Cos’è un framework di gestione del rischio?

Un framework di gestione del rischio è un approccio formalizzato e progressivo, fondato su regole chiare e adeguatamente documentato, che consente di analizzare, mitigare e monitorare i rischi all’interno di un’organizzazione. Le organizzazioni adottano modelli standardizzati oppure ne sviluppano di propri, evitando di affrontare il rischio attraverso pratiche estemporanee o non strutturate. L’adozione di un framework permette di operare con maggiore affidabilità, favorendo risultati migliori e una capacità di risposta più rapida in caso di eventi imprevisti.

La gestione del rischio rientra nell’area di business della governance, del rischio e della conformità (GRC) ed è spesso collocata all’interno delle funzioni di cybersecurity o di conformità. Il modo in cui l’organizzazione affronta è determinante per la continuità operativa, il corretto svolgimento delle attività, il rispetto delle normative e la tutela della reputazione. I framework di gestione del rischio aiutano a identificare, valutare, mitigare e monitorare i rischi in tutta l’organizzazione. 

I rischi possono influire sull’organizzazione nel suo complesso, sulle singole linee di business e sulle risorse aziendali. Rientrano in questa categoria i rischi operativi, aziendali, di conformità, di cybersecurity, legali, legati a fusioni e acquisizioni, privacy, hardware, software e contrattuali. Sebbene le aziende tendano spesso a concentrare l’attenzione sul rischio informatico, è importante non trascurare le altre tipologie di rischio. Questo documento si concentra principalmente sui rischi operativi, aziendali e di conformità, con specifico riferimento al contesto del cloud.

Il rischio operativo riguarda la disponibilità, l’affidabilità, le prestazioni e la sicurezza dell’infrastruttura, ed è la categoria di rischio più rilevante per le attività quotidiane.

Il rischio aziendale è legato alla reputazione, alla competitività e alle condizioni di mercato. Ha un perimetro più ampio rispetto al rischio operativo e può avere un impatto complessivo più significativo sul business.

Il rischio di conformità normativa indica la probabilità che le attività aziendali non rispettino gli standard di conformità richiesti. Questo tipo di rischio può comportare sanzioni pecuniarie, provvedimenti restrittivi, conseguenze legali o un aumento degli obblighi di controllo, audit e rendicontazione. Gli obiettivi di conformità derivano da standard di settore, agenzie federali e altri organismi di regolamentazione.

I framework comuni di gestione del rischio includono:

• Il quadro di gestione del rischio (RMF) del National Institute of Standards and Technology (NIST) per sistemi e organizzazioni informativi
• COBIT
• Gestione del rischio ISO/IEC 31000 - Linee guida
• ISO/IEC 27005:2022 Sicurezza delle informazioni, cybersecurity e protezione della privacy — Linee guida sulla gestione dei rischi per la sicurezza delle informazioni
• Analisi fattoriale del rischio informativo

È consigliabile utilizzare un framework di gestione del rischio noto e regolarmente aggiornato per rimanere aggiornati sulle migliori pratiche per la gestione del rischio.

Un solido framework di gestione del rischio consente di governare in modo strutturato i rischi di ogni natura all’interno dell’organizzazione.

Identificazione dei rischi

Occorre mappare tutte le risorse, le minacce e le vulnerabilità lungo l’intera architettura organizzativa. Un rischio nasce quando una minaccia sfrutta una vulnerabilità. L'individuazione dei rischi potenziali può essere un processo lungo e articolato che attraversa diversi vettori dell’organizzazione e molteplici obiettivi aziendali.

I rischi possono essere classificati, ad esempio, in categorie tecniche, umane, di processo, finanziarie o legate a terze parti. Ciascuna categoria può essere ulteriormente dettagliata: nel caso delle persone, ad esempio, si possono distinguere carenze di competenze, errori operativi e compartimentazione della conoscenza.

Analisi dell’impatto

L’analisi congiunta di risorse, minacce e vulnerabilità permette di stimare la probabilità che un rischio si manifesti e l'entità delle sue conseguenze. La valutazione del rischio combina criteri qualitativi e quantitativi. Si può, ad esempio, raccogliere informazioni approfondite su una specifica tipologia di rischio oppure costruire matrici di scoring per classificarli. Tali matrici aiutano a determinare sia le conseguenze attese sia le strategie di mitigazione più adeguate, distinguendo tra rischi a impatto basso, medio, alto o molto alto in funzione della probabilità dell’evento e della sua gravità.

