figura 16 - Andamento del fattore di riduzione di probabilità e impatto
Un modello lineare implicherebbe un aumento costante della riduzione del rischio per ogni
miglioramento incrementale della maturità dei controlli. Con l’utilizzo della curva logistica,
invece, a livelli maturità più bassi, l’aumento dell’efficacia è inizialmente graduale. Questo
andamento permette di ottenere una riduzione significativa del rischio se è già presente
una solida base di controlli ben definiti e gestiti. In un contesto di minacce sempre più
vasto e complesso come quello descritto, avere solo pochi controlli, anche se ben
implementati, potrebbe non essere sufficiente per mitigare il rischio in modo apprezzabile.
Con l’avanzare della maturità dei controlli l’efficacia nella riduzione del rischio si
incrementa maggiormente, raggiungendo un picco vicino al punto di flessione della curva.
In quel frangente, si ha il maggior incremento del tasso di crescita in valore assoluto,
rappresentando quindi il punto ottimale in cui un aumento della maturità del controllo
produrrebbe il massimo incremento relativo della riduzione del rischio.
40
Figura 16 - Andamento del fattore di riduzione di probabilità e impatto
Un modello lineare implicherebbe un aumento costante della riduzione del rischio per ogni
miglioramento incrementale della maturità dei controlli. Con l’utilizzo della curva logistica,
invece, a livelli maturità più bassi, l’aumento dell’efficacia è inizialmente graduale. Questo
andamento permette di ottenere una riduzione significativa del rischio se è già presente
una solida base di controlli ben definiti e gestiti. In un contesto di minacce sempre più
vasto e complesso come quello descritto, avere solo pochi controlli, anche se ben
implementati, potrebbe non essere sufficiente per mitigare il rischio in modo apprezzabile.
Con l’avanzare della maturità dei controlli l’efficacia nella riduzione del rischio si
incrementa maggiormente, raggiungendo un picco vicino al punto di flessione della curva.
In quel frangente, si ha il maggior incremento del tasso di crescita in valore assoluto,
rappresentando quindi il punto ottimale in cui un aumento della maturità del controllo
produrrebbe il massimo incremento relativo della riduzione del rischio.
Pierfrancesco Bin Università degli Studi di Trieste
41
Dopo il punto di flessione, il tasso di crescita della curva rallenta, indicando che ulteriori
miglioramenti della maturità contribuiscono in modo meno significativo alla riduzione del
rischio complessivo. Questa decelerazione riflette la realtà che, una volta che i controlli
sono già maturi, ulteriori aggiustamenti producono guadagni marginali, poiché l’ambiente
di controllo ha già trattato le principali esposizioni al rischio.
L’approccio di questa curva si concentra sui controlli a un livello di maturità medio, dal
momento che a parità di aumento dei livelli di maturità si ottiene una maggiore riduzione
di probabilità e impatto. Come illustrato in figg. 17-18, i “guadagni” più consistenti, infatti,
si osservano per i controlli di un livello di maturità iniziale medio, evidenziando che
indirizzare le azioni di rimedio per questi controlli offre un miglioramento rilevante con uno
sforzo relativamente basso.
Questa sezione è dedicata al fattore di
riduzione della probabilità. I valori di questo
fattore variano dal 8,6% al 87,9% nella
configurazione predefinita, riconoscendo che
la completa eliminazione della probabilità di
una minaccia è teoricamente impossibile,
anche con controlli preventivi altamente
maturi. Si può notare come in questo caso, la
diminuzione maggiore di probabilità al
crescere della maturità si ottiene nell’intervallo
compreso tra 2.2 e 3.
Figura 17 - Fattore di riduzione di probabilità̀ sulla base del
livello di maturità̀
41
Dopo il punto di flessione, il tasso di crescita della curva rallenta, indicando che ulteriori
miglioramenti della maturità contribuiscono in modo meno significativo alla riduzione del
rischio complessivo. Questa decelerazione riflette la realtà che, una volta che i controlli
sono già maturi, ulteriori aggiustamenti producono guadagni marginali, poiché l’ambiente
di controllo ha già trattato le principali esposizioni al rischio.
L’approccio di questa curva si concentra sui controlli a un livello di maturità medio, dal
momento che a parità di aumento dei livelli di maturità si ottiene una maggiore riduzione
di probabilità e impatto. Come illustrato in figg. 17-18, i “guadagni” più consistenti, infatti,
si osservano per i controlli di un livello di maturità iniziale medio, evidenziando che
indirizzare le azioni di rimedio per questi controlli offre un miglioramento rilevante con uno
sforzo relativamente basso.
