Punti Chiave
- La valutazione quantitativa del rischio assegna valori monetari (valore dell’asset, fattore di esposizione, tasso annuo di occorrenza) per calcolare la perdita singola attesa e la perdita annua attesa, offrendo una visione oggettiva della perdita potenziale.
- Le organizzazioni decidono se evitare, accettare, trasferire o mitigare un rischio confrontando l’ALE (o l’ALE residua) con i costi di mitigazione, i premi assicurativi e l’impatto più ampio sul business.
- Una propensione al rischio documentata, che definisce capacità, tolleranza e soglie, guida le decisioni nei casi limite e allinea le azioni di sicurezza agli obiettivi aziendali.
Riepilogo
- La valutazione quantitativa del rischio traduce il rischio di cybersecurity in termini finanziari.
- È possibile usare l’output di una valutazione quantitativa del rischio per decidere la risposta al rischio: evitarlo, accettarlo, trasferirlo o mitigarlo.
- Un framework di propensione al rischio consente di gestire casi sfumati o ambigui in cui la risposta al rischio appropriata non è chiara.
- Nel complesso, questi processi aiutano le organizzazioni a trovare un equilibrio tra esigenze di sicurezza e obiettivi aziendali.
La valutazione quantitativa del rischio offre un approccio oggettivo all’analisi del rischio, ma comprenderlo è solo il primo passo. Questo articolo spiega come interpretare i risultati e trasformare queste informazioni in decisioni significative in un contesto reale.
(Sebbene questo articolo non spieghi come eseguire un’analisi quantitativa del rischio, potete approfondire il processo nella nostra Guida alla valutazione del rischio basata sui dati.)
Comprendere la quantificazione del rischio
Partiamo dalle basi: che cos’è, esattamente, la valutazione quantitativa del rischio?
Che cos’è la quantificazione del rischio?
La valutazione quantitativa del rischio (talvolta abbreviata in QRA) assegna un valore monetario a un rischio di cybersecurity in base al suo potenziale impatto e alla sua probabilità. Si pone la domanda: Se questo asset viene esposto attraverso questa vulnerabilità, quanto ci costerà? A differenza dei metodi qualitativi, che classificano i rischi in categorie di gravità, un approccio quantitativo offre un quadro più oggettivo.
Perché è importante? Le valutazioni qualitative del rischio di cybersecurity lasciano molto più spazio all’interpretazione. Tradurre il rischio nel linguaggio del business, cioè in termini economici, elimina gran parte di questa ambiguità e aiuta i leader non specializzati in sicurezza a comprendere che cosa significhi davvero un rischio “alto” nel contesto specifico.
Come si inserisce la quantificazione del rischio nella strategia di cybersecurity più ampia?
Quantificare il rischio è uno strumento essenziale per gestire l’esposizione, ma non è l’obiettivo finale. Costituisce invece la base per prendere decisioni di mitigazione del rischio.
Ad esempio, quando potete presentare l’esposizione al rischio come “1,5 milioni di dollari in potenziali danni dovuti a un fornitore che utilizza comunicazioni cloud non crittografate”, diventa più facile valutare le opzioni per rispondere a quel rischio, che esamineremo più nel dettaglio più avanti in questo articolo.
Interpretare l’analisi quantitativa del rischio: elementi chiave
Ci sono alcuni elementi chiave di un’analisi quantitativa del rischio che è importante comprendere per interpretarne i risultati.
- Valore dell’asset (AV): Il valore dell’asset protetto per la vostra organizzazione.
- Fattore di esposizione (EF): La percentuale del valore dell’asset che potrebbe andare persa o essere compromessa se il rischio si materializza.
- Tasso annuo di occorrenza (ARO): La frequenza con cui si prevede che quel rischio si materializzi ogni anno. (Può essere inferiore a 1 per i rischi che si materializzano meno di una volta all’anno.)
Queste tre cifre consentono di calcolare:
- Perdita singola attesa (SLE): Il valore finanziario che andrebbe perso in un singolo evento di minaccia se il rischio si materializza. Questo valore si calcola usando la formula AV x EF.
- Perdita annua attesa (ALE): Il valore finanziario che andrebbe perso ogni anno se il rischio si materializza. Questo valore si calcola usando la formula SLE x ARO.
- ALE residua: Il valore finanziario che andrebbe perso ogni anno se il rischio si materializza dopo l’applicazione delle mitigazioni. Le mitigazioni riducono l’EF, l’ARO o entrambi, ma per il resto i calcoli rimangono invariati.
L’ALE è il principale output dell’analisi del rischio ed è la cifra più importante da usare per valutare le opzioni di risposta al rischio. Ma non è un numero perfetto: per questo c’è un altro elemento chiave, l’incertezza.
AV, EF e ARO sono tutte stime. Idealmente sono stime molto accurate, basate su ricerche approfondite, ma restano comunque stime. Il livello di fiducia che dovreste avere in tali stime è solitamente rappresentato da un livello di confidenza (ad esempio 80%), seguito da un elenco di incognite.
Dal rischio all’azione: la risposta al rischio
Finora abbiamo visto come interpretare una valutazione quantitativa del rischio. Ma lo scopo ultimo dell’analisi del rischio è decidere cosa fare rispetto a quel rischio.
Tutte le risposte al rischio rientrano, in linea generale, in una di quattro categorie: evitare, accettare, trasferire o mitigare.
Evitare
Evitare il rischio significa eliminare completamente l’esposizione. È l’unica risposta al rischio che lo riduce effettivamente a zero. In termini pratici, significa chiudere un processo o un sistema che comporta rischio.
L’eliminazione del rischio è sostanzialmente un’opzione estrema, raramente praticabile. Ad esempio, potete ridurre a zero il rischio di phishing interrompendo tutti gli scambi di email con l’esterno. Se operate in ambiti di sicurezza nazionale, potrebbe effettivamente valerne la pena. Per tutti gli altri, questo bloccherebbe bruscamente le attività aziendali.
L’analisi del rischio potrebbe supportare questa risposta in due situazioni: se l’ALE è così estrema che nessuna strategia di mitigazione può ridurla a un livello accettabile, oppure se esiste un’alternativa 1:1 al processo o al sistema che comporta rischio e che ridurrebbe l’EF o l’ARO a zero.
Accettare
Accettare il rischio significa scegliere di non fare nulla. Anche se a prima vista può sembrare irragionevole, è un’opzione che merita seria considerazione.
Esiste uno scenario molto semplice in cui accettare il rischio è l’opzione migliore: quando il costo della mitigazione supera l’ALE residua (cioè l’ALE dopo la mitigazione). In questa situazione, proteggere l’organizzazione costa più di quanto essa rischia di perdere.
Ma esistono anche situazioni più sfumate in cui l’accettazione ha senso. Queste tengono conto del costo opportunità della mitigazione di un rischio, sia che riguardi in modo circoscritto il team di sicurezza, sia che rappresenti un costo opportunità per l’azienda nel suo complesso.
Nessun team di sicurezza dispone di risorse illimitate. L’accettazione è un’opzione ragionevole (anche se scomoda) se scegliere di mitigare questo rischio significa sottrarre risorse alla gestione di un’esposizione più preoccupante. Soprattutto quando la strategia di mitigazione è molto manuale e richiederebbe molte ore di lavoro del personale per essere implementata, a quali altre attività si rinuncia per dedicare tempo a questo intervento?
C’è anche un costo opportunità più ampio da considerare: quali opportunità l’azienda dovrebbe rinunciare per mitigare o evitare il rischio. In altre parole, l’accettazione può avere senso quando l’opportunità di business è superiore all’ALE. Potrebbe essere il caso, ad esempio, dell’apertura di un data center in un Paese estero per fornire servizi cloud a un nuovo mercato. Pur esponendovi a nuovi rischi di sicurezza, esiste un chiaro vantaggio per il business.
Trasferire
Trasferire il rischio significa spostarne l’onere su un’altra parte, di solito un’assicurazione per la cybersecurity. In generale, trasferire il rischio a un’assicurazione è un’opzione quando il costo dell’assicurazione è inferiore alla vostra ALE, ma ci sono alcune avvertenze.
Innanzitutto, l’assicurazione copre solo il costo finanziario di un incidente di sicurezza. Agli incidenti di sicurezza sono associati anche danni legali e reputazionali. Se la vostra ALE ha tenuto conto di questi danni e ha assegnato loro un valore monetario (cosa che idealmente dovrebbe aver fatto), dovrete scomporre quella cifra per considerare solo i costi finanziari immediati. Trasferire il rischio ha senso quando il rischio finanziario è elevato, ma i rischi legali e reputazionali sono bassi.
