La sua azienda sta accettando troppi rischi?

Il ransomware rimane una delle minacce più dirompenti per le aziende di oggi, ma molte organizzazioni continuano a sottovalutare il rischio che stanno effettivamente accettando. 

Mentre gli investimenti in strumenti e controlli di sicurezza sono comuni, la vera sfida è che le pratiche operative e il comportamento umano spesso vanno ben oltre ciò che i consigli di amministrazione tendono ad accettare.

Questo articolo esamina come la propensione al rischio modella la postura di sicurezza, gli indicatori che suggeriscono che un'organizzazione sta assumendo più rischi di ransomware del previsto e perché il comportamento umano rappresenta oggi la variabile più critica nella resilienza aziendale.

Che cos'è la propensione al rischio aziendale?

La propensione al rischio aziendale è il livello di incertezza che un'organizzazione è disposta ad accettare per perseguire i propri obiettivi. Determina le priorità di sicurezza, le decisioni di finanziamento e, in ultima analisi, la resilienza dell'azienda alle moderne minacce ransomware.

Appetito vs. tolleranza

• La propensione al rischio è strategica. Si tratta della postura generale che stabilisce se la leadership è disposta ad accettare una maggiore incertezza in cambio di velocità e crescita, o se l'azienda sceglie un approccio conservativo per minimizzare l'esposizione.
• La tolleranza al rischio è operativa. Traduce l'appetito in soglie misurabili: tempi di inattività massimi consentiti, perdita accettabile di dati dei clienti o tassi di resilienza al phishing target.

La distinzione è importante perché la tolleranza crea i parametri di riferimento che i CISO e i consigli di amministrazione utilizzano per valutare se la postura di sicurezza attuale è allineata all'appetito dichiarato. Allo stesso tempo, avere una scarsa propensione al rischio può essere dannoso per un'azienda quanto averne troppa. Un'azienda troppo sicura per innovare o soddisfare le richieste dei suoi clienti non avrà successo.

Perché il rischio umano deve essere incluso

Troppo spesso, queste definizioni si concentrano sulla tecnologia e sui processi, ma escludono l'elemento umano. Tuttavia, i dipendenti svolgono un ruolo centrale nel modellare l'esposizione al rischio attraverso azioni come:

• Cliccando su un'e-mail dannosa.
• Configurazione errata del cloud storage.
• Gestione errata dei dati sensibili sulle piattaforme di collaborazione.

Queste azioni hanno conseguenze dirette sulla fiducia dei clienti, sulla conformità alle normative e sulla reputazione del marchio. Ignorarli distorce il vero profilo di rischio dell'azienda e sottovaluta la quantità di incertezza che l'azienda sta effettivamente sopportando. Comprendere intenzionalmente la propensione al rischio umano consente all'azienda di capire quanto attrito di sicurezza introdurre nel flusso di lavoro di un dipendente, che riduce le possibilità di comportamenti rischiosi ma può rallentare la produttività.

Perché un rischio informatico eccessivo mette in pericolo l'azienda

Il rischio è inevitabile, ma un rischio informatico eccessivo erode la resilienza e moltiplica i costi. Il pericolo non risiede solo in un singolo incidente, ma anche nel modo in cui le piccole debolezze si accumulano nel tempo. Si tratta di un concetto noto come deriva della sicurezza. Accettare ripetute eccezioni al rischio, la allontana ulteriormente dal livello di propensione al rischio previsto e aumenta la probabilità di una violazione. Questi problemi minori, se non gestiti, creano delle aperture che gli aggressori sfruttano:

• Un arretrato di sistemi senza patch crea molteplici punti di ingresso.
• Un clic di phishing fornisce credenziali che gli aggressori possono riutilizzare su più piattaforme.
• Una risposta ritardata all'incidente ingrandisce il raggio dell'esplosione.

Singolarmente, questi problemi possono sembrare gestibili. Insieme, moltiplicano il rischio e spostano l'organizzazione in uno stato di vulnerabilità persistente, aumentando la probabilità di un incidente o di una violazione più grave.

Le conseguenze del rischio non gestito

​​Quando queste debolezze si allineano, l'impatto aziendale si estende oltre le operazioni IT:

• Finanziario: L'evento medio di esposizione o furto di dati da parte di un insider costa 13,9 milioni di dollari, secondo i responsabili della sicurezza, in netto contrasto con l'investimento relativamente modesto necessario per i controlli preventivi. Le spese di recupero includono il pagamento del riscatto, la difesa legale, le multe normative e il costo del ripristino delle operazioni.
• Reputazionale: Le violazioni pubbliche minano la fiducia dei clienti e degli investitori. In molti casi, la brand equity a lungo termine subisce un danno maggiore rispetto alla perdita finanziaria immediata.
• Operativo: I tempi di inattività bloccano la generazione di ricavi, interrompono le catene di fornitura e impediscono ai team di servire i clienti. Anche le interruzioni più brevi possono avere ripercussioni a cascata sulle funzioni aziendali critiche.
• Legale: Le azioni collettive, le cause degli azionisti e le indagini normative aggiungono anni di responsabilità dopo un incidente grave.

