La cyber resilience è una priorità strategica per tutte le organizzazioni in un mondo sempre più digitalizzato e interconnesso, in cui la cyber security, l’Information Security (InfoSec) e il Risk Management hanno un ruolo fondamentale specifico e, al contempo, complementare nel proteggere dalle minacce cibernetiche e nel garantire la continuità operativa.

I ruoli di cyber security, Information Security (InfoSec) e Risk Management nella cyber resilience

Garantire la cyber resilience, ovvero la capacità di un’organizzazione di anticipare, resistere, recuperare da eventi avversi cibernetici, è fondamentale nell’era digitale. Cyber security, Information Security (InfoSec), e Risk Management giocano ruoli cruciali in questo processo, contribuendo in modo complementare a definire una strategia di cyber resilience

Cyber security – La cyber security si concentra sulla protezione dei sistemi informatici, delle reti e dei dati dagli attacchi cibernetici. Il suo obiettivo è difendere le risorse digitali da accessi non autorizzati, danneggiamenti o interruzioni causate da attacchi come malware, ransomware, phishing e altre forme di cybercrime.

Le pratiche di cyber security includono:

• Implementazione di misure tecniche come firewall, antivirus e sistemi di prevenzione delle intrusioni.
• Monitoraggio continuo delle reti e dei sistemi per rilevare e rispondere tempestivamente agli incidenti di sicurezza.
• Crittografia dei dati per proteggere le informazioni sensibili durante la trasmissione e l’archiviazione.

Information Security (InfoSec) – L’information security è un concetto che comprende la protezione di tutte le forme di informazioni, sia digitali che fisiche, da accessi non autorizzati, divulgazione, alterazione, distruzione o perdita. È doveroso ricordare che l’InfoSec si basa su tre principi fondamentali noti come CIA Triad, ovvero:

• Confidenzialità – Assicurare che le informazioni siano accessibili solo a coloro che sono autorizzati a vederle.
• Integrità – Garantire l’accuratezza e la completezza delle informazioni e dei metodi di elaborazione.
• Disponibilità – Assicurare che le informazioni siano disponibili e accessibili agli utenti autorizzati quando necessario.

Di fatto, l’InfoSec rappresenta un ambito esteso che copre la protezione complessiva del patrimonio informativo, estendendosi alla salvaguardia dei dati in tutte le loro forme, oltre ad incorporare elementi legati sia alla gestione organizzativa sia alla sicurezza fisica.

Risk Management – Il Risk Management si occupa di identificare, valutare e mitigare i rischi legati alla InfoSec e alla cyber security.

Il processo include:

• Identificazione e Valutazione dei Rischi– Identificare le minacce e valutare la vulnerabilità delle risorse aziendali alle minacce identificate.
• Trattamento dei Rischi – Decidere come affrontare ogni rischio identificato (accettare, mitigare, trasferire o evitare il rischio).
• Monitoraggio e Revisione – Monitorare continuamente il panorama delle minacce e rivedere l’efficacia delle misure di mitigazione adottate.

Di fatto, il Risk Management aiuta le organizzazioni a prendere decisioni informate su come allocare le risorse per la protezione delle informazioni e per pianificare la risposta agli incidenti di sicurezza.

Collaborazione per la Cyber Resilience

La collaborazione tra cyber security, InfoSec e Risk Management è essenziale per garantire una solida cyber resilience.

È doveroso evidenziare che, egli ultimi vent’anni, la InfoSec ha iniziato a intrecciarsi strettamente con il Risk Management, spinta sia dall’evoluzione tecnologica in diversi settori sia dall’aumento del valore strategico attribuito alle informazioni.

Questa dinamica ha incoraggiato le organizzazioni ad abbracciare naturalmente l’integrazione di Risk Management e InfoSec attraverso l’adozione di framework di Enterprise Risk Management (ERM), con l’obiettivo di assicurare una robusta sicurezza delle informazioni.

Inoltre, considerando l’attuale contesto, in cui i rischi cyber si presentano con una frequenza e imprevedibilità crescenti, si è giunti alla consapevolezza che la InfoSec non può più essere delegata esclusivamente ai team IT.

Essa si converte in un impegno che permea l’intera organizzazione, sottolineando la necessità di un approccio olistico alla gestione dei rischi cyber, potendo contare anche con il contributo della cyber security in contesti sempre più digitalizzati ed interconnessi.