Questa sezione è dedicata al fattore di
riduzione della probabilità. I valori di questo
fattore variano dal 8,6% al 87,9% nella
configurazione predefinita, riconoscendo che
la completa eliminazione della probabilità di
una minaccia è teoricamente impossibile,
anche con controlli preventivi altamente
maturi. Si può notare come in questo caso, la
diminuzione maggiore di probabilità al
crescere della maturità si ottiene nell’intervallo
compreso tra 2.2 e 3.
Figura 17 - Fattore di riduzione di probabilità̀ sulla base del
livello di maturità̀
Pierfrancesco Bin Università degli Studi di Trieste
42
Analogamente a quanto sopra, questa sezione
è dedicata al fattore di riduzione dell’impatto. I
valori di questo fattore variano dal 5,7% al
58,6% nella configurazione predefinita,
sottolineando nuovamente come, anche nel
caso delle misure Corrective e Detective, non
si può annullare completamente l’impatto degli
scenari di minaccia. Anche in questo caso, la
diminuzione maggiore si ottiene all’incremento
della maturità compresa in un livello tra 2.2 e
3.
Vale la pena notare che il fattore di riduzione dell’impatto massimo (58,6%) è
significativamente inferiore rispetto a quello della probabilità (87,9%). Questo è
giustificabile dal momento che una volta che lo scenario di minaccia si concretizza, alcune
conseguenze sono inventabili e c’è un limite a quanto l’impatto possa essere mitigato.
Figura 18 - Fattore di riduzione di impatto sulla base del
livello di maturità̀
42
Analogamente a quanto sopra, questa sezione
è dedicata al fattore di riduzione dell’impatto. I
valori di questo fattore variano dal 5,7% al
58,6% nella configurazione predefinita,
sottolineando nuovamente come, anche nel
caso delle misure Corrective e Detective, non
si può annullare completamente l’impatto degli
scenari di minaccia. Anche in questo caso, la
diminuzione maggiore si ottiene all’incremento
della maturità compresa in un livello tra 2.2 e
3.
Vale la pena notare che il fattore di riduzione dell’impatto massimo (58,6%) è
significativamente inferiore rispetto a quello della probabilità (87,9%). Questo è
giustificabile dal momento che una volta che lo scenario di minaccia si concretizza, alcune
conseguenze sono inventabili e c’è un limite a quanto l’impatto possa essere mitigato.
Figura 18 - Fattore di riduzione di impatto sulla base del
livello di maturità̀
Pierfrancesco Bin Università degli Studi di Trieste
43
5 Use case: utilizzo del Toolkit per la valutazione del
livello di rischio
All’interno di questo capitolo verrà illustrato il processo vero e proprio di valutazione del
rischio, focalizzandosi in particolare sulle procedure da effettuare per arrivare ad ottenere
la valutazione di rischio finale.
5.1 Applicazione del Toolkit per la valutazione del livello di
rischio
Di seguito sarà illustrato di come il Tool è stato utilizzato per un Cyber Risk Assessment
per l’azienda stessa per cui è stato sviluppato. Per mantenere la riservatezza, i dettagli
specifici e tutti i possibili riferimenti all’azienda sono stati resi anonimi.
Assieme al cliente sono stati compilati i diversi dati richiesti come input dal Toolkit per la
misurazione del livello di rischio residuo.
Dunque, ricapitolando, come input viene richiesto di inserire dall’operatore:
● il livello di probabilità e impatto inerenti all’interno del “Registro dei Rischi”;
● il livello di incidenza delle Operational Capabilities aziendali a seconda delle
diverse minacce all’interno del foglio “Livelli di incidenza dei controlli”;
● il livello di maturità dei controlli all’interno del foglio “Valutazione della maturità dei
controlli”;
● le misurazioni rilevate dei dati necessari per il calcolo dei KPI all’interno del foglio
“Storico di supporto dei KPI”.
Ad eccezione dei dati utili per gli indicatori di performance, le altre valutazioni sono state
raccolte durante una serie di diverse interviste, 11 in totale, tra il referente aziendale del
processo, i principali stakeholder di riferimento ed il gruppo di lavoro PwC. Durante tutto
il processo, infatti, sia in fase di implementazione del tool che nella compilazione, il gruppo
di lavoro ha operato a stretto contatto con il cliente per supportarlo in tutte le attività
necessarie. I dati dei KPI, invece, sono stati forniti direttamente dalle misurazioni fornite
dal cliente.
43
5 Use case: utilizzo del Toolkit per la valutazione del
livello di rischio
All’interno di questo capitolo verrà illustrato il processo vero e proprio di valutazione del
rischio, focalizzandosi in particolare sulle procedure da effettuare per arrivare ad ottenere
la valutazione di rischio finale.
5.1 Applicazione del Toolkit per la valutazione del livello di
rischio
Di seguito sarà illustrato di come il Tool è stato utilizzato per un Cyber Risk Assessment
per l’azienda stessa per cui è stato sviluppato. Per mantenere la riservatezza, i dettagli
specifici e tutti i possibili riferimenti all’azienda sono stati resi anonimi.