Questi impatti non sono ipotetici. Uno studio di Forrester sull'Impatto Economico Totale™ (TEI) ha rilevato che l'uso di una soluzione di sicurezza e-mail come Mimecast per mitigare i rischi e-mail ha fornito un ROI di 255% e un valore attuale netto di 1,53 milioni di dollari in tre anni per un'organizzazione composita.

Indicatori chiave: la sua organizzazione sta accettando un rischio eccessivo.

Il rischio eccessivo non è sempre evidente. Molte aziende credono che la loro postura sia equilibrata, finché gli indicatori misurabili non suggeriscono il contrario.

Segnali operativi

• Aumento dei tempi di rilevamento e di risposta (MTTD/MTTR): I team di sicurezza faticano a contenere rapidamente gli incidenti.
• Vulnerabilità non patchate: Un crescente arretrato di CVE suggerisce lacune nelle risorse o priorità non allineate.
• Sovraccarico di avvisi: Gli analisti sono sommersi, il che porta a risposte mancate o ritardate.
• Numero di eccezioni al rischio concesse: Un volume elevato di eccezioni approvate - specialmente quelle ripetutamente rinnovate senza rimedio - suggerisce che i controlli vengono sistematicamente aggirati piuttosto che applicati.

Segnali culturali

• Sicurezza aggirata per la velocità: le unità aziendali ignorano i controlli per raggiungere obiettivi a breve termine.
• Il rischio viene trattato come un problema informatico: i dirigenti non riescono a considerare il rischio informatico come un problema aziendale.
• Silos decisionali: i dipartimenti agiscono in modo indipendente, lasciando punti ciechi nella sicurezza a livello aziendale.

Segnali di test e preparazione

• Esercitazioni da tavolo poco frequenti: Le simulazioni vengono condotte in modo irregolare, se non del tutto.
• Libri di gioco obsoleti: Le guide alla risposta agli incidenti non riflettono le minacce attuali.
• Mancanza di esercitazioni di violazione: I team non sono testati contro scenari di attacco realistici.

Insieme, questi segnali indicano che un'organizzazione sta operando al di là della tolleranza prevista, spesso senza un riconoscimento formale.

Quanto rischio è troppo? Impostazione delle soglie di tolleranza.

Ogni organizzazione ha una propensione al rischio, ma senza confini chiari, è quasi impossibile sapere quando la normale esposizione ha sconfinato in un territorio eccessivo. Le soglie di tolleranza servono come confini misurabili che separano il rischio gestibile dal rischio inaccettabile.

Approcci alla misurazione

Ci sono diversi modi per definire e misurare queste soglie:

• Modelli quantitativi

  Quadri come FAIR (Factor Analysis of Information Risk) stimano le perdite finanziarie derivanti da diversi scenari di minaccia, mentre il punteggio di rischio NIST CSF fornisce parametri standardizzati per valutare la maturità. 

  Le simulazioni Monte Carlo aggiungono un altro livello, modellando migliaia di possibili esiti di violazione per rivelare i probabili intervalli di perdita. Questi metodi forniscono ai leader dati che possono essere tradotti direttamente in termini finanziari e di impatto aziendale.

• Metodi qualitativi

  Le mappe di calore e le classificazioni di gravità rimangono utili per le discussioni di alto livello, soprattutto con gli stakeholder non tecnici. Tuttavia, spesso mancano della precisione necessaria per guidare l'allocazione del budget o per dimostrare la responsabilità a livello di consiglio di amministrazione.

Perché il monitoraggio continuo è importante

La definizione delle soglie non è un esercizio una tantum. La tolleranza al rischio deve evolversi insieme a fattori interni ed esterni:

• Evoluzione delle minacce: Le nuove tecniche, come il phishing guidato dall'AI o gli attacchi con codici QR, modificano il panorama dei rischi.
• Crescita aziendale: L'espansione in nuovi mercati, settori o aree geografiche introduce ulteriori superfici di attacco.
• Cambiamento normativo: Gli obblighi di conformità aggiornati richiedono una rivalutazione di ciò che è l'esposizione accettabile.

Legando le soglie direttamente ai risultati aziendali, come la perdita di fatturato, la rinuncia ai clienti e le sanzioni per la conformità, i dirigenti ottengono un quadro più chiaro per capire se l'azienda sta correndo più del previsto.

Costruire un moderno quadro di valutazione del rischio

Le valutazioni del rischio tradizionali spesso enfatizzano l'infrastruttura tecnica - server, endpoint e difese di rete. Sebbene questi elementi rimangano essenziali, la resilienza al ransomware oggi richiede una prospettiva più ampia, a livello aziendale. I quadri efficaci devono integrare persone, processi e terze parti per fornire una visione realistica dell'esposizione complessiva.

