È come una vecchia Polaroid sbiadita: l’epoca in cui un computer con software centralizzato era custodito al sicuro in un ufficio chiuso a chiave. Per la maggior parte delle organizzazioni, infatti, quell’epoca appartiene al passato: ricordata con nostalgia, ma ormai completamente lontana dalla realtà attuale.

Basti pensare a quanti dispositivi, asset e persone interagiscono oggi con l’infrastruttura IT di un’azienda:

  • Dispositivi (desktop, laptop, dispositivi mobili e IoT, sia aziendali sia personali).
  • Software e applicazioni (sempre più spesso basati sul cloud e in gran parte al di fuori del controllo dell’organizzazione).
  • Asset digitali e documenti.
  • API e integrazioni.
  • Personale interno, dipendenti da remoto/ibridi, freelance, collaboratori esterni e fornitori.

Inoltre, molti di questi dispositivi, applicazioni e asset potrebbero far parte di un vasto patrimonio di shadow IT, invisibile ai team IT e di cybersecurity.

Questo ecosistema in crescita ha creato un panorama del rischio IT altrettanto complesso. Un rischio IT non mitigato può avere un impatto rilevante su finanze, funzionalità, morale e reputazione aziendale. Il flusso costante di minacce di cybersecurity che le organizzazioni devono affrontare, unito al loro impatto molto concreto, ha reso evidente la necessità di un processo solido di gestione del rischio IT.

In questa guida sintetica alla gestione del rischio IT, tratteremo:

  • Che cos’è la gestione del rischio IT?
  • Cinque passaggi per la gestione del rischio nell’IT.
  • Quali processi e strategie di gestione del rischio IT adottare.
  • Best practice per la gestione del rischio IT.

Che cos’è la gestione del rischio IT?

Un’azienda affronta “rischi” di varia natura in quasi ogni ambito della propria organizzazione e delle proprie attività. Ma quando parliamo di gestione del rischio IT, intendiamo il rischio di cybersecurity

Come abbiamo visto, con la crescente integrazione di processi e strumenti IT complessi nelle attività quotidiane di un’organizzazione, aumentano anche i rischi associati. Entra quindi in gioco la gestione del rischio IT: una pratica che applica i principi della gestione del rischio alle organizzazioni IT.

La gestione del rischio IT comporta l’identificazione, la valutazione e la definizione delle priorità dei rischi per il capitale e i ricavi di un’organizzazione. Prevede l’adozione di misure per ridurre al minimo, monitorare e controllare l’impatto di tali rischi.

In termini più semplici, significa proteggere asset aziendali di valore, garantire il rispetto di regole e standard, mantenere un’immagine positiva, prendere decisioni informate e assicurare continuità operativa e resilienza, anche nelle situazioni più difficili.

La gestione del rischio non è una novità per le organizzazioni: si tratta semplicemente di applicare processi e procedure già noti alla rete sempre più ampia di interazioni IT. Quando le organizzazioni sviluppano piani di gestione del rischio IT, spesso ciò include l’assegnazione di ruoli familiari, come il risk manager e l’analista di remediation del rischio: figure che dovrebbero avere non solo una solida conoscenza delle pratiche generali di gestione del rischio, ma anche un background IT, per garantire che i rischi siano valutati e corretti adeguatamente.

Il nuovo panorama del rischio cyber

Una sfida importante, tuttavia, è che i rischi che i team IT e di cybersecurity devono affrontare non restano fermi. Anzi, la loro natura in continuo cambiamento è forse il loro tratto distintivo e la principale fonte di rischio.

Negli ultimi cinque anni, la natura della gestione del rischio IT si è evoluta in modo significativo, ampliando il proprio ambito e significato per rispondere alle sfide di un panorama del rischio cyber in continua evoluzione.

Il compito di semplificare la gestione del rischio IT è diventato progressivamente più complesso, poiché le minacce che deve affrontare, sotto molti aspetti, non corrispondono alle definizioni tradizionali di “rischio”.

Definire il rischio IT e le discipline su cui incide

Cominciamo da una domanda di base: con quali rischi abbiamo davvero a che fare? Perché non sono più gli stessi di poco tempo fa.

Nella sua forma più essenziale, un rischio IT potrebbe manifestarsi come un data center compromesso, una vulnerabilità nel computer di una persona o un virus malevolo. Ma le minacce di oggi, più diversificate e dinamiche, richiedono di prendere in considerazione la gestione delle vulnerabilità basata sul rischio (RBVM) e di esplorare modi per automatizzare questo processo. Inoltre, dobbiamo prevenire proattivamente i rischi adottando pratiche DevSecOps.

Per inquadrare il tema, distinguiamo tra rischio IT e rischio di sicurezza:

  • Rischio IT si riferisce a potenziali esiti negativi legati al malfunzionamento o all’uso improprio dell’IT.
  • Rischio di sicurezza si riferisce a qualcuno o qualcosa che rappresenta una potenziale minaccia per la sicurezza o potrebbe causare danni a un’organizzazione.

