Il risk assessment e la pietra angolare di qualsiasi strategia di cybersicurezza. La NIS2 lo richiede esplicitamente: ogni soggetto obbligato deve condurre una valutazione formale dei rischi informatici, documentarla e aggiornarla periodicamente. Senza un risk assessment solido, tutte le altre misure di sicurezza sono come costruire una casa senza fondamenta.
Ma come si fa un risk assessment serio, che non sia solo un esercizio burocratico? Quante aziende ho visto commissionare valutazioni dei rischi da 200 pagine che poi finiscono in un cassetto, mai lette da nessuno. La NIS2 vuole qualcosa di diverso: un processo vivo, che guidi davvero le decisioni di sicurezza.
Cos'e un risk assessment di cybersecurity
Un risk assessment e un processo sistematico per identificare, analizzare e valutare i rischi informatici a cui un'organizzazione e esposta. L'obiettivo non e eliminare tutti i rischi — e impossibile — ma comprenderli per gestirli in modo consapevole e proporzionato.
Nella pratica, significa rispondere a tre domande fondamentali: quali sono le minacce a cui siamo esposti? Quali vulnerabilita potrebbero essere sfruttate? Quale sarebbe l'impatto se un attacco andasse a buon fine?
Le metodologie di riferimento
Non esiste un'unica metodologia obbligatoria. L'ACN raccomanda di utilizzare framework riconosciuti a livello internazionale:
- ISO 27005 — lo standard internazionale per la gestione dei rischi di sicurezza delle informazioni
- NIST Cybersecurity Framework — il framework americano ampiamente adottato anche in Europa
- Framework Nazionale per la Cybersicurezza (FNCS) — la versione italiana, allineata al NIST ma adattata al contesto nazionale
- OCTAVE — metodologia sviluppata dal CERT/CC, orientata alle competenze interne
- FAIR — un modello quantitativo che traduce i rischi in termini finanziari
Per le PMI, il Framework Nazionale o una versione semplificata dell'ISO 27005 sono generalmente le scelte migliori. Per le grandi organizzazioni, FAIR offre il vantaggio di quantificare i rischi in euro, facilitando le decisioni di investimento.
Le 5 fasi del risk assessment
Fase 1: Identificazione degli asset
Tutto parte dall'inventario. Quali sistemi, dati, applicazioni e servizi ha la tua organizzazione? Dove sono? Chi li gestisce? Un'azienda che non sa quanti server ha, che dati tratta e dove li conserva non puo valutare i rischi. L'inventario deve includere asset fisici (server, PC, dispositivi IoT), asset logici (applicazioni, database, API) e asset informativi (dati personali, proprietà intellettuale, dati finanziari).
Fase 2: Identificazione delle minacce
Quali minacce incombono sui tuoi asset? Ransomware, phishing, insider threat, DDoS, compromissione della supply chain, errore umano, disastri naturali. Le minacce vanno contestualizzate: un'azienda manifatturiera ha minacce diverse da una banca. Un'azienda con dipendenti in smart working ha minacce diverse da una con tutti in ufficio.
Fase 3: Identificazione delle vulnerabilita
Dove sei debole? Software non aggiornato, configurazioni di default, assenza di MFA, backup non testati, dipendenti non formati, fornitori con accesso non controllato. Le vulnerabilita si identificano con vulnerability assessment, penetration test, audit di configurazione e — spesso sottovalutato — interviste al personale.
Fase 4: Analisi dell'impatto e della probabilita
Per ogni coppia minaccia-vulnerabilita, valuta la probabilita che si verifichi un incidente e l'impatto che avrebbe. La probabilita si basa sulla frequenza storica degli attacchi nel settore, sull'attrattivita del bersaglio e sul livello delle contromisure. L'impatto considera le conseguenze operative, finanziarie, reputazionali e legali.
| Probabilita / Impatto | Basso | Medio | Alto |
|---|---|---|---|
| Bassa | Rischio trascurabile | Rischio basso | Rischio medio |
| Media | Rischio basso | Rischio medio | Rischio alto |
| Alta | Rischio medio | Rischio alto | Rischio critico |
Fase 5: Trattamento del rischio
Per ogni rischio identificato, decidi come trattarlo: mitigare (implementare contromisure), trasferire (assicurazione cyber), accettare (se il rischio e basso e il costo della mitigazione e alto) o evitare (eliminare l'attivita che genera il rischio). La NIS2 richiede che queste decisioni siano documentate e approvate dagli organi direttivi.
Errori comuni nel risk assessment
- Delegare tutto a un consulente esterno — il consulente aiuta, ma la conoscenza del business e interna
- Farlo una volta e dimenticarsene — il risk assessment va aggiornato almeno annualmente e dopo ogni cambiamento significativo
- Sottovalutare l'errore umano — il fattore umano e la causa principale degli incidenti
- Ignorare la supply chain — i fornitori sono parte del tuo perimetro di rischio
- Produrre documenti illeggibili — 200 pagine di tabelle che nessuno legge non servono a nulla
Strumenti pratici per il risk assessment
Per le PMI, esistono strumenti gratuiti o a basso costo che semplificano il processo. Il tool di autovalutazione dell'ACN e un buon punto di partenza. CSET (Cyber Security Evaluation Tool) del CISA americano e gratuito e completo. Per chi preferisce un approccio strutturato, ISO 27001 Annex A fornisce una checklist esaustiva dei controlli di sicurezza da valutare.
Il risk assessment non e un documento — e un processo. Un processo che, se fatto bene, trasforma la cybersicurezza da costo a investimento consapevole.