<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti Blog: Post di </title><description /><language>it</language><atom:link rel="self" href="https://www.ivanti.com/it/blog/authors/robert-waters/rss" /><link>https://www.ivanti.com/it/blog/authors/robert-waters</link><item><guid isPermaLink="false">42244280-9907-4177-ab39-4d192d21f113</guid><link>https://www.ivanti.com/it/blog/risk-appetite</link><atom:author><atom:name>Robert Waters</atom:name><atom:uri>https://www.ivanti.com/it/blog/authors/robert-waters</atom:uri></atom:author><category>Sicurezza</category><title>Comprendere la propensione al rischio: un componente critico della gestione dell’esposizione</title><description>&lt;p&gt;Il rischio è intrinseco a qualsiasi azienda. A fare la differenza è il modo in cui un’organizzazione lo comprende e lo gestisce.&lt;/p&gt;&lt;p&gt;Dalle sfide operative alla volatilità del mercato, dai cambiamenti normativi ai progressi tecnologici, le aziende devono affrontare un ampio spettro di incertezze che possono generare crescita o causare perdite.&lt;/p&gt;&lt;p&gt;Per gestirle in modo efficace, un’azienda deve definire un framework che la aiuti a stabilire quanto rischio è disposta ad accettare per perseguire i propri obiettivi. È qui che entra in gioco il concetto di “propensione al rischio”.&lt;/p&gt;&lt;p&gt;Ma per definire la propria propensione al rischio, un’azienda deve vedere e comprendere tutti i rischi che deve affrontare. E per i team di sicurezza che stanno gettando le basi della loro strategia di &lt;a href="https://www.ivanti.com/glossary/exposure-management" target="_blank" rel="noopener"&gt;gestione dell’esposizione&lt;/a&gt;, definire la propensione al rischio della propria organizzazione è un passaggio critico.&lt;/p&gt;&lt;h2&gt;Che cos’è la propensione al rischio?&lt;/h2&gt;&lt;p&gt;La propensione al rischio è il livello di rischio che un’organizzazione è disposta ad accettare per perseguire i propri obiettivi. Definirla stabilisce i confini dell’organizzazione rispetto a quali rischi assumerà e in quale misura. Una propensione al rischio &lt;em&gt;elevata&lt;/em&gt; significa essere aperti ad accettare rischi maggiori in vista di possibili ricompense più alte, mentre una propensione al rischio &lt;em&gt;bassa&lt;/em&gt; significa che l’organizzazione preferisce ridurre il rischio il più possibile.&lt;/p&gt;&lt;p&gt;Si consideri una startup tecnologica che vuole investire in ricerca e sviluppo all’avanguardia. Potrebbe adottare una propensione al rischio più elevata per ottenere innovazioni dirompenti e rivoluzionarie, sapendo che i potenziali vantaggi valgono l’incertezza. Al contrario, una grande azienda consolidata potrebbe avere una propensione al rischio più bassa, puntando su una crescita stabile ed evitando progetti che potrebbero danneggiare in modo significativo la sua posizione di mercato o la sua reputazione.&lt;/p&gt;&lt;h2&gt;La propensione al rischio è sia quantitativa sia qualitativa&lt;/h2&gt;&lt;p&gt;La propensione al rischio non è mai statica: è una misura dinamica che dovrebbe essere adeguata in base a fattori quali settore, dimensioni e stato di salute dell’azienda, obiettivi strategici, requisiti normativi e contesto generale del mercato.&lt;/p&gt;&lt;p&gt;Né riguarda solo i numeri: la propensione al rischio è una combinazione di fattori sia quantitativi sia qualitativi.&lt;/p&gt;&lt;p&gt;Da un lato, un’azienda può avere elementi misurabili, come l’ammontare delle perdite che è disposta a tollerare, i suoi rapporti di indebitamento e il tipo di ritorno sull’investimento (ROI) a cui mira. Può anche dover considerare aspetti soggettivi, come il potenziale impatto sulla reputazione aziendale, le considerazioni etiche e quanto le sue decisioni siano allineate ai valori fondamentali.&lt;/p&gt;&lt;h2&gt;Perché è importante definire la propensione al rischio?