Una best practice per lo sviluppo di un cyber risk appetite framework

Questo metodo è impiegato per determinare quali controlli sono necessari, le misurazioni risk-based eseguite nei confronti di un parametro, quale il livello di appetite accettato e condiviso

12 Ott 2022

Alberto Elia Martin

Da qualche anno, in particolare nella industry dei servizi finanziari, l’approccio risk-based applicato ai rischi di tipo cyber e IT, applicato attraverso una valutazione olistica dei fondamentali fattori di rischio, quali il grado di maturità delle security capabilities, la probabilità e la frequenza delle cyber minacce e la magnitudine dei potenziali impatti, risulta essere sempre più utilizzato per l’efficientamento del processo di prioritizzazione dei cyber controlli implementati e da implementare. Tuttavia, l’utilizzo del Cyber risk appetite framework (RAF) come strumento di decision making strategico con cui orientare le scelte implementative, è ancora un punto aperto all’interno del dibattito manageriale in cui questa best practice si inserisce. In particolare, nella cybersecurity dove questo metodo è impiegato per determinare quali controlli sono necessari, le misurazioni risk-based eseguite nei confronti di un parametro quale il livello di appetite accettato e condiviso, sono una best practice sulla quale sussistono ancora ampie differenze di orientamento.

A tal proposito, per quanto sia appurata la sua efficacia nel ridurre il rischio residuo a un livello che il business ritiene tollerabile, per essere adottato con successo deve basarsi su risk statements chiari e misurabili, formulati con un lessico di business e con ownership opportunamente assegnate; caratteristiche sulle quali i Regulators sia negli USA sia nella UE stanno progressivamente aumentando la pressione sulle organizzazioni da loro vigilate.

Recentemente, ad esempio, l’Office of the Comptroller of the Currency ha emesso una serie di findings nei confronti di un diverse di banche statunitensi per come avevamo malamente formulato i loro cyber risk statements; mentre nell’Eurozona le recenti guideline prodotte dalla European Banking Authority (EBA) si presume continueranno a stressare l’importanza di adottare un Cyber RAF ottimale sebbene alle istituzioni finanziarie non appaiano del tutto consistenti le modalità implementative in esse descritte né il valore che un Cyber RAF ottimale è in grado di generare.

Raccomandazione

Nonostante tra le istituzioni finanziare sia ampiamente consolidato l’utilizzo di soglie (i.e. thresholds), Key Risk Indicators (KRIs) e statements contenenti gli appetites con appropriate classificazioni quali-quantitative, a livello di business reale, sono ancora molteplici le difficoltà nel decidere quali soglie da e quali metriche adottare da una prospettiva della cybersecurity.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

Può infatti essere relativamente semplice per una banca dichiarare di avere un basso appetite per il rischio di tipo cyber, mentre è più complesso chiedersi quali fattori costituiscano un basso appetite in termini di implementazione dei cyber controlli e quale sia il limite di rischio residuo accettabile che la prima e la seconda linea di difesa dovrebbero considerare.

Per gestire efficacemente questi aspetti, si dovrebbe infatti mettere in piedi un Cyber Risk Appetite Framework (Cyber RAF) oggettivo in grado di supportare le decisioni di business sui rischi e di utilizzare metriche allineate agli obiettivi di business.

Nel fare questo servirebbero strutture organizzative in grado di comunicare sistematicamente al board i rischi di tipo cyber e tecnologico in modo impact-driven; una attività sicuramente di team e non individuale che dovrebbe necessariamente interfacciarsi con varie tipologie di stakeholders, dal board alle linee di business, dalle funzioni IT alla terza linea di difesa (i.e. internal audit).

Il Cyber risk appetite framework

Il Cyber RAF dovrebbe essere strutturato con tassonomie e obiettivi di controllo in grado di coprire tutti i rischi, attuali e emergenti.

Le tassonomie dovrebbero essere strutturate sulla perdita di disponibilità dei sistemi, sulla compromissione della riservatezza e dell’integrità dei dati, sui rischi di gestione del progetto o su qualsiasi ulteriore combinazione di tali possibilità.

Una volta che i rischi chiave sono compresi, le organizzazioni dovrebbero definire i loro appetites.

Tali dichiarazioni di propensione al rischio non dovrebbero essere solo orientate al business ma anche corrispondere al rischio tecnologico e alle tassonomie di cui sopra. Inoltre, queste dichiarazioni dovrebbero essere stratificate per importanza per l’azienda.