Strategie di mitigazione

Per ciascun rischio esistono quattro approcci fondamentali:

• Mitigare: implementare i controlli per eliminare o ridurre il rischio
• Accettare: assumere consapevolmente il rischio, monitorandone attentamente l’evoluzione in termini di probabilità e impatto
• Evitare: rimuovere la fonte del rischio, riconfigurando i sistemi
• Trasferire: esternalizzare la funzione al rischio, prevedere tutele contrattuali o ricorrere a coperture assicurative

Oltre alla probabilità e alla criticità del rischio, anche la propensione al rischio dell’organizzazione influisce sulla scelta della strategia appropriata.

Implementazione delle soluzioni

In base alla strategia di mitigazione adottata, si procede all’applicazione di controlli, alla modifica di sistema, all’introduzione di soluzioni di monitoraggio o all’esternalizzazione del rischio. I controlli possono essere di natura amministrativa, fisica o tecnica. Questa fase può coinvolgere più sistemi, unità organizzative, parti interessate e passaggi per produrre il risultato desiderato.

Una soluzione di mitigazione del rischio può includere processi di escalation del rischio, l’assegnazione di responsabili del rischio e il coordinamento con i team di risposta agli incidenti per la definizione di piani post-incidente.

Una volta implementata la soluzione, si valuta il rischio residuo. Nella maggior parte dei casi, il rischio non può essere eliminato del tutto e quello residuo può variare nel tempo al mutare delle condizioni.

Governance e monitoraggio continuo

Dopo l’implementazione delle misure di mitigazione, i rischi devono essere costantemente monitorati, tracciati, analizzati e, se necessario, sottoposti ad audit. Il processo di risk tracking deve includere sistemi di reporting destinati ai responsabili del rischio, ai team GRC e al management.

Nell'ambito del quadro di governance, devono essere previsti sia momenti di verifica programmati sia attività on-demand per individuare nuovi rischi o l’aggravarsi di quelli esistenti. È fondamentale definire policy chiare sulla gestione del rischio, stabilire la frequenza di riesame del processo e formare adeguatamente i team coinvolti. Infine, l’adozione di guardrail e controlli preventivi aiuta a impedire automaticamente il ripetersi delle stesse tipologie di rischio.

Questa guida illustra come realizzare una pipeline AWS coerente con le fasi tipiche di un framework di gestione del rischio.

Lungo l’intero processo vengono utilizzati tre servizi AWS fondamentali, che forniscono supporto in ciascuna fase:

• Gestione audit AWS per eseguire continuamente l’audit del tuo utilizzo di AWS al fine di semplificare la valutazione dei rischi e della conformità
• AWS Config per valutare, verificare e stimare le configurazioni delle tue risorse
• AWS Security Hub per dare priorità ai tuoi problemi di sicurezza critici attraverso una correlazione automatizzata e un contesto di rischio più ricco, ai report sullo stato della sicurezza e ad altre funzionalità

1. Pianificazione

La fase di pianificazione garantisce all’organizzazione una solida base per la creazione di processi di gestione del rischio basati sulle best practice.

Pianifica l’esecuzione di attività di gestione del rischio secondo le migliori pratiche con i seguenti servizi:

• AWS CloudTrail per monitorare l’attività degli utenti e l’utilizzo delle API
• AWS Control Tower per configurare e gestire il tuo ambiente AWS sicuro con più account
• AWS Identity and Access Management per gestire in modo sicuro le identità e l'accesso ai servizi e alle risorse AWS
• AWS IAM Access Manager per identificare gli accessi esterni, interni e non utilizzati alle tue risorse AWS
• AWS Organizations per la gestione basata su policy su più account AWS
• AWS Secrets Manager per gestire l’accesso ai segreti in tutta l’organizzazione
• AWS Systems Manager per l’applicazione automatica di patch e conformità

2. Indagine

La fase di scoperta consiste nell’individuare e classificare risorse, asset e servizi.

Per identificare e organizzare le risorse puoi avvalerti dei seguenti servizi AWS:

• Amazon Macie per individuare e proteggere i dati sensibili
• AWS CloudFormation per adottare l'infrastructure as code (IaC)
• Esploratore di risorse AWS per cercare e individuare risorse pertinenti in AWS
• AWS Systems Manager Inventory per ottenere visibilità nel tuo ambiente di calcolo AWS
• Strumento AWS Well-Architected per valutare l’architettura cloud rispetto alle best practice.

3. Selezione di controlli e regole

La fase di selezione introduce controlli e regole per mitigare i rischi individuati.