Assieme al cliente sono stati compilati i diversi dati richiesti come input dal Toolkit per la
misurazione del livello di rischio residuo.
Dunque, ricapitolando, come input viene richiesto di inserire dall’operatore:
● il livello di probabilità e impatto inerenti all’interno del “Registro dei Rischi”;
● il livello di incidenza delle Operational Capabilities aziendali a seconda delle
diverse minacce all’interno del foglio “Livelli di incidenza dei controlli”;
● il livello di maturità dei controlli all’interno del foglio “Valutazione della maturità dei
controlli”;
● le misurazioni rilevate dei dati necessari per il calcolo dei KPI all’interno del foglio
“Storico di supporto dei KPI”.
Ad eccezione dei dati utili per gli indicatori di performance, le altre valutazioni sono state
raccolte durante una serie di diverse interviste, 11 in totale, tra il referente aziendale del
processo, i principali stakeholder di riferimento ed il gruppo di lavoro PwC. Durante tutto
il processo, infatti, sia in fase di implementazione del tool che nella compilazione, il gruppo
di lavoro ha operato a stretto contatto con il cliente per supportarlo in tutte le attività
necessarie. I dati dei KPI, invece, sono stati forniti direttamente dalle misurazioni fornite
dal cliente.
Pierfrancesco Bin Università degli Studi di Trieste
44
Una volta raccolti tutti i dati quindi, a partire dal livello inerente di probabilità e impatto, il
tool calcola in primo luogo il fattore di rischio correttivo, a seconda che un controllo sia
“Preventive” per abbassare la probabilità, o “Detective + Corrective” per abbassare
l’impatto, il tutto tramite una valutazione ponderata derivante dai livelli di incidenza delle
Capabilities.
Calcolato il Risk Reduction Factor, in parallelo viene calcolato il KPI Corrective Factor,
che a seconda delle performance del KPI di ciascuna Operational Capability, regola la
valutazione del livello di maturità. Questi due fattori aggregati assieme vanno a
determinate quelli che sono i livelli probabilità e impatto residuali. Con questi, tramite la
Heatmap, è possibile calcolare il livello finale del rischio residuo per ogni minaccia.
5.2 Risultati del Cyber Risk Assessment
Il Cyber Risk Assessment, condotto nell’arco di quattro mesi, ha permesso di evolvere
l’approccio del cliente basato sugli scenari di minaccia precedentemente adottato. Grazie
all’ausilio del gruppo di lavoro PwC, è stato realizzato questo Toolkit che ha permesso di
integrare nel processo di gestione del rischio dell’azienda la valutazione dei controlli e dei
KPI. Il risultato offre una vista granulare dell’attuale preparazione dell’azienda in questione
contro le minacce cyber.
Tra le categorie di minacce analizzate, 9 in totale, 6 sono risultate al di sopra della soglia
di Risk Appetite definita dall’azienda. Un quadro complessivo dei risultati è illustrato in
Figura 19.
44
Una volta raccolti tutti i dati quindi, a partire dal livello inerente di probabilità e impatto, il
tool calcola in primo luogo il fattore di rischio correttivo, a seconda che un controllo sia
“Preventive” per abbassare la probabilità, o “Detective + Corrective” per abbassare
l’impatto, il tutto tramite una valutazione ponderata derivante dai livelli di incidenza delle
Capabilities.
Calcolato il Risk Reduction Factor, in parallelo viene calcolato il KPI Corrective Factor,
che a seconda delle performance del KPI di ciascuna Operational Capability, regola la
valutazione del livello di maturità. Questi due fattori aggregati assieme vanno a
determinate quelli che sono i livelli probabilità e impatto residuali. Con questi, tramite la
Heatmap, è possibile calcolare il livello finale del rischio residuo per ogni minaccia.
5.2 Risultati del Cyber Risk Assessment
Il Cyber Risk Assessment, condotto nell’arco di quattro mesi, ha permesso di evolvere
l’approccio del cliente basato sugli scenari di minaccia precedentemente adottato. Grazie
all’ausilio del gruppo di lavoro PwC, è stato realizzato questo Toolkit che ha permesso di
integrare nel processo di gestione del rischio dell’azienda la valutazione dei controlli e dei
KPI. Il risultato offre una vista granulare dell’attuale preparazione dell’azienda in questione
contro le minacce cyber.
Tra le categorie di minacce analizzate, 9 in totale, 6 sono risultate al di sopra della soglia
di Risk Appetite definita dall’azienda. Un quadro complessivo dei risultati è illustrato in
Figura 19.
Pierfrancesco Bin Università degli Studi di Trieste
45
Figura 19 - Fattore di riduzione di probabilità sulla base del livello di maturità
Il livello di rischio residuo per le categorie di minaccia che risultano al di sopra del Risk
Appetite, evidenzia la necessità di sviluppare un piano di rimedio immediato per cercare
di mitigare quanto prima l’elevata esposizione al rischio.
