Il compito fondamentale della cyber security è la protezione e la tutela della missione delle organizzazioni/aziende dai rischi derivanti dal cyberspace e dai sistemi informativi. Tutte le organizzazioni sono esposte a una moltitudine di rischi di varia natura. Sebbene vi siano molte definizioni, il senso comune ci insegna che il rischio non è altro che la possibilità di perdere qualcosa di valore: questo valore può essere un oggetto fisico, del denaro, il proprio stato di salute, un valore sociale, un livello di benessere emotivo. Il rischio è quindi legato all’incertezza di eventi prevedibili o improvvisi, diretti o indiretti, misurabili o non misurabili. L’incertezza è legata sia agli eventi sia alle loro cause e ai loro effetti, non sempre facilmente identificabili e definibili. Proprio per questa caratteristica di incertezza, uno stesso rischio può essere percepito in modo molto diverso, a seconda del soggetto che ne valuta le caratteristiche.
Indipendentemente dal settore e dalla tipologia di rischi, c’è una certa convergenza sul definire il rischio come la materializzazione di un evento negativo che possa inficiare gli obiettivi aziendali. Esso può essere visto come il risultato di tre fattori: la minaccia, la vulnerabilità e l’impatto. L’analisi delle tre componenti fondamentali può consentire a una organizzazione di ridurre il rischio attraverso una serie di tecniche, che vanno dalla riduzione delle vulnerabilità alla riduzione del possibile danno; in alcuni casi si può anche contemplare la riduzione della minaccia, ove sia possibile. Ogni organizzazione deve valutare i propri rischi e, in base al proprio livello di tolleranza, decidere quali contromisure adottare. In generale, essendo un concetto altamente legato all’aleatorietà delle variabili che lo determinano, non si considera possibile poter ridurre un rischio a zero, esiste di conseguenza sempre un livello di rischio residuo da considerare. Le organizzazioni devono valutare l’equilibrio tra riduzione del rischio, rischio residuo e la propria “tolleranza” al rischio. Il rischio residuo può essere quindi accettato, oppure trasferito nelle sue conseguenze economiche all’esterno, per esempio attraverso l’uso di prodotti assicurativi. Altro esempio è quello di ricorrere a un fornitore di servizi di sicurezza gestita (i c.d. Manager Security Services Provider – MSSP), al fine di presidiare i rischi in una determinata area di sicurezza: ad esempio, l’individuazione tempestiva di eventi sospetti o di compromissioni che possono nuocere l’integrità, la disponibilità e la confidenzialità delle informazioni. Tale approccio è particolarmente comune nelle PMI, per le quali può risultare sconveniente allocare risorse umane e tecnologiche al monitoraggio degli eventi di sicurezza e quindi al presidio di questa specifica area. L’insieme delle pratiche di analisi e valutazione delle opzioni di mitigazione, accettazione, trasferimento o elusione del rischio va sotto il nome di Gestione del Rischio (o Risk Management). Le valutazioni connesse alla gestione del rischio non possono essere delegate: rappresentano una componente fondamentale della conduzione di una organizzazione, la loro approvazione è una responsabilità inalienabile del top management. Il cyber security risk management è un’applicazione della disciplina della gestione del rischio nell’ambito del cyber space. Poiché le tre caratteristiche fondamentali del rischio cyber (vulnerabilità, minacce e danno) sono spesso fortemente interrelate con altri domini di rischio, il cyber security risk management, al pari di altre tipologie di analisi e gestione dei rischi, non può essere visto come una disciplina a sé stante, ma come una delle componenti chiave del c.d. “Enterprise Risk Management”.