I controlli possono essere scelti tra le regole predefinite basate sulle best practice offerte dai seguenti servizi AWS:

• AWS Config Managed Rules, che fornisce regole preconfigurate e personalizzabili con cui AWS Config valuta la conformità delle risorse AWS alle best practice più comuni
• AWS Control Tower e AWS Security Hub per il controllo della sicurezza e la gestione audit AWS per i controlli di conformità delle policy.
• AWS Systems Manager Compliance è uno strumento in AWS Systems Manager in cui è possibile creare tipi e definizioni di conformità personalizzati in base ai requisiti IT o aziendali

4. Implementazione

L’implementazione garantisce che i controlli vengano applicati in modo coerente su tutte le risorse e gli ambienti desiderati.

A tal fine, è possibile utilizzare i seguenti strumenti di implementazione del controllo tra i servizi AWS:

• AWS CloudFormation per distribuzioni di controlli integrati combinate con il catalogo dei servizi AWS per creare, condividere, organizzare e governare i modelli IaC selezionati
• AWS Config, per l’applicazione delle regole di controllo e la definizione dei passaggi successivi
• AWS Security Hub per l’implementazione delle regole di sicurezza
• AWS Systems Manager per garantire l’aderenza alle policy su risorse e servizi

5. Valutazione

La fase di valutazione misura l’efficacia dei controlli applicati nel loro funzionamento reale.

Per valutare quanto efficacemente la tua organizzazione gestisce i rischi, puoi combinare i seguenti servizi AWS:

• Gestione audit AWS per valutazioni tracciabili
• AWS Config per verificare le regole di conformità
• Amazon Detective per analizzare e visualizzare i dati di sicurezza al fine di indagare su potenziali problemi di sicurezza
• Amazon GuardDuty per eseguire il monitoraggio continuo delle minacce su account, carichi di lavoro e dati AWS
• AWS Inspector per eseguire valutazioni automatizzate del rischio di vulnerabilità
• AWS Security Hub per valutazioni dei rischi di sicurezza sempre attive

AWS Trusted Advisor è un’altra opzione per le organizzazioni che configurano il proprio framework di gestione del rischio. Il servizio AWS Trusted Advisor fornisce controlli sull’ottimizzazione dei costi, sulle prestazioni, sulla sicurezza, sulla tolleranza ai guasti, sui limiti del servizio e sull’eccellenza operativa. Puoi visualizzare avvisi, azioni consigliate e risorse aggiuntive tramite la dashboard. I clienti AWS possono accedere allo strumento all’indirizzohttps://console.aws.amazon.com/trustedadvisor/home.

6. Autorizzazione

La funzione di autorizzazione formalizza l’approccio, i passaggi precedenti e l’accettazione del rischio residuo e del monitoraggio.

Autorizza con sicurezza utilizzando i seguenti servizi AWS:

• AWS Artifact produce report di sicurezza e conformità AWS e ISV
• La gestione audit AWS fornisce report per i responsabili delle decisioni
• AWS Config descrive in dettaglio i report e il monitoraggio della conformità
• AWS Security Hub offre una visualizzazione in tempo reale dello stato della sicurezza e della reportistica del sistema

7. Monitoraggio

Il monitoraggio continuo garantisce che il processo di gestione del rischio rimanga aggiornato e incorpori rischi nuovi e mutevoli.

Ottieni un monitoraggio continuo con i seguenti servizi AWS:

• AWS CloudWatch per monitorare le applicazioni, segnalare anomalie e fornire informazioni sullo stato operativo per la conformità
• AWS Config per il monitoraggio continuo della conformità
• Amazon EventBridge per creare risposte automatiche basate su trigger in altri servizi AWS
•  AWS Security Hub per il monitoraggio continuo della sicurezza
• AWS Systems Manager per il monitoraggio di patch e configurazioni

Le organizzazioni che intendono rafforzare la propria resilienza e migliorare le prestazioni complessive dovrebbero dotarsi di un framework strutturato di gestione del rischio. Questi framework consentono di individuare, comprendere e ridurre i rischi che incidano sull’impresa, trasformando aree di incertezza in elementi più controllabili.

Un buon punto di partenza è adottare un modello standardizzato e svilupparlo in base alle proprie esigenze; in questo percorso, AWS mette a disposizione servizi che ne semplificano l'implementazione. In combinazione con il Framework AWS Well-Architected, è possibile costruire una solida base per la governance, la gestione del rischio e la conformità normative in ambiente AWS.

Inizia a creare i tuoi processi di gestione del rischio su AWS creando un account gratuito oggi stesso.