&lt;/h2&gt;&lt;p&gt;Quasi ogni organizzazione che vuole avere successo deve assumersi rischi calcolati. Ma senza una chiara comprensione della propria propensione al rischio, può ritrovarsi a prendere decisioni incoerenti, reattive o eccessivamente prudenti. Questo può portare a opportunità mancate o perdite aziendali. Ecco perché definire la propensione al rischio è essenziale:&lt;/p&gt;&lt;h3&gt;Allineare strategia e gestione del rischio&lt;/h3&gt;&lt;p&gt;Disporre di una propensione al rischio chiaramente definita fornisce un framework strategico che allinea le &lt;a href="https://www.ivanti.com/blog/vulnerability-and-risk-management-how-to-simplify-the-process" target="_blank" rel="noopener"&gt;pratiche di gestione del rischio&lt;/a&gt; agli obiettivi aziendali complessivi. Quando un’impresa sa quanto rischio è disposta ad accettare, può perseguire le opportunità coerenti con la propria propensione al rischio, evitando quelle che potrebbero esporla a rischi eccessivi.&lt;/p&gt;&lt;h3&gt;Migliorare il processo decisionale&lt;/h3&gt;&lt;p&gt;Definire la propensione al rischio consente a leader e manager di prendere decisioni informate comprendendo chiaramente cosa costituisce un rischio accettabile. Stabilisce inoltre le aspettative per i comportamenti orientati sia all’assunzione sia all’evitamento del rischio in tutta l’organizzazione, aiutando i manager a valutare i compromessi tra rischio e ricompensa in diversi scenari.&lt;/p&gt;&lt;h3&gt;Rafforzare la fiducia degli stakeholder&lt;/h3&gt;&lt;p&gt;Una propensione al rischio chiaramente definita rassicura investitori, autorità di regolamentazione, dipendenti e altri stakeholder sul fatto che l’organizzazione attribuisce priorità alla gestione del rischio. Dimostra inoltre un approccio metodico e affidabile nel bilanciare rischio e rendimento, rafforzando ulteriormente la fiducia degli stakeholder.&lt;/p&gt;&lt;h3&gt;Promuovere la coerenza&lt;/h3&gt;&lt;p&gt;Quando tutti in un’organizzazione sono allineati su quanto rischio sia consentito, riescono a prendere decisioni coerenti perché comprendono tutti cosa rappresenti una scommessa accettabile. Questo riduce le probabilità di lavorare con obiettivi divergenti o persino in direzioni opposte. Ad esempio, un reparto legale potrebbe frenare la grande idea di un team marketing se non condivide la stessa concezione di rischio accettabile.&lt;/p&gt;&lt;h3&gt;Supportare un monitoraggio efficace del rischio&lt;/h3&gt;&lt;p&gt;Quando le aziende definiscono la propria propensione al rischio, possono implementare sistemi per monitorare i livelli di rischio in tutta l’impresa, dalla finanza alle operation. In questo modo, sono in grado di individuare tempestivamente potenziali problemi e garantire che le attività rimangano entro i limiti di ciò che è considerato sicuro, o almeno accettabile. Definire e monitorare gli indicatori chiave di rischio (KRI) fornisce segnali di allarme precoce quando ci si avvicina troppo a quei limiti.&lt;/p&gt;&lt;h2&gt;Come definisce un’azienda la propria propensione al rischio?&lt;/h2&gt;&lt;p&gt;In genere, un’organizzazione lo fa redigendo una dichiarazione di propensione al rischio (RAS). Le prime parti di una RAS illustrano gli obiettivi strategici dell’azienda e i rischi coinvolti.&lt;/p&gt;&lt;p&gt;Un’azienda potrebbe voler diventare il principale fornitore di software nel proprio settore. Dovrebbe elencare gli obiettivi strategici essenziali per raggiungere tale traguardo, insieme ai rischi associati. Ad esempio, Ivanti opera nel settore della fornitura di servizi IT basati su cloud e soluzioni di gestione della sicurezza. Ciò significa che la nostra dichiarazione di propensione al rischio deve catalogare tutti i rischi legati a questa linea di business e spiegare come li gestiremo.&lt;/p&gt;&lt;p&gt;Ecco un esempio di come potrebbe apparire una sezione di una dichiarazione di propensione al rischio per un fornitore di software:&lt;/p&gt;&lt;blockquote&gt;&lt;table&gt;&lt;thead&gt;&lt;tr&gt;&lt;th colspan="2" scope="col"&gt;&lt;p&gt;Propensione generale al rischio&lt;/p&gt;&lt;p&gt;[Azienda XYZ] adotta un approccio equilibrato al rischio, riconoscendo che non tutti i rischi sono uguali e che un certo livello di rischio è necessario per raggiungere i nostri obiettivi strategici.&lt;/p&gt;&lt;/th&gt;&lt;/tr&gt;&lt;/thead&gt;&lt;tbody&gt;&lt;tr&gt;&lt;td&gt;Rischio di innovazione&lt;/td&gt;&lt;td&gt;Abbiamo un’elevata propensione al rischio per gli investimenti in tecnologie avanzate e soluzioni innovative che differenziano i nostri prodotti nel panorama competitivo. Comprendiamo che ciò richiede l’accettazione di un certo grado di incertezza nelle attività di R&amp;amp;S e nello sviluppo prodotto.