Ad esempio, i risk statements per l’indisponibilità dei sistemi potrebbero essere “non più di X minuti di inattività non pianificata per i sistemi associati ai servizi aziendali critici” e “non più di Y minuti di fermi imprevisti per sistemi associati con servizi commerciali non critici.”

A quel punto, l’organizzazione dovrebbe disegnare standard di controllo e modelli di controllo basati su questi statements: gli obiettivi di controllo dovrebbero coprire tutti i tipi di tecnologia e di cyber controlli e dovrebbero essere classificati per importanza per il business; dovrebbero anche essere misurabili, in modo che le organizzazioni possano monitorare l’aderenza ai loro obiettivi di controllo attraverso delle metriche.

Infine, le organizzazioni dovrebbero creare soglie per gli indicatori (KRIs) per misurare se il rischio rientra nella tolleranza, nonché indicatori chiave di controllo (KCIs) per confrontare le prestazioni dei controlli con gli obiettivi di controllo. Ad esempio, un KCI per il controllo dell’autenticazione multifattore potrebbe essere la percentuale di applicazioni che gestiscono dati critici per l’azienda con autenticazione multifattore mentre un KRI potrebbe essere il numero di istanze di accesso non autorizzato ai dati aziendali critici a seguito di controlli di accesso violati.

Benefici derivanti da una corretta adozione del Cyber Risk Appetite Framework

La gestione risk-based ha successo solo se misurata rispetto alla propensione al rischio orientato al business e l’implementazione di un Cyber Risk Appetite Framework strutturato e completamente allineato in tutta l’azienda, dalle funzioni tecnologiche alle seconde linee di difesa, ha molteplici vantaggi, tra cui i seguenti:

  • sostenere una comunicazione trasparente con il board per consentire discussioni orientate al business su investimenti e priorità.
  • creazione di una base comune e oggettiva di discussione tra la prima e la seconda linea di difesa sul livello di rischio residuo.
  • aiutare sia la prima che la seconda linea di difesa nel fornire ai Regulators evidenze oggettive sulla modalità in cui l’organizzazione sta gestendo efficacemente il rischio tecnologico e il rischio cyber mediante un adeguato risk appetite.

Sviluppo e implementazione

Ci sono tre considerazioni chiave per la progettazione e l’attuazione di un Cyber RAF:

capire ciò che è attualmente in piedi, l’allineamento con il business e sfruttare l’automazione dove possibile.

Molte organizzazioni, pur possedendo già tutti i componenti del Cyber Risk Appetite Framework ma mancando di una struttura end-to-end pienamente legata agli obiettivi di controllo, per determinare come migliorare ulteriormente il proprio sistema di controlli interno, dovrebbero prima capire quali sono le capabilities di cui dispongono già.

L’appetite dovrebbe essere misurabile e allineato con gli obiettivi aziendali con il business a determinarlo insieme ai team tecnologici attraverso valutazione dell’impatto che sono disposti ad accettare per raggiungere gli obiettivi aziendali. In questo modo, i team tecnologici avrebbero l’opportunità, attraverso varie domande di capire ad esempio quanti minuti di inattività non pianificata il business è disposto ad accettare per un servizio aziendale specifico, quanti dati sensibili accetterebbe di perdere per raggiungere i suoi obiettivi e di quale combinazione di investimenti e controlli ha bisogno per gestire il cyber risk durante le operazioni quotidiane.

Identificare le opportunità di utilizzo dell’automazione, resa possibile dai progressi tecnologici come ad esempio l’enforcement di “policies as code” basate sui livelli di rischio residuo, al fine di ottimizzare i controlli in linea con il cyber risk appetite e misurare il grado di allineamento generale con esso, consentirebbe di ottenere un system environment più sostenibile.

Lo sviluppo, la comprensione, l’applicazione e l’esecuzione di un Cyber RAF è una sfida complessa che richiede buoni dati, ampio monitoraggio e coordinamento di attività tra il business e le funzioni tecnologiche e la seconda linea. C’è molto lavoro preliminare da svolgere ma le organizzazioni raccoglieranno forti dividendi dall’abilitare i propri obiettivi di business conoscendo e capendo dove risiedono i punti di forza e di debolezza delle loro tecnologie.

I requisiti normativi in settori altamente regolamentati, come i servizi finanziari, spesso forzano alla creazione di Cyber Risk Appetite Framework, tuttavia, stabilire un rischio tecnologico solido e una propensione al rischio informatico ha benefici non solo per i settori regolamentati, ma anche per le organizzazioni di tutti i settori che adotterebbero una gestione del rischio tecnologico e del rischio informatico orientata all’impatto sulle loro attività.

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
M
Alberto Elia Martin

Articolo 1 di 4