Un nuovo servizio di F-Secure quantifica l’impatto di una violazione prima che accada, dando la possibilità ai investire nei controlli di sicurezza
E’ indubbio, nelle aziende italiane, soprattutto le medie o piccole, esiste per quanto concerne la sicurezza un certo fatalismo e il fatto che si continua a vederla come una spesa e non come un investimento.
Di certo alcuni report internazionali non aiutano. Quando si legge che il fermo macchina di un’ora o l’infiltrazione di un hacker può causare milioni di dollari di danno e magari questo corrisponde al fatturato d un intero anno fiscale, si ha una sorta di astrazione e non ci si sente coinvolti.
Costi spropositati per la media delle PMI italiane sono in sostanza privi o quasi di significato quando si tratta di prevedere un impatto effettivo di violazione in una società specifica.
Per rimanere con i piedi per terra e aiutare le aziende a predire e gestire il loro rischio, e dare una mano ai responsabili della sicurezza nell’ottenere del budget, F-Secure ha introdotto Cyber Breach Impact Quantification (CBIQ), un nuovo servizio che quantifica il costo dell’impatto di una violazione informatica per un’organizzazione.
La genesi della soluzione approntata da F-Secure trae origine dal fatto che i dati dei clienti dalle valutazioni di gestione del rischio di F-Secure indicano che la maggior parte delle organizzazioni non sono ben preparate per gestire violazioni.
Mentre il 50% delle organizzazioni ha un team di “crisis management” preparato per affrontare disastri fisici o gravi interruzioni, solo il 20% ha un team in grado di gestire efficacemente una crisi informatica. In aggiunta, il 65% delle aziende non ha mai condotto un test per fare delle prove contro un incidente informatico.
Quantificare il costo di una violazione potenziale è però uno strumento che permette al le organizzazioni di intraprendere azioni per diventare più preparate e resilienti a ragion veduta e con una chiara visione dei costi e dei benefici.
«Le aziende ritengono che sia troppo difficile quantificare i rischi informatici, così investono milioni in ogni genere di strumento di controllo, giusto per sentirsi al sicuro. Ma può essere che stiano investendo nella direzione sbagliata, e quando la violazione accade, vengono colte di sorpresa. CBIQ rimuove questa amibiguità, permettendo di conoscere il giusto livello di investimenti in sicurezza che le aziende devono mettere in campo per proteggere i loro asset più importanti», ha illustrato spiega Marko Buuri, Principal Risk Management Consultant in F-Secure.
Come funziona la monetizzazione del rischio
Ma come funziona il tutto? Durante una valutazione CBIQ, i consulenti di F-Secure intervistano e lavorano con persone esperte nell’organizzazione per analizzare le attività operative. Considerano le varie forme di perdite associate con le violazioni, come i costi delle indagini informatiche forensi, il ripristino del servizio, la risposta legale, le attività di comunicazione e l’interruzione dell’attività.
Inseriscono poi questi costi nello strumento di simulazione di F-Secure, che calcola i risultati più probabili e determina le deviazioni medie e standard in tempo reale utilizzando strumenti di analisi statistica. Quello che ne esce è un esito finale di CBIQ consistente in un rapporto del rischio basato sulla struttura dei costi di un’organizzazione e sulle perdite attese.
Buuri evidenzia come l’approccio CBIQ differisce dai metodi tradizionali di rappresentazione del rischio che solitamente elaborano categorie di “alto, medio o basso rischio” con strumenti generali come Excel. “Mentre altre valutazioni del rischio mostrano risultati vaghi e discutibili, noi mostriamo numeri definitivi basati su input trasparenti e giustificabili. Perché affidarsi a stime approssimative quando puoi produrre una vista difendibile del rischio?”
In sostanza, carta canta, verrebbe da aggiungere.