&lt;/td&gt;&lt;/tr&gt;&lt;tr&gt;&lt;td&gt;Rischio operativo&lt;/td&gt;&lt;td&gt;Manteniamo una propensione al rischio da bassa a moderata. Pur puntando all’eccellenza operativa, diamo priorità alle iniziative che migliorano l’efficienza e la qualità del servizio senza compromettere i nostri standard di erogazione.&lt;/td&gt;&lt;/tr&gt;&lt;tr&gt;&lt;td&gt;Rischio di sicurezza&lt;/td&gt;&lt;td&gt;Abbiamo una propensione al rischio estremamente bassa per minacce e violazioni della sicurezza. Il nostro impegno per la sicurezza di rete e la protezione dei dati è fondamentale e investiamo in modo significativo per salvaguardare i nostri sistemi e i dati dei nostri clienti.&lt;/td&gt;&lt;/tr&gt;&lt;tr&gt;&lt;td&gt;Rischio di conformità&lt;/td&gt;&lt;td&gt;Abbiamo una bassa propensione al rischio di non conformità ai requisiti legali e normativi. Garantire l’aderenza a leggi, standard e best practice pertinenti in tutte le aree operative è fondamentale.&lt;/td&gt;&lt;/tr&gt;&lt;/tbody&gt;&lt;/table&gt;&lt;/blockquote&gt;&lt;p&gt;La RAS dovrebbe definire i rischi che avrebbero il maggiore impatto sull’organizzazione, non i rischi quotidiani che fanno semplicemente parte dell’attività aziendale. Dovrebbe tenere conto di più scenari di rischio; ad esempio, una strategia specifica può comportare rischi della supply chain, come gli effetti di un vincolo con un fornitore o i pericoli di esposizione normativa se un fornitore gestisce in modo improprio i dati dei clienti.&lt;/p&gt;&lt;p&gt;Dovrebbe inoltre definire l’entità del rischio finanziario che un’azienda è disposta ad assumersi. Se i suoi obiettivi includono l’offerta di un nuovo prodotto o servizio, esiste sempre la possibilità di un insuccesso sul mercato.&lt;/p&gt;&lt;h2&gt;Componenti della propensione al rischio&lt;/h2&gt;&lt;p&gt;Questi sono i fattori chiave da considerare nella definizione della propensione al rischio:&lt;/p&gt;&lt;h3&gt;Capacità di rischio&lt;/h3&gt;&lt;p&gt;Si riferisce alla quantità &lt;em&gt;massima&lt;/em&gt; di rischio che un’organizzazione può sostenere. A determinarla sono le risorse finanziarie, le capacità operative e i vincoli normativi. E la capacità di rischio è diversa dalla propensione al rischio: un’organizzazione può avere la capacità di assumersi un determinato livello di rischio, ma potrebbe scegliere di non farlo in base alla propria propensione al rischio.&lt;/p&gt;&lt;h3&gt;Tolleranza al rischio&lt;/h3&gt;&lt;p&gt;Mentre la capacità di rischio riguarda quanto rischio un’organizzazione è in grado di sopportare, la tolleranza al rischio è una deviazione accettabile rispetto all’obiettivo. Può persino stabilire tolleranze diverse per aree diverse. Ad esempio, un’organizzazione potrebbe essere favorevole ad assumersi un rischio su un nuovo prodotto, ma essere avversa al rischio nella gestione dei dati dei clienti.&lt;/p&gt;&lt;h3&gt;Soglie di rischio&lt;/h3&gt;&lt;p&gt;Abbiamo già menzionato il monitoraggio del rischio e i KRI, utilizzati per impedire a un’azienda di superare le soglie di rischio: le “linee rosse” che rappresentano un rischio eccessivo. Il superamento di una soglia di rischio potrebbe richiedere un cambiamento dei piani, maggiori misure di sicurezza o persino l’arresto completo delle attività in corso.&lt;/p&gt;&lt;blockquote&gt;&lt;p&gt;Correlato: report di ricerca Ivanti: &lt;a href="https://www.ivanti.com/resources/research-reports/cybersecurity-risk-management" target="_blank" rel="noopener"&gt;Allineare le prospettive: gestione del rischio informatico nella C-suite&lt;/a&gt;&lt;/p&gt;&lt;/blockquote&gt;&lt;h2&gt;Perché la propensione al rischio è importante nella gestione dell’esposizione?&lt;/h2&gt;&lt;p&gt;Un tempo, mitigare il rischio digitale era molto più semplice di oggi. Questo perché le superfici di attacco della maggior parte delle grandi organizzazioni si sono notevolmente ampliate nel tempo. L’aggiunta di più dispositivi e applicazioni, utilizzati dai dipendenti in un numero maggiore di luoghi, ha trasformato il workplace e ampliato il panorama delle minacce digitali.