Con l’evoluzione del panorama della cybersecurity, è cambiato anche il nostro modo di concepire minacce e vulnerabilità: le organizzazioni affrontano minacce e l’esposizione a tali minacce rappresenta una vulnerabilità. Quando queste vulnerabilità vengono sfruttate, diventano rischio. La gestione del rischio IT dipende quindi dalla gestione delle vulnerabilità IT. Potremmo non eliminare mai del tutto le minacce, ma possiamo modularle e contenerle attraverso una gestione vigile delle vulnerabilità.

Due discipline centrali per la gestione delle vulnerabilità IT sono la gestione degli asset IT (ITAM) e la gestione dei servizi IT (ITSM), insieme alle tecnologie che impiegano:

  • L’ITAM prevede il monitoraggio e l’ottimizzazione degli asset di un’organizzazione, fisici e digitali, lungo tutto il loro ciclo di vita, garantendo un utilizzo efficiente e una corretta gestione delle risorse di valore.
  • Gli strumenti ITAM consentono la gestione degli elementi di configurazione (CI), come asset hardware e software, affinché l’IT possa configurare, ottimizzare e monitorare i CI lungo tutto il loro ciclo di vita.
  • L’ITSM è la pratica di progettare, erogare, gestire e migliorare i servizi IT per soddisfare le esigenze dell’organizzazione in modo efficiente ed efficace. I relativi strumenti e best practice migliorano la capacità dell’IT di monitorare, rispondere e fornire assistenza per le richieste tecnologiche degli utenti finali e di qualsiasi altro cliente interno.
  • Gli strumenti ITSM possono inoltre consentire agli utenti di procedere in modalità “self-service”, risolvendo problemi tecnici semplici e comuni nell’ambito di un’iniziativa per ottenere un supporto help desk di livello zero.
  • Un’altra disciplina che contribuisce al controllo del rischio IT è la gestione dell’esposizione, un ambito emergente che identifica e mitiga proattivamente potenziali vulnerabilità e rischi di sicurezza prima che possano essere sfruttati.

In che modo questi strumenti si prestano a semplificare la gestione del rischio IT, soprattutto considerando quanto siano diventati complessi le reti IT e le minacce informatiche?

Le piattaforme tecnologiche ITAM e ITSM con le funzionalità adeguate possono aiutare un’organizzazione a unificare le operazioni IT all’interno di un processo di sicurezza a ciclo chiuso, in cui il rilevamento, la valutazione e la remediation delle vulnerabilità avvengono in modo automatizzato, continuo e proattivo.

La parola chiave è, naturalmente, “automatizzato”. L’intervento umano non è necessario se le vulnerabilità possono essere corrette con patch o i problemi risolti prima che abbiano un impatto sugli utenti, evitando conseguenze sulla sicurezza o persino la necessità di contattare un help desk.

Spostare a sinistra i carichi di lavoro della sicurezza IT

Gli strumenti utilizzati dall’IT, in particolare ITAM e ITSM, possono quindi aiutare la Sicurezza a “spostarsi a sinistra” sfruttando l’automazione di ITAM e ITSM. Consentono di eseguire più azioni di sicurezza con meno lavoro e costi inferiori, evolvendo verso una remediation proattiva del rischio.

In quali modi le automazioni ITAM e ITSM possono essere utilizzate per semplificare il lavoro dei team di sicurezza?

Migliorare le opzioni self-service per gli utenti finali

Automatizzare il triage di richieste e domande di sicurezza, in modo che le richieste di livello inferiore vengano indirizzate al personale di livello adeguato, liberando gli analisti senior da attività come l’identificazione del phishing o simili. Implementare moduli di richiesta per l’accesso ai file o le esenzioni dalle policy all’interno di una wiki di sicurezza, abilitando il supporto self-service di livello zero per gli utenti.

Unificare la risoluzione degli incidenti di sicurezza

Riutilizzare il software di ticketing IT e le code di prioritizzazione, alimentate dai moduli di richiesta, per migliorare la definizione delle priorità, il monitoraggio e la contestualizzazione.

Riutilizzare le automazioni IT di background per casi d’uso di sicurezza

Le stesse automazioni IT proattive all’interno di ITAM e ITSM, attivate in base a impostazioni specifiche, possono essere clonate e adattate per rispondere a un’ampia gamma di finalità di sicurezza, come proteggere gli ambienti endpoint e rilevare attività malevole.

Configurare trigger di automazione

I team di sicurezza possono utilizzare i CI correnti e creare variabili personalizzate specifiche per la sicurezza, monitorate nel database di gestione della configurazione (CMDB) di un ITAM sia come trigger sia come componenti di formule automatizzate.