Una Road Map semplificata per la cyber resilience dell’organizzazione

Una strategia congiunta di Risk Management, InfoSec e Cybersecurity può essere implementata considerando una road map semplificata per conseguire la cyber resilience, stabilendo obiettivi e scopi atti a garantire che le capacità e i risultati conseguiti siano allineati con gli obiettivi ed il profilo di rischio dell’organizzazione.

Ciò assicura che la strategia di cyber resilience possa essere implementata nel modo più sicuro possibile, fornendo spazio per l’evoluzione degli scenari e far fronte a fattori interni ed esterni in continuo mutamento.

È doveroso evidenziare che l’implementazione di una strategia di cyber resilience può risultare complessa sia per la molteplicità di numerosi fattori che concorrono al successo della stessa, sia perché richiede la collaborazione di tutti i livelli dell’organizzazione.

Tuttavia, le organizzazioni possono intraprendere questo viaggio supportati da una road map semplificata ed agile che si basa su un numero di fasi limitato per stabilire una strategia efficace e capace di garantire risultati tangibili attraverso un approccio olistico. Vediamo in cosa consiste questa road map semplificata costituita da cinque fasi.

Fase uno: conoscenza – La prima fase si basa sulla conoscenza dell’organizzazione. Ovvero, l’organizzazione deve conoscere sé stessa in profondità e avere una comprensione del proprio contesto interno ed esterno. Inoltre, in questa fase si stabilirà quanto avanzata o basilare debba essere la strategia, prendendo in considerazione metriche tangibili.

È doveroso sottolineare che le organizzazioni dovranno stabilire la propria strategia di cyber resilience in base al budget, agli obiettivi ed ai piani di crescita. Ovvero una strategia su misura, stabilendo il proprio:

• Risk profile – Livello attuale di rischio cui risulta essere esposta l’organizzazione in un determinato momento.
• Risk appetite – Livello di rischio che l’azienda può accettare per creare valore ed è considerato parte imprescindibile della Risk Management aziendale.
• Risk tolerance – Il rischio massimo specifico che un’azienda è disposta a correre per ogni tipo di rischio. La tolleranza al rischio definisce i confini entro i quali l’azienda è a proprio agio nell’operare data la sua propensione al rischio complessiva.
• Risk capacity – Ammontare massimo di rischio che organizzazione è in grado di assumere, senza compromettere vincoli, requisiti regolamentari o la continuità aziendale stessa

Il profilo di rischio dell’organizzazione è utile in quanto consentirà alla strategia di cyber resilience di essere costruita in allineamento con il framework di Enterprise Risk Management (ERM) e coerente con gli obiettivi ERM.

Fase due: definizione della strategia – La seconda fase ha lo scopo di definire la strategia in conformità con la pianificazione, la disponibilità del personale, le capacità, e la cultura dell’organizzazione. Ovvero si tratta di.

• Effettuare una pianificazione strutturata – La strategia di cyber resilience, considerando la continua evoluzione degli scenari in termini di rischi cyber, dovrebbe essere dispiegata su due livelli. Ovvero, si tratta di predisporre sia un piano annuale prescrittivo sia un piano ad alto livello a tre-cinque anni che sia abbastanza flessibile da poter essere modificato in base alle esperienze/risultati derivati dal piano annuale.
• Concordare lo stato futuro delle performance dell’organizzazione – Lo stato futuro delle performance, che ci si prefigge di raggiungere, deve essere concordato dai leader dell’organizzazione, poiché ciò presenterà il livello desiderato al momento dell’esecuzione della strategia di cyber resilience

• Garantire Disponibilità e Capacità del Personale – La disponibilità e la capacità del Personale sono elementi cruciali in qualsiasi strategia, considerando che le persone in un’organizzazione costituiscono la forza trainante dietro il dispiegamento di una strategia operativa e, a maggior ragione, quando si tratta di cyber resilience.
• Stabilire una cultura dell’Organizzazione – La cultura di un’organizzazione determinerà quale tipo di implementazione e di comunicazione utilizzare per la strategia di cyber resilience, considerando che il livello di accettazione di una strategia potrebbe sia realizzare sia vanificare gli obiettivi della stessa. Di fatto, nessuno nell’organizzazione deve essere lasciato indietro e tutti devono concorrere al conseguimento degli obiettivi della strategia di cyber resilience.

