Il linguaggio tradizionale del rischio informatico (matrici di probabilità e impatto, semafori rosso-giallo-verde, livelli di gravità da 1 a 5) ha un limite strutturale: non parla il linguaggio del management. Un CISO che presenta al CdA i risultati di un Cyber Risk Assessment con una heat map con venti rischi colorati di rosso ottiene attenzione, ma raramente ottiene il budget necessario per mitigarli.
La domanda che il management si pone (Quanto ci costa un incidente? Quanto spendiamo per evitarlo? Conviene?) rimane senza risposta quantitativa, lasciando le decisioni di investimento in sicurezza nel territorio delle opinioni e delle pressioni commerciali piuttosto che in quello dell’analisi razionale.
Perché il rischio cyber va misurato in euro, non solo in livelli di gravità
Il Cyber Risk Assessment economico, ossia la disciplina che quantifica il rischio cyber in termini finanziari, risponde a questa lacuna con strumenti metodologici consolidati.
Non si tratta di produrre previsioni precise al centesimo: il rischio, per sua natura, non si presta a certezze numeriche. Si tratta di produrre stime ragionate, basate su dati storici, benchmark di settore e modelli probabilistici, che consentano al management di confrontare il costo atteso di un incidente con il costo di prevenirlo e di prendere decisioni informate sull’allocazione del budget IT.
Una stima imperfetta ma strutturata è infinitamente più utile di nessuna stima.
La pressione verso la quantificazione economica del rischio cyber non è solo metodologica, ma è diventata anche normativa.
La Direttiva NIS2 richiede che le misure di sicurezza siano proporzionate al rischio, il che presuppone una valutazione del rischio che includa la dimensione economica dell’impatto. DORA chiede esplicitamente la valutazione dell’impatto economico potenziale degli incidenti ICT come parte del processo di gestione del rischio. Il GDPR, nel suo principio di accountability, richiede che le misure di sicurezza siano adeguate: un concetto che implica proporzionalità e quindi valutazione del costo del rischio rispetto al costo della protezione.
I modelli di quantificazione economica del rischio: FAIR e ROSI
Il Cyber Risk Assessment economico, dunque, non è un esercizio accademico ma un requisito di governance.
Il modello FAIR: frequenza e magnitudine della perdita
FAIR (Factor Analysis of Information Risk) è il framework più diffuso e metodologicamente robusto per la quantificazione economica del rischio cyber.
Sviluppato da Jack Jones e oggi gestito dall’Open FAIR Body of Knowledge (parte di The Open Group), FAIR si distingue dai modelli tradizionali per un approccio fondamentalmente probabilistico: non produce un singolo numero, ma una distribuzione di probabilità dei possibili outcome economici, espressa tipicamente come intervallo di perdita attesa annua (ALE – Annualized Loss Expectancy).
La logica di FAIR è intuitiva nella sua struttura di base: il rischio economico di un evento è determinato da due fattori fondamentali: con quale frequenza si verifica (o potrebbe verificarsi) e quale perdita economica genera quando si verifica.
La frequenza è influenzata dalla probabilità che un attaccante tenti l’attacco e dalla capacità dei controlli di sicurezza di resistere al tentativo. La magnitudine della perdita dipende dalla tipologia e dall’entità del danno (costi di risposta, sanzioni, perdita di ricavi, danno reputazionale).
La combinazione probabilistica di questi fattori produce la distribuzione del rischio economico atteso.
Il ROSI: Return on Security Investment
Il Return on Security Investment (ROSI) è la metrica che risponde alla domanda più diretta del management: vale la pena fare questo investimento in sicurezza?
La formula di base del ROSI è semplice nella sua logica:
ROSI = (Riduzione del rischio × Perdita attesa senza controllo) − Costo del controllo.
Se il risultato è positivo, l’investimento è economicamente giustificato; se è negativo, il costo del controllo supera il beneficio atteso in termini di riduzione del rischio.