In Tabella 2 sono riportati i risultati dei singoli scenari da cui sono state ottenute le
valutazioni finali.
Categoria di minaccia Scenario di minaccia Rischio Inerente Rischio Residuo
Social
Engineering
Phishing Critical Major
Business Email Compromise Critical Major
Social Media Attack Critical Moderate
Malware
Virus Critical Major
Ransomware Critical Major
Spyware Critical Major
Threat Against Availability Denial-of Service (Dos - DDoS - RDoS) Major Moderate
Communication &
Application Threats
Web Attacks Critical Major
Other Network Attacks Major Major
Adversary Man In the Middle Moderate Moderate
Third Party Compromise
Data breach of supplier Major
Major
Non-Disclosure Agreement Breach Major
Moderate
Malware throughout the supply chain Moderate Moderate
45
Figura 19 - Fattore di riduzione di probabilità sulla base del livello di maturità
Il livello di rischio residuo per le categorie di minaccia che risultano al di sopra del Risk
Appetite, evidenzia la necessità di sviluppare un piano di rimedio immediato per cercare
di mitigare quanto prima l’elevata esposizione al rischio.
In Tabella 2 sono riportati i risultati dei singoli scenari da cui sono state ottenute le
valutazioni finali.
Categoria di minaccia Scenario di minaccia Rischio Inerente Rischio Residuo
Social
Engineering
Phishing Critical Major
Business Email Compromise Critical Major
Social Media Attack Critical Moderate
Malware
Virus Critical Major
Ransomware Critical Major
Spyware Critical Major
Threat Against Availability Denial-of Service (Dos - DDoS - RDoS) Major Moderate
Communication &
Application Threats
Web Attacks Critical Major
Other Network Attacks Major Major
Adversary Man In the Middle Moderate Moderate
Third Party Compromise
Data breach of supplier Major
Major
Non-Disclosure Agreement Breach Major
Moderate
Malware throughout the supply chain Moderate Moderate
Pierfrancesco Bin Università degli Studi di Trieste
46
SLA Non-Compliance Moderate Moderate
M&A Security Oversight Major Major
Cloud Service vulnerability exploitation Major
Moderate
Access Compromise
Session Hijacking Major
Moderate
Dig. Id. & Privileged Access Compromise Critical Major
Human Factors
User / IT Staff errors Extreme Critical
Misconfigurations Major Major
Theft of hardware devices Moderate Moderate
Insider Threat Critical Major
Failures & Malfunctions
Failure, destruction or damage of equip. Moderate Minor
Software and System Failure Moderate Moderate
Governance
Non - Compliance Moderate Moderate
Project Management Failure Moderate Moderate
Tabella 2 - Risultati del livello di rischio dei singoli scenari analizzati
Un’ulteriore osservazione rilevante può essere fatta riguardo all’introduzione del fattore
correttivo dei KPI. La maturità media dell’azienda, basata sul giudizio dell’operatore e di
eventuali referenti aziendali coinvolti, è stata classificata come “Defined”. Tuttavia, dopo
aver incorporato le valutazioni dei KPI, il livello di maturità è sceso in media di 0,4 punti,
sia per i controlli “Preventive” che per quelli “Corrective + Detective”, avvicinando la
maturità complessiva al livello “Repeatable”. In Figura 20 viene illustrato il confronto dei
diversi livelli di maturità prima e dopo l’applicazione del fattore correttivo dei KPI.
46
SLA Non-Compliance Moderate Moderate
M&A Security Oversight Major Major
Cloud Service vulnerability exploitation Major
Moderate
Access Compromise
Session Hijacking Major
Moderate
Dig. Id. & Privileged Access Compromise Critical Major
Human Factors
User / IT Staff errors Extreme Critical
Misconfigurations Major Major
Theft of hardware devices Moderate Moderate
Insider Threat Critical Major
Failures & Malfunctions
Failure, destruction or damage of equip. Moderate Minor
Software and System Failure Moderate Moderate
Governance
Non - Compliance Moderate Moderate
Project Management Failure Moderate Moderate
Tabella 2 - Risultati del livello di rischio dei singoli scenari analizzati
Un’ulteriore osservazione rilevante può essere fatta riguardo all’introduzione del fattore
correttivo dei KPI. La maturità media dell’azienda, basata sul giudizio dell’operatore e di
eventuali referenti aziendali coinvolti, è stata classificata come “Defined”. Tuttavia, dopo
aver incorporato le valutazioni dei KPI, il livello di maturità è sceso in media di 0,4 punti,
sia per i controlli “Preventive” che per quelli “Corrective + Detective”, avvicinando la
maturità complessiva al livello “Repeatable”. In Figura 20 viene illustrato il confronto dei
diversi livelli di maturità prima e dopo l’applicazione del fattore correttivo dei KPI.
Pierfrancesco Bin Università degli Studi di Trieste
47
Figura 20 - Fattore di riduzione di probabilità sulla base del livello di maturità
Questi dati evidenziano l’importanza dell’introduzione di uno strumento di valutazione
quantificabile come i KPI. Questo elemento di misura infatti permette di mitigare le possibili
imprecisioni delle valutazioni personali che, spesso, possono spostare importanti
decisioni aziendali.
Per comprendere appieno l’importanza di questo fattore, è stato testato l’utilizzo del
Toolkit con gli stessi valori inseriti per questo assessment ma senza includere il fattore
correttivo dei KPI. Dal momento che, come osservato, il fattore correttivo dei KPI in questo
caso è principalmente negativo, la sua assenza tende ad abbassare il livello di rischio
47
Figura 20 - Fattore di riduzione di probabilità sulla base del livello di maturità
Questi dati evidenziano l’importanza dell’introduzione di uno strumento di valutazione
quantificabile come i KPI. Questo elemento di misura infatti permette di mitigare le possibili
imprecisioni delle valutazioni personali che, spesso, possono spostare importanti
decisioni aziendali.
Per comprendere appieno l’importanza di questo fattore, è stato testato l’utilizzo del
Toolkit con gli stessi valori inseriti per questo assessment ma senza includere il fattore
correttivo dei KPI. Dal momento che, come osservato, il fattore correttivo dei KPI in questo
caso è principalmente negativo, la sua assenza tende ad abbassare il livello di rischio
Pierfrancesco Bin Università degli Studi di Trieste
48
complessivo. Infatti, come viene mostrato in Figura 21, il livello di rischio risultante senza
l’integrazione dei KPI è minore in 3 casi su 9.
Figura 21 - Confronto del livello di rischio per categoria di minaccia valutato con e senza il fattore correttivo dei KPI
Questo risultato è ancora più rilevante considerando, in primo luogo, il caso di “Human
Factors”, classificato con “Critical” con la valutazione con i KPI e solamente “Major” senza.
I casi più rilevanti, tuttavia, sono quelli di “Communication & Application threats” e “Access
Compromise” che, in una valutazione priva di KPI, risulterebbero al di sotto della soglia di
Risk Appetite, classificandosi dunque come categorie di rischio gestibili e accettabili per
l’azienda. Grazie all’introduzione dei KPI, invece, è possibile adeguare le valutazioni alle
misurazioni che rispecchiano maggiormente l’efficacia dei controlli aziendali. Questo
evidenzia una differenza sostanziale tra le due metodologie, in quanto considerare tali
categorie come accettabili esporrebbe l’azienda a rischi maggiori e non preventivati, oltre
a influire sulle priorità di rimedio necessarie.
48
complessivo. Infatti, come viene mostrato in Figura 21, il livello di rischio risultante senza
l’integrazione dei KPI è minore in 3 casi su 9.
Figura 21 - Confronto del livello di rischio per categoria di minaccia valutato con e senza il fattore correttivo dei KPI
Questo risultato è ancora più rilevante considerando, in primo luogo, il caso di “Human
Factors”, classificato con “Critical” con la valutazione con i KPI e solamente “Major” senza.
I casi più rilevanti, tuttavia, sono quelli di “Communication & Application threats” e “Access
Compromise” che, in una valutazione priva di KPI, risulterebbero al di sotto della soglia di
Risk Appetite, classificandosi dunque come categorie di rischio gestibili e accettabili per
l’azienda. Grazie all’introduzione dei KPI, invece, è possibile adeguare le valutazioni alle
misurazioni che rispecchiano maggiormente l’efficacia dei controlli aziendali. Questo
evidenzia una differenza sostanziale tra le due metodologie, in quanto considerare tali
categorie come accettabili esporrebbe l’azienda a rischi maggiori e non preventivati, oltre
a influire sulle priorità di rimedio necessarie.
Pierfrancesco Bin Università degli Studi di Trieste
49
6 Conclusioni e considerazioni finali
I risultati di questo assessment rilevano una problematica situazione della gestione della
sicurezza informatica. L’elevato livello di rischio risultante evidenzia lacune significative,
due terzi delle categorie di minaccia risultano infatti essere al di sopra della soglia di Risk
Appetite, suggerendo che sono necessarie azioni di rimedio tempestive. Questa analisi
consente all’azienda di identificare le aree di maggior inadeguatezza, concentrando le
risorse proprio sulle aree più critiche.
È rilevante far notare come lo scenario di rischio più elevato è “Human Factors”,
classificato come “Critical”, evidenziando un concetto che non è sempre riconosciuto,
ossia che per garantire un’adeguata sicurezza informatica non è sufficiente attrezzarsi di
tecnologie all’avanguardia. In questo caso, infatti, la principale fonte di rischio deriva da
elementi umani. Questo mostra come, per esempio, un’adeguata gestione degli asset
aziendali o corsi di Training & Awareness sulla Cyber Security possono essere altrettanto
importanti quanto l’adozione di nuove misure tecnologiche.
In conclusione, l’implementazione di un approccio di valutazione del rischio basato sugli
eventi di minaccia per il Cyber Risk Assessment, come quello sviluppato in questo
progetto, comporta diversi vantaggi.
Uno dei principali punti di forza è quello di orientare la valutazione in base alle minacce è
la capacità di fornire una comprensione granulare del rischio. Questo metodo consente
alle organizzazioni di stabilire adeguatamente le priorità delle possibili attività di rimedio e
di allocare le risorse in modo mirato alle minacce a cui si è più esposti. A differenza delle
valutazioni del rischio incentrate sugli asset, che possono trascurare l’effetto dello
specifico scenario, questo approccio permette alle aziende di concentrarsi sugli scenari
di minaccia più rilevanti per il loro contesto operativo.
Inoltre, questa metodologia si allinea al panorama delle minacce in continua evoluzione,
consentendo alle organizzazioni di adeguare le misure di sicurezza in base alle nuove
minacce. Questo, però, può portare all’adozione di un approccio reattivo anziché
49
6 Conclusioni e considerazioni finali
I risultati di questo assessment rilevano una problematica situazione della gestione della
sicurezza informatica. L’elevato livello di rischio risultante evidenzia lacune significative,
due terzi delle categorie di minaccia risultano infatti essere al di sopra della soglia di Risk
Appetite, suggerendo che sono necessarie azioni di rimedio tempestive. Questa analisi
consente all’azienda di identificare le aree di maggior inadeguatezza, concentrando le
risorse proprio sulle aree più critiche.
È rilevante far notare come lo scenario di rischio più elevato è “Human Factors”,
classificato come “Critical”, evidenziando un concetto che non è sempre riconosciuto,
ossia che per garantire un’adeguata sicurezza informatica non è sufficiente attrezzarsi di
tecnologie all’avanguardia. In questo caso, infatti, la principale fonte di rischio deriva da
elementi umani. Questo mostra come, per esempio, un’adeguata gestione degli asset
aziendali o corsi di Training & Awareness sulla Cyber Security possono essere altrettanto
importanti quanto l’adozione di nuove misure tecnologiche.
In conclusione, l’implementazione di un approccio di valutazione del rischio basato sugli
eventi di minaccia per il Cyber Risk Assessment, come quello sviluppato in questo
progetto, comporta diversi vantaggi.
Uno dei principali punti di forza è quello di orientare la valutazione in base alle minacce è
la capacità di fornire una comprensione granulare del rischio. Questo metodo consente
alle organizzazioni di stabilire adeguatamente le priorità delle possibili attività di rimedio e
di allocare le risorse in modo mirato alle minacce a cui si è più esposti. A differenza delle
valutazioni del rischio incentrate sugli asset, che possono trascurare l’effetto dello
specifico scenario, questo approccio permette alle aziende di concentrarsi sugli scenari
di minaccia più rilevanti per il loro contesto operativo.
Inoltre, questa metodologia si allinea al panorama delle minacce in continua evoluzione,
consentendo alle organizzazioni di adeguare le misure di sicurezza in base alle nuove
minacce. Questo, però, può portare all’adozione di un approccio reattivo anziché
Pierfrancesco Bin Università degli Studi di Trieste
50
proattivo, in quanto un’organizzazione, se non adeguatamente preparata, sarebbe
costretta a adeguare il proprio framework in risposta alle minacce emergenti invece che
provare ad anticiparle.
L’introduzione dei KPI nel quadro di valutazione del rischio produce un ulteriore vantaggio
significativo, consentendo di monitorare periodicamente la prestazione dei controlli,
facilitando un processo di feedback che può guidare al miglioramento della Cyber Security
Posture dell’azienda in questione. Oltre a questo, come illustrato nei risultati, non usufruire
dei KPI può portare a sottostimare dei rischi, esponendo l’azienda ad un rischio maggiore.
La loro integrazione permette proprio di correggere queste possibili sottovalutazioni del
rischio adeguandolo alla performance effettiva dei controlli.
Nonostante questi vantaggi, l’efficacia dei KPI è fortemente condizionata dalla qualità e
dall’accuratezza dei dati utilizzati. Soprattutto nei primi periodi di adozione del Toolkit è
spesso difficile reperire i dati necessari, è necessario un periodo di adattamento. Per
questo motivo, nel tempo è necessario sviluppare un processo di raccolta dati sistematico
e strutturato.
La versatilità dello strumento è dimostrata anche dal potenziale futuro di estendere il
modello tramite altri framework di Cyber Security, come per esempio il NIST Cyber
Security Framework o il Framework Nazionale per la Cyber Security e la Data Protection.
Il Toolkit, infatti, può essere adattato per soddisfare diverse esigenze specifiche del
settore, soprattutto per le organizzazioni con ambienti complessi o altamente
regolamentati.
Infine, i risultati generati dallo strumento rappresentano una base valida per lo sviluppo di
quella che viene chiamata “Cyber Security Roadmap” o “Remediation Plan”. Identificando
e prioritizzando i rischi, un’organizzazione può delineare gli obiettivi di sicurezza a breve
e a lungo termine. Una Roadmap strutturata consente un’adeguata gestione delle
debolezze e assicura un’efficace allocazione delle risorse. Solitamente, infatti, l’azione
50
proattivo, in quanto un’organizzazione, se non adeguatamente preparata, sarebbe
costretta a adeguare il proprio framework in risposta alle minacce emergenti invece che
provare ad anticiparle.
L’introduzione dei KPI nel quadro di valutazione del rischio produce un ulteriore vantaggio
significativo, consentendo di monitorare periodicamente la prestazione dei controlli,
facilitando un processo di feedback che può guidare al miglioramento della Cyber Security
Posture dell’azienda in questione. Oltre a questo, come illustrato nei risultati, non usufruire
dei KPI può portare a sottostimare dei rischi, esponendo l’azienda ad un rischio maggiore.
La loro integrazione permette proprio di correggere queste possibili sottovalutazioni del
rischio adeguandolo alla performance effettiva dei controlli.
Nonostante questi vantaggi, l’efficacia dei KPI è fortemente condizionata dalla qualità e
dall’accuratezza dei dati utilizzati. Soprattutto nei primi periodi di adozione del Toolkit è
spesso difficile reperire i dati necessari, è necessario un periodo di adattamento. Per
questo motivo, nel tempo è necessario sviluppare un processo di raccolta dati sistematico
e strutturato.
La versatilità dello strumento è dimostrata anche dal potenziale futuro di estendere il
modello tramite altri framework di Cyber Security, come per esempio il NIST Cyber
Security Framework o il Framework Nazionale per la Cyber Security e la Data Protection.
Il Toolkit, infatti, può essere adattato per soddisfare diverse esigenze specifiche del
settore, soprattutto per le organizzazioni con ambienti complessi o altamente
regolamentati.
Infine, i risultati generati dallo strumento rappresentano una base valida per lo sviluppo di
quella che viene chiamata “Cyber Security Roadmap” o “Remediation Plan”. Identificando
e prioritizzando i rischi, un’organizzazione può delineare gli obiettivi di sicurezza a breve
e a lungo termine. Una Roadmap strutturata consente un’adeguata gestione delle
debolezze e assicura un’efficace allocazione delle risorse. Solitamente, infatti, l’azione
Pierfrancesco Bin Università degli Studi di Trieste
51
successiva al Cyber Risk Assessment è proprio la definizione di un Remediation Plan atto
a identificare le attività di rimedio necessarie per la mitigazione dei rischi individuati.
51
successiva al Cyber Risk Assessment è proprio la definizione di un Remediation Plan atto
a identificare le attività di rimedio necessarie per la mitigazione dei rischi individuati.
Pierfrancesco Bin Università degli Studi di Trieste
52
7 Bibliografia e Sitografia
[1]
Clusit - Associazione Italiana per la Sicurezza Informatica. (2024). Rapporto Clusit
2024 sulla Sicurezza ICT in Italia. Milano: Clusit.
[2]
European Union Agency for Cybersecurity (ENISA). ENISA Threat Landscape 2024.
European Union Agency for Cybersecurity, settembre 2024.
[3]
Unione Europea. Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio
del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza
nell’Unione, che modifica il Regolamento (UE) n. 910/2014 e la Direttiva (UE) 2018/1972
e abroga la Direttiva (UE) 2016/1148 (Direttiva NIS 2). Gazzetta ufficiale dell'Unione
Europea, L 333, dicembre 2022.
[4]
Unione Europea. Regolamento (UE) 2022/2554 del Parlamento Europeo e del
Consiglio del 14 dicembre 2022 sulla resilienza operativa digitale per il settore
finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n.
600/2014, (UE) n. 909/2014 e (UE) 2016/1011. Gazzetta ufficiale dell'Unione Europea, L
333, dicembre 2022.
[5]
GDPR Register. ICO fines Marriott International £18.4 million for data breach affecting
millions of hotel guests. 30 ottobre 2020, https://www.gdprregister.eu/news/ico-fine-
marriot/
[6]
Kouiroukidis, A., Zhang, H., & Venkadesh, P. (2021, June 4). Executive Summary:
Colonial Pipeline Ransomware Attack. Counterterrorism Group.
https://www.counterterrorismgroup.com/post/executive-summary-colonial-pipeline-
ransomware-attack
[7]
IBM Security e Ponemon Institute. Cost of a Data Breach Report 2024. IBM
Corporation, luglio 2024.
