Come quantificare il cyber risk in modo oggettivo (con esempi reali)

Perché oggi serve una misura concreta del rischio cyber

Nel 2025, il rischio informatico è il primo rischio operativo per istituzioni finanziarie, infrastrutture critiche e catene logistiche digitali. Eppure, molte organizzazioni continuano a valutarlo tramite heatmap soggettive, checklist generiche o approcci qualitativi incapaci di dimostrare la necessità di budget o contromisure.

Per CISO, IT Manager e Compliance Officer, la sfida è passare dalla percezione al dato, dalla sensibilità all’oggettività misurabile, al fine di:

• Supportare decisioni di budget con dati finanziari
• Prioritizzare le azioni in modo efficace
• Comunicare con il board in linguaggio economico
• Dimostrare compliance con normative come NIS2, DORA, ISO/IEC 27001

La cyber risk quantification (CRQ) rende tutto questo possibile, traducendo scenari di attacco e vulnerabilità in impatti monetari misurabili.

Cos’è la Cyber Risk Quantification (CRQ)

La CRQ è l’insieme metodico di pratiche che permettono di:

1. Modellare scenari realistici di rischio
2. Stimare frequenze e impatti attesi
3. Calcolare una Expected Loss in valore economico

I principali vantaggi:

• Prioritizzazione basata su numero, non percezione
• Supporto al ROI delle misure di sicurezza
• Chiarezza per CFO, board e assicuratori

Raccolta dati: oggettività sì, precisione no

La CRQ non richiede dati perfetti: bastano stime credibili, documentate e tracciabili.

Fonti utili:

• Incidenti passati (interni o di settore)
• Threat intelligence (MITRE ATT&CK, ISAC)
• Dati tecnici (SIEM, vulnerability scan, IAM logs)
• Stime strutturate di esperti interni

Strumenti come FAIR-U, RiskLens o modelli Excel con Monte Carlo consentono di ottenere range di rischio (percentili) anziché singole cifre.

Metodo FAIR: i pilastri della misurazione oggettiva

FAIR si basa su due dimensioni fondamentali:

• LEF (Loss Event Frequency): frequenza stimata di un evento dannoso
• PLM (Probable Loss Magnitude): impatto economico atteso per evento

Formula: Cyber Risk = LEF × PLM

Componenti della stima:

• TEF (Threat Event Frequency): quante volte un attacco può tentare
• Vulnerabilità: probabilità di successo
• Primary Loss: costi diretti (downtime, ripristino, dati persi)
• Secondary Loss: costi indiretti (reputazione, sanzioni, legali)

Esempio: se una PMI con dati sanitari stima una TEF di 4 eventi/anno, vulnerabilità alta e PLM (Product Lifecycle Management) pari a €180.000 → Expected Loss annuale: €720.000.

Strumenti per la quantificazione del rischio cyber: panoramica tecnica

Oggi esistono diversi tool — open-source e commerciali — per applicare il metodo FAIR e stimare il rischio economico.

Tool open-source

• FAIR-U: sviluppato dal FAIR Institute, consente simulazioni Monte Carlo gratuite
• Monte Carlo Add-on per Excel: semplice da usare, permette di generare distribuzioni con pochi parametri
• RiskQuant (Python): libreria per automazione e integrazione CRQ nei flussi DevOps

Soluzioni commerciali

• RiskLens: piattaforma enterprise per CRQ completa, con gestione portafoglio rischi, reporting e integrazione GRC
• Safe Security: consente misurazione e benchmark tra business unit
• Axio360: strumento che lega analisi rischio, maturità e sicurezza finanziaria

Integrazione

Questi strumenti possono essere collegati a:

• CI/CD pipeline (DevSecOps)
• CMDB aziendali (es. ServiceNow, Jira Assets)
• Sistemi GRC (es. Archer, OneTrust, LogicGate)

Scegliere lo strumento corretto dipende dal livello di maturità organizzativa, dalla scala (PMI vs enterprise) e dalla necessità di auditabilità esterna.

Esempi pratici: scenari reali di CRQ

Attacco ransomware in un’azienda manifatturiera

TEF: 2 eventi/anno (fonte: threat intel settoriali)

• Vulnerabilità: 50% (assenza EDR su file share)
• PLM: €500.000 (downtime, forensics, comunicazione clienti)

Expected Loss: 2 × 0,5 × 500.000 = €500.000
Il rischio classificato come critico → implementazione immediata di backup immutable e segmentazione.

Terza parte SaaS per dati finanziari

TEF: 0,3 (1 breach ogni 3 anni)

• Vulnerabilità: 80% (assenza audit security)
• PLM: €1.200.000 (esfiltrazione dati, multe, rescissione contratti)

Expected Loss: ~€288.000
→ Decisione: onboarding sospeso fino a completamento penetration test esterno.