In secondo luogo, l’assicurazione richiederà quasi certamente la presenza di alcuni controlli di sicurezza e potrebbe anche interrompere la copertura per incidenti ricorrenti. Ciò significa che dovrete aggiungere il costo di tali controlli al costo dell’assicurazione, con la possibilità di modificare il vostro calcolo. Significa anche che trasferire il rischio a un’assicurazione può essere solo una misura temporanea per un rischio con un ARO elevato.
Mitigare
La mitigazione è la risposta più proattiva: consente di ridurre l’esposizione applicando controlli di sicurezza, correggendo vulnerabilità, risolvendo configurazioni errate e così via.
La mitigazione non eliminerà l’esposizione: l’unico modo per farlo è evitare del tutto il rischio. La mitigazione, invece, riduce il rischio attraverso interventi che abbassano l’EF, l’ARO o entrambi. È quindi possibile calcolare una nuova ALE, nota come ALE residua.
In generale, la mitigazione è una buona opzione quando la differenza tra l’ALE originale e l’ALE residua è superiore al costo della mitigazione.
Integrare la propensione al rischio (o come gestire i casi limite)
Non tutte le valutazioni del rischio offrono una scelta di risposta netta. Ci saranno sempre casi in cui i margini tra due opzioni sono ridotti o il livello di incertezza è elevato. Integrare la propensione al rischio vi aiuterà a interpretare questi casi limite. La propensione al rischio di solito non fa parte di un’analisi del rischio, ma è una prospettiva utile attraverso cui interpretarla.
(Se la vostra organizzazione non ha già documentato la propria propensione al rischio, potete usare questo modello di dichiarazione della propensione al rischio modificabile come punto di partenza.)
La propensione al rischio è il livello di rischio che un’organizzazione è disposta ad accettare nel perseguire i propri obiettivi. Una propensione al rischio elevata significa essere aperti ad accettare rischi maggiori in cambio di possibili ricompense più elevate, mentre una bassa propensione al rischio significa preferire ridurre il rischio il più possibile. La propensione al rischio esiste su più dimensioni: potreste avere un’elevata propensione al rischio operativo ma una bassa propensione al rischio di conformità.
All’interno di ciascuna di queste dimensioni (rischio di sicurezza, rischio di conformità, rischio di innovazione e così via), ci sono diversi fattori chiave da considerare:
- Capacità di rischio è la quantità massima di rischio che un’organizzazione può sostenere, generalmente determinata da risorse finanziarie, capacità operative e vincoli normativi.
- Tolleranza al rischio è una deviazione accettabile rispetto all’obiettivo.
- Soglie di rischio sono “linee rosse” che indicano la necessità di un cambio di strategia.
La soglia tra tolleranza e capacità, o persino tra diversi gradi di tolleranza, può aiutarvi a orientarvi nelle aree grigie, in cui non è chiaro quale sia la risposta al rischio appropriata.
Trasformare gli insight in azione
Comprendere una valutazione quantitativa del rischio è solo il primo passo: il vero valore nasce dall’uso di questi insight per passare all’azione. Che si tratti di evitare, accettare, trasferire o mitigare il rischio, l’obiettivo è lo stesso: bilanciare i rischi di sicurezza con le priorità aziendali, così da poter agire con decisione.
FAQ
Che cos’è la valutazione quantitativa del rischio?La valutazione quantitativa del rischio, talvolta abbreviata in QRA, è un processo formale per assegnare un valore finanziario a un rischio di cybersecurity, in base al suo potenziale impatto e alla probabilità che si verifichi.
Che cos’è la perdita annua attesa? La perdita annua attesa è il principale output di una valutazione quantitativa del rischio. È il valore finanziario che andrebbe perso ogni anno se questo rischio si materializzasse. Si calcola usando la formula Perdita singola attesa (SLE) x Tasso annuo di occorrenza (ARO), dove la perdita singola attesa è Valore dell’asset (AV) x Fattore di esposizione (EF).
Che cos’è la propensione al rischio?La propensione al rischio è il livello di rischio che un’organizzazione è disposta ad accettare nel perseguire i propri obiettivi. Influenza le decisioni di risposta al rischio fornendo un framework per valutare i compromessi tra rischi di sicurezza e priorità aziendali.