Alla base di ogni strategia di sicurezza informatica c’è il rischio informatico: le misure di cybersecurity adottate dalle aziende cercano infatti di mitigare questo rischio. Cos’è il rischio informatico e perché spesso rischiamo di calcolarlo male?

 

Cos’è il rischio informatico?

Il rischio informatico, o cyber risk, è qualsiasi potenziale perdita finanziaria o danno alla reputazione dell’azienda, derivante da un evento accidentale o azione dolosa volontaria che lede il sistema informativo aziendale.

Quando parliamo di rischio informatico quindi, non dobbiamo pensare solo al cybercrime, con attacchi informatici e data breach. Ne fanno parte anche tutti gli eventi accidentali in cui il rischio può derivare da fenomeni naturali (alluvioni, incendi, …), ma anche da errori umani o malfunzionamenti del sistema IT.

 

Perché spesso calcoliamo male il rischio informatico?

Le cause che ci portano a cadere in errore quando valutiamo il rischio informatico sono principalmente due:

  • l’atteggiamento che assumiamo di fronte al rischio da un lato
  • e la quantità e qualità delle informazioni da valutare dall’altro.

Come valutiamo il rischio?

Quando dobbiamo valutare un rischio, raramente riusciamo ad analizzarlo in modo razionale. Questo avviene perché come esseri umani, di norma, tendiamo a pronosticare il rischio in base a cosa proviamo. In molti casi, alla base del nostro atteggiamento nei confronti del rischio ci sono le nostre emozioni e sensazioni, piuttosto che i dati. In passato questo processo mentale ci consentiva di sopravvivere ai pericoli: nel mondo di oggi invece, può indurci in errore nelle nostre valutazioni strategiche.

È importante ricordare che la nostra percezione è imperfetta ed è influenzata da come le opzioni sono formulate.

Nel caso della sicurezza informatica per esempio, il CISO potrebbe sovrastimare il rischio informatico della nostra azienda. Ma, in fin dei conti, sappiamo che gli attacchi informatici che vanno a segno sono l’eccezione, non la quotidianità. In base a questo ragionamento, è molto probabile che il CISO finisca quindi per sottostimare il rischio informatico.

Per ovviare a questo nostro impulso, la soluzione è affidarsi ai dati e alla tecnologia.

 

Calcolare il rischio informatico: una scienza imperfetta

Anche decidendo di affidarsi ai dati, il numero di fattori da prendere in considerazione per determinare il rischio informatico presente in azienda non è banale. Più complesso è il sistema IT aziendale, più i fattori aumentano: garantire che questi dati siano completi e accurati è indispensabile per riuscire a determinare il possibile rischio nel modo più preciso possibile.

Quali sono dunque i fattori da considerare per calcolare il rischio informatico aziendale?

  • In primo luogo, deve essere definita in modo chiaro la superficie su cui i rischi informatici possono influire.
  • Dobbiamo poi individuare quali sono i fattori ed eventi in grado di innescare un rischio per il sistema IT aziendale.
  • Dopodiché dovrà essere definita la probabilità che un dato evento si verifichi.
  • Infine sarà necessario valutare l’impatto che un determinato evento potrebbe comportare: si dovrà quindi capire quanto critico sarebbe per l’azienda se ciò si verificasse.

Moltiplicando la probabilità che un dato evento accada per il possibile impatto per l’impresa derivante dall’evento otterremo il livello di rischio a cui siamo esposti.

Considerando la mole di dati in carico alle aziende oggi, e il loro continuo aggiornarsi, è preferibile che il calcolo del rischio informatico sia supportato da sistemi di intelligenza artificiale e machine learning per ottenere un risultato affidabile.

 

Calcolare in modo esatto il rischio informatico ti permetterà di basare la tua strategia di sicurezza informatica su dati reali, e non “sensazioni”, e garantire così la sicurezza delle informazioni nel tuo sistema IT aziendale.

Conosci i rischi per il tuo ambiente IT?

Contattaci per una valutazione

Share This