How to measure cybersecurity risk

In the last years there have been a scholars increasing interest in cybersecurity risk measurement. This paper proposes a methodology to measure cyber risk, using ordinal data, to prioritise appropriate interventions. The method relies on the construction of a Criticality index: a new measure of risk based on the cumulative probabilities of the ordinal variable that represents the level of severity for different risk event. Its properties are derived and compared with alternative measures employed in operational risk measurement. we apply our proposal to real data of a telecommunication service company. The proposed measure is found to be quite effective to rank cyber risk types and, therefore, allow selective preventive actions. Abstract Negli ultimi anni si `e registrato un interesse crescente da parte degli studiosi al problema del cyber rischio e alla sua misurazione. Dato che in tale contesto i dati sono spesso di natura ordinale, nel presente lavoro proponiamo un indice per stimare il cyber rischio utilizzando dati qualitativi riguardanti il livello di severit`a dei cyber attacchi. Noi analizziamo le caratteristiche dell’indice, e lo confrontiamo con misure alternative utilizzate nella valutazione del rischio operativo. La nostra proposta viene applicata ai dati di una compagnia di telecomunicazioni, riguardanti la severit`a dei cyber attacchi subiti dai clienti della compagnia. L’indice risulta efficace per classificare le diverse linee di business in base alla loro rischiosit`a e quindi per consentire tempestive azioni preventive.