ROI e rischio: il valore delle misure

Un tema centrale in boardroom: “Se investiamo €100.000 in sicurezza, quanto riduciamo il rischio?”

Esempio:

• Rischio attuale: €500.000
• Rischio post-EDR: €200.000
• Risparmio di rischio: €300.000
• ROI stimato: 3X

Questo approccio è anche richiesto da enti come NIS2 (Art.21) e garantisce trasparenza per gli underwriter assicurativi.

CRQ e gestione del rischio: intrinseco, residuo, tollerabile

Per una gestione efficace, è fondamentale distinguere tre concetti chiave:

• Rischio intrinseco: è il rischio senza alcuna contromisura. Esempio: attacco ransomware su rete esposta senza autenticazione.
• Rischio residuo: è il rischio che rimane dopo aver implementato i controlli (es. MFA, EDR, backup segmentati).
• Rischio tollerabile: è la soglia che l’organizzazione è disposta ad accettare. Può variare per settore, asset, ciclo di vita.

La CRQ consente di stimare tutti e tre i livelli e confrontarli per decidere dove investire. Ad esempio:

• Intrinseco: €800.000
• Residuo: €280.000
• Tollerabile: €200.000 → Gap di €80.000 → nuove azioni richieste

Questo confronto è anche utile per costruire risk appetite statement formali, richiesti da normative come ISO/IEC 27005 e framework GRC avanzati.

KPI e Reporting: trasformare i numeri in strategia

I numeri acquisiti possono e devono trasformarsi in KPI decisionali:

• Risk-based Remediation Rate (% vulnerabilità mitigate per criticità)
• Time to Risk Detection (dalla commit alla rilevazione)
• Gate Rejection Rate (% build bloccate da policy)
• Trend Rischio Residuo (mensile)
• Rischio come % del Fatturato, utile per boardroom (es. “1,2% → 0,6% in 3 anni”)

Dashboard integrate come Grafana, Power BI, Splunk aiutano a tracciare questi indicatori e guidano le review di risk committee.

Integrazione in DevSecOps e Governance continua

La quantificazione deve diventare parte integrante del ciclo DevSecOps e del sistema di gestione del rischio (ERM):

• Threat modeling (STRIDE + FAIR)
• Raccolta dati da SAST, DAST, SIEM
• Allineamento tra CRQ, roadmap di mitigazione e budget corporate
• Evidenze ripetibili per audit: ISO/IEC 27001, NIS2, DORA

Questo processo rende la CRQ sostenibile, scalabile e conforme ai requisiti della governance aziendale.

Esempi settoriali: applicazioni mirate della CRQ

Finanza

Istituti bancari utilizzano CRQ per quantificare rischi ransomware e calcolare riserve per premi cyber insurance, migliorando la resilienza e rispondendo a DORA e NIS2.

Sanità

Provider sanitari misurano il rischio legale associato a violazioni di dati su cartelle cliniche. La CRQ integra DPIA e privacy by design, in linea con normative GDPR/HIPAA.

Manifattura

Imprese industriali valutano il rischio operativo associato a un fermo OT, confrontando costi di fermo linea con spese per network segmentation, CYBER ORCHESTRATION e backup.

Mini Checklist Operativa per iniziare la CRQ

• Definire chiaramente lo scenario (asset, minaccia, PLM stimato)
• Raccogliere dati da incidenti, threat intel, scan, logs
• Stimare LEF e PLM con metodi trasparenti
• Eseguire simulazione Monte Carlo per range di rischio
• Integrare output in Risk Register e tool di governance
• Presentare risultati al board con grafici, KPI e ROI

❓ FAQ

• La CRQ sostituisce l’approccio qualitativo?
• No. La CRQ integra e migliora gli approcci qualitativi (es. heatmap), fornendo stime quantificabili e comparabili.
• Serve una piattaforma sofisticata per iniziare?
• No. È possibile partire con modelli Excel e stime strutturate; piattaforme come FAIR‑U o RiskLens facilitano le simulazioni.
• È compatibile con ISO 27001 o NIS2?
• Assolutamente sì. La CRQ aiuta a rispettare requisiti come ISO/IEC 27001 Annex A.14 e NIS2 Art. 21 mediante misure proporzionate e documentate.

Glossario tecnico

• Expected Loss: rischio economico stimato per anno (LEF × PLM)
• LEF: frequenza stimata di un evento dannoso
• PLM: costo economico stimato in caso di evento
• TEF: probabilità che una minaccia tenti un attacco
• Vulnerabilità: probabilità che un attacco abbia successo
• Primary Loss: danni diretti (es. downtime, ripristino, furto dati)
• Secondary Loss: danni indiretti (es. legali, reputazione, sanzioni)
• Rischio Residuo: rischio che rimane dopo l’applicazione delle contromisure

📥 Risorse e supporto

• Scarica il foglio Excel FAIR
• Prenota una consulenza personalizzata con un analista ISGroup certificato FAIR