La cybersecurity delle principali financial services firm sta passando da un modello maturity-based a uno risk-based in seguito alla crescente attenzione che i cyber risk stanno ottenendo tra le agende dei board, dei senior executive e le richieste dei regulator. I top manager chiedono che i programmi di cybersecurity dimostrino il loro reale valore in termini di risk reduction e i regulator fanno challenging alla enterprise resilience delle firm.
Per affrontare un cambio di modello operativo che consenta di rispondere con efficacia a tali pressioni, le firm devono dotarsi di un approccio in grado di identificare tutti i componenti dei cyber risk e la loro natura. Apprendendo come prioritizzare con la massima efficacia i progetti ad alto potenziale di risk reduction mediante metodologie che consentano ai decison maker e agli stakeholder in generale, di basarsi su robuste informazioni di cost-effectives di tali progetti.
Vantaggi e svantaggi dell’approccio maturity-based e cybersecurity
Sebbene allo stato attuale sia ancora l’approccio più utilizzato dimostrandosi adatto alle organizzazioni che necessitano di creare da zero un modello operativo la cui maturità possa essere misurata in termini di postura, sviluppo e implementazione di security capability, come nel caso della implementazione di un Security Operation Center (SOC) o di un multi-factor authentication (MFA) system al fine di aumentare la capability di analisi, risposta e monitoraggio delle cyberthreat o quella di access control management, può risultare inadeguato nel caso in cui il programma di cybersecurity sia già stato implementato, poiché a causa di una sua tendenza alla implementazione massiva di controlli, spesso rischia di compromettere negativamente la risk governance, in particolare le capacità di threat monitoring e di razionalizzazione del ROI (ritorno sugli investimenti).
In tale scenario, infatti, occorre che la firm sappia focalizzarsi su obiettivi di risk reduction mediante approcci risk-based in grado di consentire ai top manager di prioritizzare gli investimenti e di agire in coerenza ed efficacia con il risk appetite.
Attraverso la ri-prioritizzazione delle cyber iniziative in allineamento con il risk appetite è dimostrato che una organizzazione può aumentare fino sette volte la capacità di fare risk reduction di rilevamento delle aree ad eccessivo investimento di risorse.
La best practice risk-based e la cybersecurity
In seguito allo studio di casi reali che hanno coinvolto alcune istituzioni leader nel settore dei financial service, è possibile sviluppare una best practice da adottare in un percorso di trasformazione da maturity-based a risk-based attraverso il seguente piano di azioni:
- incorporazione completa della cybersecurity nell’enterprise risk management;
- definizione delle fonti di valore aziendale tra i team, i processi e le tecnologie;
- comprensione estensiva di tutte le vulnerabilità, sia umane che di processo, tecnologiche, interne o delle terze parti;
- comprensione accurata degli actor più rilevanti, delle loro capability e motivazioni;
- collegamento dei controlli delle attività “run” e “change” alle vulnerabilità a cui sono indirizzati;
- mappatura dei rischi attraverso l’enterprise risk management framework, considerando gli actor più rilevanti, le loro capability, le vulnerabilità che essi intendono sfruttare, il control landscape complessivo.
- plotting dei rischi sul risk appetite;
- monitoring dei rischi verso il risk appetite, KRI e KPI.
Enterprise risk management
Il framework di enterprise risk management non deve essere solamente utilizzato come linea guida ma come vero principio organizzativo. In altre parole, i cyber risk devono essere analizzati e classificati nell’ambito di un framework di cyber risk completamente allineato a quelle di livello enterprise. In questo modo si demistificherà il cyber risk management radicandolo sia in termini di linguaggio, struttura e aspettative nell’enterprise risk management. Una volta che il cyber risk sarà compreso e concepito più chiaramente come un business risk, allora l’organizzazione sarà pronta ad implementare l’approccio risk-based.
Fonti del valore
I rischi più significativi si annidano tra i workflow dei processi di business a più alto valore per l’organizzazione. È quindi di primaria importanza che questi workflow vengano identificati in modo da comprendere al meglio a quali rischi siano maggiormente suscettibili. Nelle financial service firm, ad esempio, il workflow del processo di loan fa parte dei processi ad alto valore ed è suscettibile di rischi di data leakage, mentre invece il workflow di un processo di payment sarà più suscettibile a rischi di frode. Quindi, per comprendere gli enterprise risk serve porre il focus dei potenziali impatti sulle fonti di valore la cui identificazione dovrebbe essere un esercizio da praticare direttamente con i business owner, i quali, possedendo già la consapevolezza di quali possano essere i principali rischi per il loro business, sono in grado di descrivere il valore per il quale temono maggiormente.
La connessione tra cyber risk management e business team rappresenta uno degli step più importanti di questa best practice in quanto motiva il business nel vedere la cybersecurity con un atteggiamento più approfondito in grado di fargli meglio apprezzare i controlli da essa raccomandati.
Vulnerabilità
Le vulnerabilità che threat actor motivati e dotati di elevate capability possono sfruttare devono essere mappate sulle aree a più alto valore (vedere workflow dei processi prima descritto) e nel fare questo occorre considerare che il collegamento può essere diretto e anche indiretto, come nel caso in cui una applicazione, seppure classificata a basso impatto, possa ad esempio essere impattata da lateral movement. Una volta compiuta tale mappatura, occorre identificare i componenti tecnologici, come ad esempio lo storage, i database, gli end-point, i server e i relativi sistemi operativi e le terze parti che sono coinvolte, in modo da identificare nel dettaglio le vulnerability e la loro esposizione a cyber risk.