Fase tre: sviluppo della strategia

La terza fase si concentra sullo sviluppo della strategia partendo dalla definizione del modello di governance, stabilendo, altresì, come la strategia verrà utilizzata operativamente e valutando le competenze del personale. Ovvero si tratta di:

• Stabilire il Modello di Governance – Il modello di governance, una volta definito, dovrebbe consentire il monitoraggio sia delle singole parti dell’organizzazione sia della somma di tutte le parti in modo olistico.
• Competenza del Personale – Il personale deve essere competente e in grado di fornire il controllo necessario all’esecuzione della strategia. È importante eseguire un’analisi delle lacune per determinare se il personale è attrezzato per gestire l’esecuzione della strategia in termini di obiettivi e, ove necessario, progettare percorsi di formazione e sessioni di awarness per elevare i livelli di competenza ai requisiti della strategia di cyber resilience.
• Strategie di cyber resilience –La cyber resilience deve essere declinata in

• Resilienza strutturale – Basata sulla conoscenza delle dinamiche sistemiche all’interno dell’organizzazione;
• Resilienza integrativa – – Basata sulla conoscenze dellecomplesse interconnessioni con il contesto esterno
• Resilienza trasformativa – Basata sulla consapevolezza che la mitigazione di alcuni rischi implica la trasformazione dell’organizzazione.

A fronte di quanto sopra, sarà possibile utilizzare la strategia operativamente, includendo gli aspetti di InfoSec e di cybersecurity per garantire la capacità dell’organizzazione di affrontare le sfide legate ai cyber risk.

Inoltre, in questa fase di tratta di strutturare come diffondere una cultura della sicurezza secondo un approccio risk-based e resilience-based.

Fase quattro: metriche

La quarta fase comporta la misurazione della strategia di cyber resilience che include tipicamente l’uso di Key Perfomance Indicator (KPI) per misurare la performance e l’efficacia della strategia. Ovvero, si tratta di:

• Sviluppare dei KPI – Lo sviluppo di Key Performance Indicator (KPI) è cruciale per valutare l’efficacia della strategia di cyber resilience in varie aree dell’organizzazione. Questi indicatori forniscono misurazioni oggettive che consentono di determinare il successo o l’insuccesso delle iniziative adottate, offrendo – al tempo stesso – dati concreti per orientare le azioni correttive in risposta a incidenti imprevisti o per il loro monitoraggio..
• Definire soglie per i KPI – I KPI dovrebbero essere caratterizzati da soglie chiare e ben definite per essere il più efficaci possibile nella misurazione dei limiti accettabili e inaccettabili, nonché nel valutare l’allineamento con gli obiettivi dell’organizzazione.

Fase cinque: implementazione

La quinta e ultima fase della strategia di cyber resilience comporta l’implementazione efficiente della strategia assicurando che la conformità, una governance solida e un piano di comunicazione su misura siano tutti stabiliti all’interno dell’organizzazione in modo tale da: stabilire cosa comporta l’eventuale non-conformità; istituire un comitato di sorveglianza; garantire una comunicazione costante ed efficace tramite un strutturato piano di comunicazione.

Conclusione

Il successo di una strategia di cyber resilience varia in base a molteplici fattori, ma se implementata correttamente, essa diventa un elemento cruciale per assicurare che l’organizzazione rimanga protetta, affidabile e performante in contesti imprevedibili e in continua evoluzione, come quelli attuali che stiamo vivendo.

La road map per la strategia di cyber resilience proposta può essere vista come una sorta di “bussola” che ogni organizzazione può adattare per sviluppare la propria strategia secondo un approccio più specifico e mirato, tenendo conto che l’InfoSec e la Cyber security dovrebbero essere integrate nella strategia di Enterprise Risk Management (ERM) per assicurare una protezione totale e un allineamento con gli obiettivi di business.

In altre parole, l’idea è di adottare sempre più una visione olistica, considerando ogni componente dell’organizzazione come parte fondamentale di un ecosistema che funziona ottimamente solo quando tutte le sue parti agiscono in modo coordinato per il bene comune.

In conclusione, fondendo insieme Risk Management, cyber security e InfoSec, le organizzazioni possono, in una metafora ardita, agire come un’orchestra sinfonica che, supportata da tutte le altre funzioni, suona all’unisono per realizzare la sinfonia della cyber resilience dell’organizzazione.