Componenti di una revisione olistica

Un framework moderno coinvolge più livelli dell'organizzazione:

1. Identificare gli asset critici: Andare oltre l'hardware e includere la proprietà intellettuale, i dati dei clienti, i sistemi finanziari e le applicazioni SaaS. Sono le risorse che hanno maggiori probabilità di essere prese di mira e che è più costoso perdere.
2. Definisca gli scenari di minaccia: Mappate la gamma di potenziali vettori di attacco, dal phishing e dal ransomware all'uso improprio degli insider, alla compromissione della catena di fornitura e alle comuni configurazioni errate. Questo assicura che le valutazioni riflettano sia le minacce esterne che le vulnerabilità interne.
3. Valutare l'efficacia del controllo: Non guardi solo alle protezioni tecniche, ma anche ai processi organizzativi e ai comportamenti dei dipendenti. Un ambiente di controllo tecnicamente forte può comunque vacillare se i processi sono mal definiti o se i dipendenti non sono impegnati nelle pratiche di sicurezza.
4. Incorporare il rischio esteso: I fornitori, gli appaltatori e i partner hanno spesso un accesso privilegiato ai sistemi e ai dati. Includerli nelle valutazioni aiuta a catturare le interdipendenze che spesso fungono da punti di ingresso per il ransomware.

Vedere il rischio attraverso questa lente aiuta i leader a capire meglio come i diversi fattori interagiscono e creano esposizione in tutta l'azienda.

Strumenti e requisiti dei dati

Le strutture moderne dipendono da strumenti e dati che forniscono una visione in tempo reale delle dimensioni tecniche e umane del rischio:

• Piattaforme SIEM e SOAR per la correlazione dei log e la risposta automatica.
• Gestione della superficie di attacco per identificare le risorse esposte.
• Analisi del rischio umano per misurare le vulnerabilità comportamentali accanto a quelle tecniche.

La raccolta automatizzata delle prove rafforza ulteriormente la preparazione agli audit e dimostra la conformità a quadri come GDPR, HIPAA e PCI DSS.

Azioni della leadership per ridurre il rischio eccessivo

La riduzione del rischio richiede un allineamento tra tecnologia, governance e cultura.

Rafforzare i controlli tecnici

• Adottare l'architettura Zero Trust per limitare la fiducia implicita nei sistemi e negli utenti.
• Protegga la gestione delle identità con una forte autenticazione a più fattori e l'applicazione del principio del minimo privilegio.
• Impieghi una sicurezza avanzata della posta elettronica e della collaborazione per intercettare il ransomware nei suoi punti di ingresso più comuni.
• Implementare la prevenzione della perdita di dati e mantenere backup affidabili e immutabili.

Migliorare la governance e la responsabilità

• Allocare i budget in base alla priorità dei rischi, non alla distribuzione uniforme.
• Utilizzi i cruscotti KPI e KRI per dare ai consigli di amministrazione una visione chiara della postura cyber.
• Incorporare la responsabilità del rischio nelle scorecard dei dirigenti e nei piani di retribuzione.

Promuovere una cultura resiliente

• Promuovere la proprietà condivisa del rischio informatico tra le unità aziendali.
• Condurre esercitazioni tabletop regolari e aggiornare i libri di gioco per riflettere le minacce emergenti.
• Riconoscere che il comportamento dei dipendenti non è una preoccupazione periferica, ma un fattore di rischio centrale.

Incorporare la gestione del rischio umano

L'errore umano rappresenta oggi la maggior parte delle violazioni, con l'80% delle organizzazioni che cita il comportamento negligente o imprudente dei dipendenti come punto critico di esposizione. Affrontare questo problema richiede più che la formazione, richiede visibilità e una gestione misurabile.

L'approccio integrato di Mimecast

La piattaforma di gestione del rischio umano di Mimecast offre:

• Punteggio comportamentale: Identifica i dipendenti ad alto rischio in base alle azioni reali, non solo ai risultati dei test.
• Formazione adattiva: Offre una formazione specifica per il contesto, adattata ai profili di rischio individuali.
• Avvisi integrati: Alimenta i dati sul rischio umano nei sistemi SIEM e SOAR, accelerando i tempi di risposta.

Combinando l'intelligence sulle minacce con l'analisi comportamentale, le organizzazioni possono individuare i punti di esposizione più rischiosi e intervenire prima che il ransomware prenda piede.

Il rischio umano come fattore determinante della cyber resilience

Ogni azienda stabilisce i limiti del rischio che può tollerare, ma il ransomware ha dimostrato che l'esposizione più significativa spesso deriva dalle persone, non dalle lacune tecnologiche. La misurazione e la gestione del comportamento umano sono ora fondamentali quanto il patching dei sistemi o l'implementazione dei firewall.

Le organizzazioni che trattano il rischio umano come una metrica aziendale fondamentale, e non come un ripensamento, ottengono un vantaggio decisivo. Grazie al punteggio comportamentale in tempo reale, alla formazione adattiva e all'intelligence integrata sulle minacce, Mimecast aiuta i leader della sicurezza a colmare il divario tra la propensione al rischio dichiarata e l'esposizione effettiva.

Le imprese che avranno successo saranno quelle che collegano la gestione del rischio umano direttamente alla strategia, alla governance e alla resilienza. 

Richieda una demo della Piattaforma di gestione del rischio umano di Mimecast per vedere come può mettere in pratica questo allineamento.