Vale la pena notare che tra le vulnerabilità e i controlli sussiste una sorta di relazione simbiotica, in quando laddove è presente un controllo sufficientemente robusto, la vulnerabilità è generalmente assente (neutralizzata) e viceversa, laddove esiste una vulnerabiltà il controllo risulta non efficace o assente. Quindi le vulnerabilità dovrebbero anche essere messe in relazione concordemente con il control framework di cybersecurity così da fare emergere la sinergia ottimale attraverso l’utilizzo di un linguaggio univoco tra i team di cybersecurity, di risk management e di business.
Threat Actor
Le minacce da cui le firm devono proteggersi saranno tanto più rilevanti quanto più gli asset dell’organizzazione target corrisponderanno agli interessi e alle motivazioni degli stessi attaccanti.
I threat actor con le loro capability, tattiche e tecniche (e.g. TTP – Tactics, Techniques and Procedures), definiscono di fatto il cosiddetto threat landscape il quale se ben definito facilita molto gli obiettivi di risk reduction in quanto permette di organizzare il control landscape di conseguenza.
Una analisi delle minacce dovrebbe sempre iniziare con la domanda su quali sono gli attori principalmente attivi nello sfruttare determinate vulnerabilità peculiari degli asset posseduti dalla firm, e fino a cosa possono spingersi a fare (i.e. capability).
In questo processo di identificazione un grande aiuto lo può fornire il servizio di cyber threat intelligence, il quale attraverso un metodo sistematico di information collection consente di supportare efficacemente le attività di threat identification.
Controlli
I team di governance e di program management dovrebbero effettuare delle mappature che consentano di ottenere una chiara rappresentazione di tutto il control landscape suddiviso per controlli run (in essere) e controlli change (in via di sviluppo). In questo modo le vulnerabilità identificate in precedenza potrebbero essere utilizzate dai decision maker per decidere con quali priorità avviare le iniziative in base alla severità delle vulnerabilità che gli stessi controlli si prefiggono di indirizzare. Questo permetterebbe alle seconde e terze linee di difesa di efficientare le attività di controllo nei confronti dei team di delivery riversando i loro effort sulle iniziative ad alta priorità e utilizzando le stesse baseline comuni.
Enterprise risk
Una volta mappati i rischi sugli asset a più alto valore, identificate le vulnerabilità dei business process, noti i controlli in piedi e quelli da implementare e compresi gli attori e le loro capability, l’approccio risk-based inizia a prendere forma.
A questo punto i programmi run e change possono venire ottimizzati in modo da ottenere la maggiore risk reduction allocando correttamente le giuste risorse. Incorporando tutti i vari componenti in un unico modello che utilizza le stesse fonti di valore, lo stesso control framework e un linguaggio comune, i team di business, IT e cybersecurity possono agire in completo allineamento e le discussioni posso svolgersi all’interno di un framework univoco generando quello che in gergo si chiama golden-thread.
Risk Appetite
L’applicazione dei controlli dovrebbe essere dimensionata al potenziale risk-level attraverso una griglia da poter utilizzare come strumento di comunicazione chiara nei confronti di tutti gli stakeholder. Per fare questo serve partire dall’assunto che ogni enterprise risk sia definito nel risk appetite, poiché solamente a queste condizioni il plotting dei rischi sulla griglia potrà essere mappato con differenti gradazioni di impatto. Questo tipo di visualizzazione consente di ottenere una vista di insieme di tutte le interrelazioni tra minacce, rischi, vulnerabilità e controlli in modo organico e fruibile da tutti gli stakeholder.
Monitoraggio
Ottenuta una comprensione del threat lanscape e della risk-posture lo step conclusivo dell’approccio descritto consiste nel monitoraggio. Molte firm tendono a farlo sulla percentuale di completamento dei programmi anziché sulla risk-reduction e questo comporta un problema di interpretazione, come nel caso di un programma che dovendo implementare un DLP (Data Loss Prevention) system il quale trovandosi al 30% del suo avanzamento viene interpretato come se il 30% del rischio fosse ridotto.
Questo genere di assunzioni è falso, ed è corretto stabilire il metodo più efficace di monitoraggio attraverso l’utilizzo di metriche in gradi compiere misurazione sia in input che in output. Nel nostro caso le metriche di input sono gli avanzamenti in termini di risk reduction che le iniziative stanno compiendo, e gli output l’attuale risk reduction. La metrica di input sarà quindi un KPI che misura la performance di un programma e quella di output un KRI che misura il livello di rischio associato a un determinato scenario i cui limiti (i.e. threshold) dovranno essere allineati ai livelli definiti dal risk appetite.
Per esempio, se il risk appetite level per un evento di data leakage è zero, allora i controlli dovranno essere più robusti di quanto invece potrebbero essere nel caso in cui fosse consentita una soglia di tolleranza al rischio.
Un metodo conveniente di pensare ai KPI e ai KRI è quello di mettere in relazione tra loro i due concetti attraverso la similitudine con i concetti di altitudine e traiettoria: un KRI fornisce il livello di rischio dell’organizzazione (la sua altitudine) e il KPI la distanza dal risk appetite level (la sua traiettoria). Una organizzazione infatti potrà non essere ancora arrivata al KRI target ma un buon KPI potrà certamente indicare che ciò avverrà presto.
Conclusioni
L’approccio risk-based si dimostra in questo modo essere un tool di supporto molto interattivo da utilizzare soprattutto per il decision making strategico. Si focalizza sul business value utilizzando un linguaggio condiviso e unanimemente compreso e collega direttamente l’enterprise risk ai controlli. Aiutando a tradurre con estrema efficacia le decisione del top management sulla risk reduction in azioni concrete di implementazione di controlli.