Automatizzare l’applicazione delle misure di sicurezza

Le stesse funzionalità IT che applicano le policy generali sui computer per gli utenti possono generare report e applicare protocolli di sicurezza. Ad esempio, possono inviare avvisi su possibili violazioni delle policy o minacce interne non appena vengono rilevate.

5 elementi chiave per ottimizzare la gestione del rischio IT

Semplificare e ottimizzare la gestione del rischio IT non riguarda solo l’IT. Il team di cybersecurity della vostra organizzazione ha naturalmente un interesse diretto in qualsiasi misura volta a migliorare l’efficienza e l’efficacia dei processi e degli strumenti implementati. Ecco perché molti dei passaggi chiave per migliorare la gestione del rischio IT ruotano attorno alla comunicazione e alla collaborazione tra IT, Sicurezza e altri stakeholder.

Per un approfondimento sui punti seguenti, consultate il nostro e-book Da avversari ad alleati.

1. I team di sicurezza dovrebbero spiegare i propri piani e le proprie richieste

Evitate imposizioni e fornite agli stakeholder dell’organizzazione spiegazioni sulla strategia e sui benefici alla base dei vostri piani, cambiamenti e richieste di sicurezza. Prima di avviare qualsiasi piano di sicurezza, il CISO dovrebbe condividere la strategia di sicurezza e il piano per implementarla, poiché i reparti IT possono rapidamente sentirsi frustrati da richieste di sicurezza non spiegate.

A causa di vincoli di tempo e risorse, le richieste di sicurezza possono essere inoltrate senza alcuna spiegazione sul motivo per cui viene richiesto il cambiamento. Questo può rendere difficile per l’IT implementarle. È importante che i team di sicurezza considerino in che modo le loro richieste possano essere attuate dai reparti IT.

2. Tenere conto del carico sull’IT

I team di sicurezza dovrebbero sempre considerare il carico di lavoro del team IT prima di formulare una richiesta: l’IT potrebbe essere impegnato in un progetto più ampio o non disporre di personale sufficiente per gestire l’attività. È fondamentale cercare strumenti e sistemi che semplifichino al team IT l’implementazione di policy, richieste e patch di sicurezza.

Combinare la gestione delle vulnerabilità basata sul rischio (RBVM) e l’ITSM contribuisce a ridurre il carico sull’IT, dando automaticamente priorità alle attività importanti e ignorando quelle classificate in modo errato.

Considerate questo dato: in qualsiasi momento, circa un quarto di milione di vulnerabilità viene identificato dal Common Vulnerability Scoring System e classificato come rischio alto, medio o basso. Di queste, circa 38.000 sono utilizzate come arma, e circa 11.000, pari al 4%, sono considerate pericolose. Attraverso la prospettiva dell’RBVM, emerge che la maggior parte dei rischi “critici” segnalati dal CVSS non è in realtà critica, perché possiamo individuare il 4% più pericoloso delle vulnerabilità alte e medie. Questa riclassificazione delle vulnerabilità identificate dallo standard CVSS reindirizza in modo significativo l’attenzione verso le vulnerabilità realmente critiche su cui il team IT deve concentrarsi.

3. Promuovere la collaborazione

I reparti che lavorano insieme per ottimizzare la gestione del rischio IT devono collaborare per raggiungere risultati reciprocamente vantaggiosi. In fondo, ciascuno ha le proprie priorità: l’IT vuole che le operazioni procedano senza interruzioni, mentre la Sicurezza vuole gestire i problemi il più rapidamente possibile.

Collaborando e adottando un approccio flessibile nella definizione di protocolli e processi di gestione del rischio IT, entrambi possono ottenere un risultato positivo. Un modo per creare questa flessibilità è stabilire accordi sui livelli di servizio (SLA) reciprocamente accettati.

4. Stabilire obiettivi condivisi

Sicurezza e IT hanno un terreno comune: entrambi vogliono mantenere l’organizzazione, gli utenti e i processi operativi senza intoppi. È quindi essenziale che la leadership IT e di Sicurezza si allinei sugli obiettivi e definisca indicatori chiave di prestazione (KPI), dashboard e altre metriche per monitorarli e rafforzarli.

È inoltre importante che un’organizzazione comprenda le implicazioni dell’introduzione di obiettivi strategici, in modo che qualsiasi impatto su prodotti, processi e persone sia noto prima che tali obiettivi vengano definiti in modo definitivo.

5. Offrire supporto concreto

Condividere risorse amministrative, competenze tecniche e strumenti tra i team di Sicurezza e IT può ridurre i costi e favorire la collaborazione. Ad esempio, se la Sicurezza utilizza strumenti, policy e processi IT per i propri casi d’uso, dovrebbe offrire qualcosa in cambio.

Strumenti, dashboard e report condivisi creano un contesto in cui entrambi i team possono comprendere i rispettivi ambiti di lavoro, sviluppando empatia e fiducia.

Considerate le minacce oggi diffuse nelle reti digitali aziendali, questo tipo di collaborazione è fondamentale.