52
7 Bibliografia e Sitografia
[1]
Clusit - Associazione Italiana per la Sicurezza Informatica. (2024). Rapporto Clusit
2024 sulla Sicurezza ICT in Italia. Milano: Clusit.
[2]
European Union Agency for Cybersecurity (ENISA). ENISA Threat Landscape 2024.
European Union Agency for Cybersecurity, settembre 2024.
[3]
Unione Europea. Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio
del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza
nell’Unione, che modifica il Regolamento (UE) n. 910/2014 e la Direttiva (UE) 2018/1972
e abroga la Direttiva (UE) 2016/1148 (Direttiva NIS 2). Gazzetta ufficiale dell'Unione
Europea, L 333, dicembre 2022.
[4]
Unione Europea. Regolamento (UE) 2022/2554 del Parlamento Europeo e del
Consiglio del 14 dicembre 2022 sulla resilienza operativa digitale per il settore
finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n.
600/2014, (UE) n. 909/2014 e (UE) 2016/1011. Gazzetta ufficiale dell'Unione Europea, L
333, dicembre 2022.
[5]
GDPR Register. ICO fines Marriott International £18.4 million for data breach affecting
millions of hotel guests. 30 ottobre 2020, https://www.gdprregister.eu/news/ico-fine-
marriot/
[6]
Kouiroukidis, A., Zhang, H., & Venkadesh, P. (2021, June 4). Executive Summary:
Colonial Pipeline Ransomware Attack. Counterterrorism Group.
https://www.counterterrorismgroup.com/post/executive-summary-colonial-pipeline-
ransomware-attack
[7]
IBM Security e Ponemon Institute. Cost of a Data Breach Report 2024. IBM
Corporation, luglio 2024.
Pierfrancesco Bin Università degli Studi di Trieste
53
[8]
ISO/IEC 27005:2022. "Information security, cybersecurity and privacy protection —
Guidance on managing information security risks." Ginevra, International Organization
for Standardization, 2022.
[9]
ISO. ISO 31000:2018 - Risk management – Guidelines. Ginevra, International
Organization for Standardization, 2018.
[10]
ISO/IEC. ISO/IEC 27001:2022 - Information security, cybersecurity and privacy
protection — Information security management systems — Requirements. Ginevra,
International Organization for Standardization, 2022.
[11]
Schroeder, K., Trinh, H., & Pillitteri, V. Measurement Guide for Information Security:
Volume 1 — Identifying and Selecting Measures (Initial Public Draft). Gaithersburg, MD:
National Institute of Standards and Technology, gennaio 2024
[12]
National Institute of Standards and Technology (NIST). Guide for Conducting Risk
Assessments. NIST Special Publication 800-30, Revision 1. Gaithersburg, MD: National
Institute of Standards and Technology, settembre 2012
[13]
European Union Agency for Cybersecurity (ENISA). ENISA Threat Landscape 2023.
ENISA, ottobre 2023
[14]
CMMI Institute. Capability Maturity Model Integration (CMMI) for Development,
Version 1.3. Carnegie Mellon University, Software Engineering Institute, 2010.
53
[8]
ISO/IEC 27005:2022. "Information security, cybersecurity and privacy protection —
Guidance on managing information security risks." Ginevra, International Organization
for Standardization, 2022.
[9]
ISO. ISO 31000:2018 - Risk management – Guidelines. Ginevra, International
Organization for Standardization, 2018.
[10]
ISO/IEC. ISO/IEC 27001:2022 - Information security, cybersecurity and privacy
protection — Information security management systems — Requirements. Ginevra,
International Organization for Standardization, 2022.
[11]
Schroeder, K., Trinh, H., & Pillitteri, V. Measurement Guide for Information Security:
Volume 1 — Identifying and Selecting Measures (Initial Public Draft). Gaithersburg, MD:
National Institute of Standards and Technology, gennaio 2024
[12]
National Institute of Standards and Technology (NIST). Guide for Conducting Risk
Assessments. NIST Special Publication 800-30, Revision 1. Gaithersburg, MD: National
Institute of Standards and Technology, settembre 2012
[13]
European Union Agency for Cybersecurity (ENISA). ENISA Threat Landscape 2023.
ENISA, ottobre 2023
[14]
CMMI Institute. Capability Maturity Model Integration (CMMI) for Development,
Version 1.3. Carnegie Mellon University, Software Engineering Institute, 2010.
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 56
- Slides 53
- Age 368 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
32 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
35 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
32 views
14
Fertility awareness methods for women in the society
Isaiah47
30 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
29 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
30 views