&lt;/p&gt;&lt;p&gt;È uno dei motivi per cui una &lt;a href="https://www.ivanti.com/resources/research-reports/attack-surface-management" target="_blank" rel="noopener"&gt;ricerca Ivanti&lt;/a&gt; ha rilevato che oltre la metà dei professionisti IT non è molto sicura di poter prevenire un incidente di sicurezza dannoso nei prossimi 12 mesi. Più di uno su tre afferma persino di essere meno preparato a rilevare le minacce e rispondere agli incidenti rispetto a un anno fa.&lt;/p&gt;&lt;p&gt;La &lt;a href="https://www.ivanti.com/it/products/risk-based-vulnerability-management"&gt;gestione delle vulnerabilità&lt;/a&gt; tradizionale si è a lungo concentrata sulla correzione reattiva delle vulnerabilità software e hardware e di altre CVE, ma di solito si basa solo su scansioni intermittenti. Tuttavia, lo scenario attuale delle minacce informatiche richiede un nuovo approccio.&lt;/p&gt;&lt;p&gt;La gestione moderna dell’esposizione si concentra sull’individuazione e sulla correzione continue e proattive di rischi e vulnerabilità nell’intera superficie di attacco digitale, indipendentemente dal fatto che derivino da asset IT esposti, endpoint e applicazioni non protetti, risorse basate su cloud o altri vettori. Che cosa rende così strettamente correlate gestione dell’esposizione e propensione al rischio?&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;em&gt;Valutare l’esposizione in base ai livelli di rischio accettabili:&lt;/em&gt; La gestione dell’esposizione implica la quantificazione dei livelli di rischio associati alle diverse esposizioni. Definendo il rischio accettabile, le organizzazioni possono confrontare il possibile impatto dei diversi rischi con la propria propensione al rischio.&lt;/li&gt;&lt;li&gt;&lt;em&gt;Distribuire le risorse in base al rischio:&lt;/em&gt; Le organizzazioni devono dare priorità alle esposizioni che rappresentano la maggiore minaccia per le loro strategie: una valutazione che possono effettuare solo con una chiara comprensione della propria propensione al rischio. Questa prioritizzazione consente loro di concentrare le risorse sulla mitigazione delle esposizioni più critiche, spesso con l’aiuto di uno strumento RBVM avanzato.&lt;/li&gt;&lt;li&gt;&lt;em&gt;Adeguare la propensione al rischio:&lt;/em&gt; Quando un contesto aziendale cambia o emergono nuovi rischi, può essere necessario adeguare la propensione al rischio. I dati e gli insight che le organizzazioni ottengono nell’ambito della loro pratica di gestione dell’esposizione le aiutano a prendere decisioni informate su tali adeguamenti.&lt;/li&gt;&lt;li&gt;&lt;em&gt;Garantire la conformità:&lt;/em&gt; Molti settori hanno requisiti normativi relativi alla gestione del rischio, che a loro volta influenzano la propensione al rischio di un’organizzazione. La gestione dell’esposizione comporta l’identificazione e la gestione dei rischi che potrebbero causare non conformità.&lt;/li&gt;&lt;/ul&gt;&lt;blockquote&gt;&lt;p&gt;Correlato: report di ricerca Ivanti: &lt;a href="https://www.ivanti.com/resources/research-reports/attack-surface-management" target="_blank" rel="noopener"&gt;Gestione della superficie di attacco&lt;/a&gt;&lt;/p&gt;&lt;/blockquote&gt;&lt;h2&gt;Osservare il rischio di sicurezza attraverso la lente della gestione dell’esposizione&lt;/h2&gt;&lt;p&gt;Una differenza significativa tra la gestione dell’esposizione e altre pratiche di sicurezza è che la gestione dell’esposizione non si limita a dare priorità alla correzione dei rischi che rappresentano il rischio maggiore per l’organizzazione, ma definisce attivamente quali rischi rientrano nella tolleranza al rischio dell’organizzazione. Ad esempio, un’azienda di e-commerce può essere disposta ad accettare rischi di sicurezza più elevati per mantenere il proprio sito funzionante durante il Black Friday: per lei, il compromesso vale la pena.&lt;/p&gt;&lt;p&gt;Invece di considerare ogni rischio potenziale come una crisi che richiede una correzione immediata, le organizzazioni devono assegnare le priorità in base alle esigenze aziendali. In questo framework, la maggior parte dei rischi &lt;em&gt;non è&lt;/em&gt; negativa: conta il modo in cui si reagisce, si controlla e si mitiga il rischio per portarlo a un livello accettabile.&lt;/p&gt;</description><pubDate>Mon, 10 Feb 2025 14:44:03 Z</pubDate></item></channel></rss>