Solo un’adeguata valutazione del rischio IT garantisce alle aziende di reagire agli imprevisti in modo adeguato
Non tutti gli eventi che si rivelano disastrosi per una infrastruttura IT potrebbero essere evitati. Tuttavia, con un’adeguata pianificazione possono essere "recuperati".
Ma per pianificare le giuste reazioni e ridurre al minimo l’impatto sulle attività è importante essere in grado di prefigurare gli scenari peggiori.
Oggi solo un’adeguata valutazione del rischio IT può garantire a un’azienda di reagire agli imprevisti e governare i propri aspetti di potenziale vulnerabilità in modo adeguato. È quindi essenziale che le imprese abbiano la completa visibilità sui rischi esistenti ed emergenti che minacciano i loro asset critici, le loro attività e la proprietà intellettuale. Devono essere in grado di tenere alta la loro resilienza, devono saper prevedere le possibili interruzioni di servizio e prepararsi a ogni evenienza per garantire ai propri clienti il massimo grado di affidabilità.
Le operazioni di valutazione del rischio dovrebbero per tanto venire eseguite regolarmente e i risultati andrebbero condivisi con tutti i dipendenti coinvolti oltre che con i vertici aziendali.
Come procedere per garantire alla propria organizzazione una corretta valutazione del rischio?
Identificare ogni vulnerabilità
Innanzitutto, è necessario rassegnarsi al fatto che in questo genere di operazioni non si può prescindere dal sopportare un po’ di burocrazia e produrre una certa quantità di scartoffie… E la prima operazione da compiere sarebbe proprio la creazione di un documento che descriva tutte le possibili vulnerabilità dell’azienda e i rischi a esse correlati.
Andrebbero annotate tutte le possibili minacce per la rete (malware, attacchi DDoS, phishing, ransomware, ecc.), nonché le vie d'accesso possibili, le persone maggiormente vulnerabili… facendo anche degli esempi: descrivere ogni possibile attività malevola farà in modo che tutta l’azienda comprenda l'importanza delle operazioni di controllo e valutazione eseguite dall’IT.
I rischi, infatti, sono molteplici e interconnessi e possono avere un effetto domino sulle attività: un attacco informatico, per esempio, può impattare aspetti di conformità, dando il via a violazioni normative e conseguente sanzioni, perdite economiche e gravi danni alla reputazione dell’impresa.
In linea generale, riferirsi a scenari di vita reale fa sì che sia più facile immaginare le concrete conseguenze per le aziende.
La valutazione delle vulnerabilità dovrebbe essere condotta servendosi sia di strumenti automatizzati sia di strumenti manuali, in modo da identificare qualsiasi ambito di debolezza e classificarlo come area a rischio, e il documento dovrebbe descrivere sia le protezioni in atto sia le eventuali falle che potrebbero risultare ancora scoperte.
Condividere le informazioni
Coinvolgendo le persone giuste, implementare una procedura di gestione del rischio diventa più facile.
Consigliati da LinkedIn
Sarebbe buona prassi dar vita a un comitato che includa rappresentanti di ogni dipartimento dell'azienda in cui vadano contenuti i rischi e tutti i dipendenti che potrebbe sapere come farlo. Tenere queste persone costantemente aggiornate, con riunioni o anche con e-mail regolari, ne aumenta la reattività e garantisce che le informazioni, in una direzione e nell’altra, non vadano perse o non siano fraintese.
Evidenziare i punti critici
Qualsiasi valutazione del rischio inizia con un assessment dell'infrastruttura attuale. Sia l'hardware che il software devono essere sottoposti a una valutazione dei punti di forza e debolezza. Gli asset con rischi per la sicurezza devono essere inventariati e il flusso dei dati deve essere attentamente analizzato per attribuire esattamente le responsabilità.
Analizzare la specificità delle minacce
Per ogni ambito di potenziale pericolo identificato deve essere identificata una strategia che consenta di evitare le peggiori conseguenze. È necessario evidenziare per ogni area non solo la vulnerabilità, ma la minaccia specifica, la probabilità che il rischio si concretizzi e l'entità del danno che ne deriverebbe.
Raccomandare e rivedere
Il frutto dell’analisi dovrebbe essere un report da condividere con tutte le parti interessate che riporti tutte le raccomandazioni del caso. Il documento dovrebbe dettagliare i risultati della valutazione e le strategie di reazione messe a punto.
A loro volta, sulla base di questo documento, i vari dipartimenti aziendali dovrebbero rivedere i rischi che li coinvolgono e implementare delle strategie per ridurre o eliminare i pericoli a loro direttamente connessi e rilevati in fase di valutazione. Tali strategie, opportunamente integrate e dettagliate, dovrebbero comporre per ciascun dipartimento un adeguato piano di mitigazione del rischio
Il piano, che una volta pronto deve essere revisionato dall’IT, dovrebbe includere anche una timeline da seguire nell'implementazione della procedura di mitigazione e prendere in considerazione anche le relazioni con le terze parti, come partner, fornitori e clienti, che potrebbero essere soggette a rischi riflessi.
Aggiornare regolarmente
Spetta infine al team IT sia valutare il piano di mitigazione del rischio, per assicurarsi che sia completo ed efficace, sia ripetere tale valutazione con sufficiente regolarità, per non offrire il fianco a nuove minacce.