Nella pratica, il calcolo del ROSI richiede tre input: la stima della perdita attesa senza il controllo (l’ALE calcolata con FAIR), la stima della percentuale di riduzione del rischio ottenuta dal controllo (un firewall di nuova generazione potrebbe ridurre del 40% la probabilità di certi attacchi, un programma di awareness del 30% il rischio di phishing riuscito) e il costo totale del controllo su base annua (acquisto, implementazione, manutenzione, formazione).
La difficoltà principale è la stima della percentuale di riduzione del rischio: non esistono valori universali, ma le linee guida NIST, i dati CIS Controls e i benchmark di settore offrono riferimenti utili per calibrare le stime.
Le componenti economiche del rischio cyber
La quantificazione economica del rischio cyber richiede una comprensione strutturata delle componenti di costo che un incidente genera.
La tendenza comune è concentrarsi sui costi più visibili, come il riscatto ransomware o i costi di ripristino dei sistemi, trascurando le componenti differite e indirette che, nella maggior parte degli incidenti significativi, rappresentano la parte più rilevante del costo totale.
Il Cost of a Data Breach Report di IBM (edizione 2024) stima il costo medio globale di una violazione dei dati a 4,88 milioni di dollari: di questo importo, meno del 30% è rappresentato da costi immediati e diretti, il resto da costi differiti e indiretti che si manifestano nei mesi e negli anni successivi all’incidente.
| Categoria | Componente di costo | Orizzonte temporale |
| Costi diretti immediati | Risposta all’incidente (IR team, forensics, consulenza legale) | Ore/giorni dall’incidente |
| Ripristino dei sistemi e dei dati (restore, rebuild, test) | Giorni/settimane | |
| Notifica agli interessati e alle autorità (GDPR, NIS2) | Entro 72h + follow-up | |
| Riscatto ransomware (se pagato) + negoziazione | Immediato | |
| Costi diretti differiti | Sanzioni GDPR (fino al 4% fatturato globale) | Mesi/anni post-incidente |
| Sanzioni NIS2 (fino al 2% fatturato per soggetti essenziali) | Mesi post-incidente | |
| Contenzioso legale e risarcimenti a terzi | Anni post-incidente | |
| Costi indiretti | Perdita di ricavi per interruzione del servizio (downtime) | Immediato e differito |
| Perdita di clienti e churn accelerato post-breach | 6-24 mesi | |
| Danno reputazionale e deprezzamento del brand | 12-36 mesi | |
| Aumento dei premi assicurativi cyber post-sinistro | Rinnovo polizza | |
| Costi supply chain | Perdite per interruzione dei vendor nella catena di fornitura | Immediato e differito |
| Costi di migrazione verso vendor alternativi in emergenza | Settimane/mesi | |
| Perdite per responsabilità verso clienti danneggiati dalla SC | Mesi/anni |
Per le organizzazioni con infrastrutture cloud, alcune componenti di costo meritano attenzione specifica.
- I costi di egress, il trasferimento dei dati fuori dalla piattaforma cloud durante le operazioni di forensics e recovery, possono essere significativi e sono spesso trascurati nelle stime preliminari.
- I costi di multi-cloud failover, attivare rapidamente un ambiente alternativo su un secondo CSP in caso di indisponibilità del provider principale, includono non solo i costi infrastrutturali ma anche quelli operativi di un team non preparato a operare su una piattaforma diversa.
- I costi di compliance post-breach, le misure aggiuntive richieste da ACN o dall’autorità di supervisione a seguito di un incidente significativo, sono una componente crescente che i modelli più datati non includono.
CRA economico e Vendor Risk Management: la sinergia necessaria
Il Cyber Risk Assessment economico non può essere condotto in modo accurato senza i dati che provengono dal programma di gestione del rischio fornitore.
Le perdite della supply chain (interruzione dei servizi di vendor critici, costi di migrazione in emergenza, responsabilità verso clienti danneggiati da compromissioni propagate attraverso la catena di fornitura) sono componenti significative del rischio economico complessivo che rimangono invisibili se il CRA si limita al perimetro interno dell’organizzazione.
Quantificare finanziariamente l’esposizione al rischio permette al management di allocare le risorse economiche in modo mirato.
Il calcolo deve includere i dati derivanti dalla due diligence tecnologica per coprire le perdite della catena di fornitura: il Vendor Risk Management fornisce al CRA economico le informazioni essenziali sulla criticità dei vendor, sulla loro postura di sicurezza e sulla probabilità di un incidente propagato attraverso la supply chain.
In pratica, l’integrazione tra CRA e VRM si realizza attraverso la costruzione di scenari di rischio supply chain specifici:
- Quanto costerebbe un ransomware che si propaga dal vendor di MDR ai sistemi del cliente?
- Quale sarebbe l’impatto economico di un’interruzione di 72 ore del servizio del CSP principale?
- Quale perdita genera la compromissione del sistema di aggiornamento di un software critico installato su tutti i server dell’organizzazione?
Questi scenari, quantificati con la metodologia FAIR e alimentati dai dati del programma VRM, producono un quadro del rischio economico supply chain che il solo CRA interno non può fornire.
Il framework operativo: costruire il modello di calcolo
La qualità del Cyber Risk Assessment economico dipende dalla qualità dei dati che lo alimentano.
Raccolta dei dati: fonti interne ed esterne
Le fonti interne includono: la storia degli incidenti passati dell’organizzazione (anche quelli minori, non solo i breach significativi), i risultati dei penetration test e dei vulnerability assessment, i dati del programma VRM sulla postura di sicurezza dei vendor critici, i KPI di sicurezza operativa (tempi medi di rilevamento e risposta, copertura del patching, percentuale di sistemi con configurazioni conformi) e i contratti assicurativi cyber (i premi e i massimali riflettono una valutazione professionale del rischio dell’organizzazione).
Le fonti esterne di riferimento includono: il IBM Cost of a Data Breach Report (annuale, con breakdown per settore, paese e tipologia di incidente), il Verizon Data Breach Investigations Report (DBIR, con dati su vettori di attacco e impatto per settore), l’ENISA Threat Landscape (con focus europeo e settori critici NIS2), i database di incidenti pubblici come VERIS Community Database e Privacy Rights Clearinghouse e i benchmark assicurativi del mercato cyber (disponibili attraverso broker specializzati come Marsh, Aon, Willis Towers Watson).
Per la calibrazione delle frequenze degli attacchi, il database CVE e i dati MITRE ATT&CK offrono riferimenti utili per stimare la probabilità di specifici vettori di attacco nel contesto dell’organizzazione.
Output per il management: dal modello al business case
Il Cyber Risk Assessment economico produce valore solo se i suoi output raggiungono il management in una forma comprensibile e azionabile.
La traduzione dei risultati del modello FAIR in comunicazione manageriale richiede un adattamento del linguaggio: non distribuzioni di probabilità e simulazioni Monte Carlo, ma scenari comprensibili con impatti finanziari chiari, confronto tra il costo del rischio e il costo della protezione, e raccomandazioni prioritizzate per l’allocazione del budget.
Il formato più efficace per la comunicazione al CdA e al CFO è il business case di sicurezza: un documento che presenta il rischio identificato in termini economici (ALE stimata), l’investimento proposto per mitigarlo (costo del controllo), il beneficio atteso (riduzione dell’ALE), il ROSI calcolato, e il rischio residuo dopo l’implementazione del controllo.
Questo formato risponde direttamente alle domande che il management si pone e rende le decisioni di investimento in sicurezza comparabili con qualsiasi altro investimento aziendale – un linguaggio che il CFO comprende senza necessità di conoscere la cyber security.
Cyber Risk Assessment e budget IT: allocare le risorse in modo difendibile
Il Cyber Risk Assessment economico cambia il processo di allocazione del budget IT in un modo fondamentale: porta le decisioni di investimento in sicurezza dal territorio delle impressioni e delle pressioni esterne (“abbiamo appena avuto un incidente nel settore, dobbiamo fare qualcosa”) al territorio dell’analisi razionale.
Un’organizzazione che ha condotto un CRA economico sa quali rischi ha, quale impatto economico potenziale hanno, quali controlli li mitigano con quale efficienza, e può costruire un portafoglio di investimenti in sicurezza ottimizzato per il rapporto rischio/costo.
Questa capacità è particolarmente preziosa nelle discussioni di budget con il CFO e il CdA, dove la cyber security compete con altri investimenti aziendali per risorse limitate.
Presentare la sicurezza come un insieme di obblighi normativi da rispettare è una posizione debole; presentarla come una gestione razionale del rischio economico, con ROI calcolato e scenari di perdita quantificati, è una posizione molto più forte.
Il CISO che porta al CdA un business case che dice “investendo 300K€ in questo controllo riduciamo il rischio atteso di 1,2M€/anno” ha argomenti molto più solidi di chi presenta una lista di vulnerabilità critiche senza contesto economico.
Un aspetto spesso trascurato è la documentazione delle decisioni di accettazione del rischio.
Quando il management decide di non investire in un controllo (perché il costo supera il beneficio atteso o perché il budget non è disponibile) questa decisione dovrebbe essere documentata formalmente, con la stima del rischio residuo accettato.
Questa documentazione è rilevante tanto sul piano della governance interna quanto su quello della conformità normativa: NIS2 e DORA richiedono che le organizzazioni dimostrino di aver valutato il rischio in modo proporzionato, e la documentazione di una decisione consapevole di accettazione del rischio è molto più difendibile, in caso di ispezione, di un’assenza di valutazione.
Strumenti e standard di riferimento per il Cyber Risk Assessment economico
L’ecosistema di strumenti per il Cyber Risk Assessment economico è in rapida evoluzione, riflettendo la crescente domanda di quantificazione del rischio da parte di board e regolatori.
Sul fronte dei framework metodologici, FAIR (Factor Analysis of Information Risk) rimane il riferimento principale, supportato dall’Open FAIR Body of Knowledge e dallo standard formale The Open Group Standard: Risk Analysis (O-RA) e Risk Taxonomy (O-RT).
Per le organizzazioni che adottano ISO 27001:2022, il framework di risk assessment ISO 27005 (aggiornato nel 2022) ha integrato principi di quantificazione economica coerenti con FAIR, rendendo i due approcci complementari.
Sul fronte degli strumenti software, le piattaforme di Integrated Risk Management (IRM) più avanzate offrono moduli di quantificazione economica del rischio cyber con database di frequenze preconfigurati per settore e tipo di incidente.
Per le organizzazioni con risorse più limitate, strumenti come FAIR-U (la versione gratuita di RiskLens per uso accademico e non commerciale) e i template Excel basati su FAIR distribuiti dall’Open Group offrono un punto di partenza accessibile.
La scelta dello strumento deve essere guidata dalla maturità del programma di risk assessment: iniziare con un foglio di calcolo strutturato è preferibile all’adozione prematura di una piattaforma complessa che richiede dati di input che l’organizzazione non ha ancora.
I dati di benchmark per la calibrazione dei modelli sono disponibili da diverse fonti: il già citato IBM Cost of a Data Breach Report, il Ponemon Institute Cost of Cybercrime Study, i dati di sinistrosità dei principali broker assicurativi cyber (Marsh CyberPoint, Aon Cyber Solutions) e le statistiche di ENISA sugli incidenti nei settori critici europei.
Per il contesto italiano specifico, ACN pubblica periodicamente dati sugli incidenti segnalati dai soggetti NIS2, che nel tempo costituiranno un benchmark nazionale utile per la calibrazione delle frequenze nel contesto locale.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Paolo Tarsitano
Source link
