Una vulnerabilità critica su un endpoint e una decisione del board sembrano appartenere a due mondi diversi, eppure la distanza che li separa è quella che ogni giorno mette alla prova chi lavora nel rischio informatico. Tra questi due estremi si colloca un percorso fatto di passaggi distinti, ciascuno dei quali trasforma un'informazione grezza in un elemento sempre più vicino al linguaggio del business. Proviamo a ricostruire questo percorso come una catena del valore, partendo dagli asset fino ad arrivare all'impatto economico, per capire dove si trovano oggi le soluzioni disponibili sul mercato e dove si colloca invece la proposta di ai.esra.
La catena del Cyber Risk si può articolare in quattro fasi, legate tra loro da un rapporto di dipendenza progressiva, poiché ogni livello si costruisce sull’output prodotto da quello precedente.
Senza un inventario completo e aggiornato degli asset, qualunque valutazione rischia di poggiare su basi inconsistenti, dal momento che un’infrastruttura non censita rappresenta per definizione un punto cieco. L’output di questa fase è quindi la mappatura del perimetro tecnologico, comprensiva dei dispositivi IT, degli ambienti cloud e delle componenti OT e IoT che negli ultimi anni hanno ampliato in modo considerevole la superficie da monitorare.
Il secondo anello comprende l’Exposure Management, che opera sugli asset censiti per stabilire quali tra essi siano realmente esposti a un rischio concreto. Non tutti gli asset hanno lo stesso peso, così come non tutte le vulnerabilità meritano la stessa urgenza di intervento, per questo è importante trasformare con metodo un elenco tecnico in un ordine di priorità operativo. L’output atteso è una gerarchia di interventi, costruita non sulla quantità delle vulnerabilità rilevate bensì sulla loro effettiva sfruttabilità all’interno del contesto specifico.
Con il terzo anello, il Risk Management, si entra nel merito del rischio reale, derivante dalla effettiva esposizione individuata nell’anello precedente, componendo probabilità e impatto in scenari costruiti su correlazioni e simulazioni. È a questo livello che il dato tecnico comincia a diventare linguaggio di rischio, poiché la domanda a cui si risponde non è più quali vulnerabilità esistono bensì quali scenari di rischio queste vulnerabilità possono generare se combinate tra loro o con altri fattori del contesto.
Nel quarto anello, quello della Business Impact Analysis, si traducono gli scenari di rischio in un linguaggio che il board può utilizzare per prendere decisioni strategiche. Le domande che guidano questa fase riguardano le conseguenze operative in caso di vulnerabilità sfruttate, la direzione più efficace per gli investimenti e il ritorno atteso da ciascun controllo introdotto. L’output è un supporto decisionale, pensato per chi in azienda deve allocare budget e definire priorità strategiche.
Ogni anello di questa catena si concentra su un ambito specifico e produce un beneficio distinto per il cliente. Questo modello organizzativo ha fatto emergere, negli anni, categorie di prodotti che si concentrano su aspetti specifici del Cyber Risk, come ad esempio Asset Discovery, Vulnerability Prioritization o Firewall Assurance.
Tuttavia, per far fronte a organizzazioni con strutture sempre più complesse, diventa ormai sempre più necessario osservare i 4 livelli individuati come un flusso continuo piuttosto che come compartimenti separati.
Un’informazione che nasce come semplice attributo tecnico di un asset, se seguita lungo tutta la catena, arriva a determinare una decisione strategica a livello di board, arricchendosi a ogni passaggio di contesto e di rilevanza. È come un’onda che attraversa l’intera catena raccogliendo informazioni via via più significative, fino a trasformare un dettaglio infrastrutturale in un elemento finalizzato ai processi decisionali.
Se osserviamo le soluzioni oggi disponibili sul mercato, notiamo che praticamente nessuna copre l’intera catena in modo soddisfacente, perché ciascun vendor si è specializzato su uno o due anelli specifici della catena di valore.
Sul fronte dell’Asset Discovery si sono affermate soluzioni capaci di costruire inventari completi e di estendere la visibilità fino agli ambienti IoT e OT. La loro forza si esaurisce tuttavia quando si tratta di andare oltre la mappatura, poiché la loro copertura cala sensibilmente non appena si voglia entrare nel merito delle vulnerabilità relative agli asset individuati, e ancora di più quando si richiede di analizzare il rischio delle eventuali vulnerabilità sfruttate.
Sul fronte dell’Exposure Management troviamo invece piattaforme, che eccellono nel dare priorità tecnica alle vulnerabilità attraverso strumenti come l’attack path analysis e l’exposure scoring. Ma, anche in questo caso la copertura resta forte sul proprio dominio e si indebolisce progressivamente man mano che ci si allontana verso il Risk Management e verso la Business Impact Analysis, che restano territori marginali per questi vendor.
Sul fronte opposto della catena si collocano applicazioni, che coprono in modo solido sia il Risk Management sia la Business Impact Analysis, offrendo simulazioni di scenario e supporto decisionale per il management. La loro debolezza si manifesta però a monte, dove la capacità di Asset Discovery e di Exposure Management resta limitata, costringendo queste piattaforme a dipendere da dati importati da altre soluzioni per alimentare i propri modelli.
Il risultato è un mercato in cui, per coprire l’intera catena del valore, un’organizzazione si trova costretta ad adottare più soluzioni contemporaneamente, integrandole tra loro con un lavoro spesso manuale e accettando che la parte più preziosa della catena, quella che parla il linguaggio del board, si basi su stime statiche piuttosto che sullo stato vivo dell’infrastruttura.
È in questo scenario che si inserisce la proposta di ai.esra, costruita attorno a un’idea diversa da quella di sommare strumenti specializzati su ciascun anello, una piattaforma di Full Cognitive Risk Management, in cui a partire dal dato tecnico relativo alla mappatura degli asset si è in grado di produrre dati analitici in grado di suggerire al board le decisioni strategiche da intraprendere per il business.
Invece di far transitare i dati da una piattaforma all’altra attraverso esportazioni ed integrazioni, il digital twin mantiene una rappresentazione costantemente aggiornata degli asset, delle loro relazioni e del contesto di business a cui appartengono, e su questa rappresentazione vengono eseguiti in sequenza la valutazione delle esposizioni, la simulazione del rischio e la quantificazione dell’impatto economico.
L’approccio di ai.esra cambia la natura stessa della catena, che smette di essere una sequenza di report statici prodotti da strumenti diversi, diventando un modello unico interrogabile in ogni direzione e in grado di trasformare il dato tecnico in decisioni strategiche per il business.
Un intervento tecnico, come la chiusura di una vulnerabilità critica su un asset OT, si traduce immediatamente in una variazione calcolabile dell’esposizione, del rischio associato e della cifra di impatto economico mostrata al board, senza che nessuno debba ricaricare manualmente un dato o rincorrere un’integrazione tra sistemi separati.
Allo stesso modo, quando il management vuole valutare dove destinare un budget di sicurezza, può simulare l’effetto di un investimento e osservarne la ricaduta lungo tutta la catena, fino al livello tecnico dei singoli asset coinvolti, prima ancora di aver speso un solo euro.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati