Con il termine risk management, letteralmente gestione del rischio, si identifica il processo di identificazione, valutazione e controllo di rischi che possono abbattersi contro per il capitale e gli utili di un’organizzazione.
I rischi possono essere di vario genere: finanziari, legali, strategici e ultimi ma non meno importanti, i rischi di sicurezza in tutte le sue declinazioni, fisica, logica, cyber.
Indice degli argomenti
Cos’è il risk management e come funziona
Queste minacce, o rischi, potrebbero derivare da un’ampia varietà di fonti, tra cui rispettivamente incertezza finanziaria, responsabilità legali, errori di gestione strategica, incidenti e disastri naturali e naturalmente incidenti informatici imputabili a criminali o gruppi finanziati da Stati.
Il valore del rischio è il risultato di una misurazione effettuata secondo una delle metodologie di analisi e framework esistenti ed oscilla fra il valore zero ed uno essendo associato ad una valutazione di probabilità, in cui lo zero rappresenta rischio inesistente e uno rappresenta la certezza dell’evento rischioso. Normalmente si calcola anche il danno associato al rischio, per determinare il valore economico della perdita.
La misura del valore del rischio è denominata valore di rischio assoluto. Per ridurre il rischio ad un livello accettabile, un’organizzazione deve utilizzare risorse che abbassino il livello di rischio, monitorare e controllare l’impatto degli eventi negativi massimizzando al contempo gli eventi positivi.
Il valore del rischio dopo l’introduzione delle misure correttive finalizzate alla sua mitigazione è chiamato rischio residuo.
Il rischio residuo può essere accettato formalmente dall’organizzazione (perché costerebbe troppo abbassarlo ulteriormente o meglio costerebbe di più del valore della perdita associata al rischio residuo) oppure può essere trasferito (tipicamente mediante stipula di una assicurazione capace di coprire il valore del danno economico associato al rischio).
Un approccio coerente, sistemico e integrato alla gestione del rischio può aiutare a determinare il modo migliore per identificare, gestire e mitigare i rischi significativi.
Le linee guida ENISA per la cyber security della supply chain
Importanza del risk management per le piccole e medie imprese
Tutte le organizzazioni, indipendentemente dalle dimensioni, devono disporre di una solida gestione del rischio. Questo perché la gestione del rischio aiuta a identificare e controllare in modo proattivo le minacce e le vulnerabilità che potrebbero avere un impatto negativo sull’organizzazione.
Infatti, le attività malevole degli attaccanti sono diventate così frequenti e le minacce digitali così diffuse, da rendere lecito non più il dubbio se si verrà attaccati, ma il quando accadrà e in funzione del monitoraggio dei rischi, è possibile quindi prepararsi per tempo.
L’analogia migliore, dopo la pandemia da COVID-19, la fornisce l’epidemia influenzale: il monitoraggio dell’influenza stagionale consente la scoperta del ceppo infettivo e la predisposizione di vaccini, in anticipo.
Tutti coloro che vogliono abbassare il rischio di contrarla e stare male in modo significativo, optano per il vaccino e evitano di contrarre l’infezione o se gli capita, hanno una reazione contenuta e controllata.
Allo stesso modo per le organizzazioni ed aziende di ogni ordine e grado, l’analisi del rischio personalizzata in relazione al proprio settore di mercato, alle tecnologie utilizzate e al proprio core business, permette di prepararsi in anticipo e per tempo. Ecco anche perché si parla di predisposizione di un piano di gestione del rischio.
Un piano di gestione del rischio contiene infatti, tutti i rischi valutati che l’organizzazione si trova ad affrontare e le misure corrispondenti messe in atto per mitigare tali rischi. Adottando un approccio proattivo alla gestione del rischio, ogni organizzazione può ridurre le possibilità che qualcosa sia fuori controllo e può quindi, minimizzare il danno, se dovesse accadere un incidente di sicurezza.
Dall’IT Security all’Enterprise Risk Management: soluzioni per la gestione del rischio aziendale
Panoramica degli strumenti di risk management
Così come ogni organizzazione è diversa dalle altre, lo stesso si può dire in relazione ai rischi cyber che ciascuna può trovarsi ad affrontare. Questo perché nonostante gli attacchi possano essere simili nello stesso settore di mercato, la postura di sicurezza della singola azienda può variare rispetto alle altre e lo stesso può dirsi per l’ammontare del budget disponibile e per il livello di priorità attribuito alla prevenzione dai rischi di cyber security.
Ciò significa che ogni organizzazione dovrà scegliere strumenti processi e approcci di analisi del rischio commisurati alle proprie finanze, alle competenze interne o alla scelta dell’outsourcer a cui affidare tale servizio.
Nella pratica operativa è stato constatato che nessuno strumento, metodo o approccio fornisce le informazioni e le prospettive necessarie per gestire in modo efficace tutti i rischi di sicurezza informatica.
Le maggiori entità e agenzie di sicurezza (fra cui l’agenzia americana CISA e il NCSC inglese) suggeriscono approcci diversificati basati su molteplici tecnologie, per fornire prospettive diverse sui rischi da affrontare.
La raccomandazione è di utilizzare un mix di tecniche e una varietà di informazioni sui rischi, per ottenere una visione adeguatamente ampia e diversificata del rischio per la sicurezza informatica.
La scelta di strumenti, metodi e approcci è anche solitamente influenzata da vincoli aziendali quali finanze, risorse e capacità di gestione del rischio a disposizione, ed eventualmente dalla necessità di mantenere la coerenza con quelli utilizzati dalle vostre organizzazioni partner o con quelli comunemente utilizzati nel proprio settore di mercato.
Alcuni strumenti, metodi e approcci sono gratuiti e relativamente facili da usare, mentre altri richiedono un abbonamento, una formazione approfondita e strutture di governance di supporto; quindi, la scelta degli strumenti adatti al proprio caso diventa cruciale per la buona riuscita del progetto.
In generale gli strumenti di analisi del rischio appartengono alla categoria degli strumenti di Governance Risk and Compliance (GRC) o anche a quella di Enterprise Risk Management (ERM) mentre gli approcci di analisi qualitativa del rischio sono trattati dalla categoria degli strumenti di Cyber Security Risk Quantification (CSRQ).
In aggiunta ai tool è necessario anche considerare i tre seguenti modelli: alberi di attacco (permettono di esplorare una sequenza di eventi che causano un attacco per studiarne la fattibilità); modellazione delle minacce (permette di comprenderne le tecniche e scegliere le appropriate contromisure); scenari di sicurezza informatica (utili nel descrivere le condizioni al contorno di una situazione potenziale).
Perché sviluppare un piano di risk management efficace
I vantaggi della pianificazione preventiva contro i rischi di sicurezza informatica riguardano principalmente la prontezza dell’organizzazione nel fronteggiare per tempo e in modo adeguato ciascuno dei rischi individuati.
Inoltre, il piano di gestione del rischio garantisce che i rischi siano gestiti correttamente, riducendo l’impatto dei rischi negativi (ad esempio gli impatti negativi sulla reputazione del brand o le perdite finanziarie da inattività forzata), aumentando il novero delle opportunità (come esempio, la soddisfazione del cliente finale potrebbe aumentare sapendo che l’azienda gestisce preventivamente i rischi di sicurezza per evitare che accadano).
Un piano di gestione del rischio descrive in dettaglio come il team gestirà il rischio per ridurlo a un livello di rischio tollerabile. Infatti, il piano di gestione del rischio fornisce uno strumento per segnalare il rischio al senior management, consentendo l’allocazione di risorse economiche per fronteggiare e diminuire il valore del rischio assoluto, riducendolo ad un valore di rischio residuo che possa essere accettato o trasferito mediante appropriata sottoscrizione di assicurazione.
In sostanza, un piano di risk management efficace garantisce che il livello di gestione del rischio sia commisurato ai rischi identificati e alla propensione al rischio dell’organizzazione efficientando l’investimento economico per le coperture.
Per avviare la stesura di un piano di risk management è necessario includere la metodologia utilizzata per gestire il rischio (che tipicamente consta delle fasi di identificazione, valutazione, mitigazione, monitoraggio e controllo dei rischi n.d.r), comprendendo anche gli strumenti e le fonti di dati, i proprietari dei rischi, le rispettive responsabilità nella gestione di tali rischi, le categorie di rischio, le definizioni di probabilità e di impatto del rischio.
Il piano può anche descrivere i formati di reporting che verranno utilizzati nel progetto, il processo di comunicazione del rischio alle parti interessate e una matrice di probabilità e impatto per valutare l’impatto sugli obiettivi del progetto (Newton, 2015). Tutti questi tipi di dati raccolti e organizzati consentono all’organizzazione il beneficio generale di una migliore tenuta sotto controllo che si riflette in una migliore capacità di governance.
Identificazione dei rischi: il primo passo nel Risk management
La multinazionale di consulenza strategica Gartner nel suo Glossario IT definisce l’Identificazione dei rischi come un insieme di attività che rilevano, descrivono e catalogano tutti i potenziali rischi per asset e processi che potrebbero avere un impatto negativo sui risultati aziendali in termini di prestazioni, qualità, danni, perdita o reputazione.
Per identificare i rischi il Project Management Book (PMBOK) indica cinque modalità: interviste, analisi basata su assunzioni, revisione documentale, tecnica Delphi (basata su interviste a distanza con feedback documentali da gruppi) di utenti, brainstornimg.
Il processo di identificazione si completa con un arricchimento di dati che possono giungere dall’interno dell’organizzazione o da elementi esterni (tipicamente analisi di rischio basate su evidenze in Open Source Intelligence – OSINT) e solo al termine di questa raccolta e analisi di dati si giunge alla finalizzazione della lista di rischi possibili.
Nella stesura del piano di risk management l’identificazione dei rischi deve essere integrata in tutti i processi del progetto per aiutare a scoprire ulteriori rischi e ridurre le incognite.
È fondamentale rivedere la tolleranza al rischio delle parti interessate fin dall’inizio del progetto, in modo che possano essere elaborati piani per soddisfare le necessità in tema di stime precise degli aspetti economici correlati, risultati chiaramente definiti e frequenza di comunicazione (Kendrick, 2015).
Ognuna di queste esigenze dovrebbe essere documentata in un apposito piano: il piano del budget, il progetto comprensivo delle tempistiche in relazione al livello/complessità delle attività e il piano delle comunicazioni agli stakeholder interessati per informarli degli aggiornamenti.
L’importanza della valutazione del rischio nella cyber security
Valutare la probabilità e l’impatto dei rischi
Per eseguire una misurazione dell’entità del rischio, si ricorre alla misura di probabilità perché l’evento rappresentato da un rischio oscilla fra un evento che non succede mai, che avrebbe un valore di probabilità pari a zero e un evento che succederà sicuramente, solitamente espresso da un valore di probabilità pari a 1. Nel mezzo a questi due estremi la misura di probabilità è rappresentata numericamente in valori assoluti o con un valore in percentuale fra 0 e 100.
Il NIST 800-30, “Guide for Conducting Risk Assessments”, prevede un approccio realistico al rischio e richiede la comprensione delle minacce a un’organizzazione, delle potenziali vulnerabilità all’interno dell’organizzazione, della probabilità di attacco e del valore dei possibili impatti generati dal positivo sfruttamento delle vulnerabilità con tali minacce.
Il calcolo del valore del rischio può quindi essere ottenuto dalla moltiplicazione fra le grandezze di “minaccia”, “vulnerabilità” e “livello dell’impatto” (che rappresenta la quantità di disagi da affrontare se la minaccia si verifica effettivamente n.d.r.). Dunque Rischio = (Minaccia x Vulnerabilità) x Impatto.
Un modo comune per misurare l’impatto e la probabilità del rischio è utilizzare una matrice di rischio o un registro dei rischi. Una matrice di rischio è una tabella che mostra la relazione tra impatto e probabilità per diversi tipi di problemi o rischi. Un registro dei rischi è un documento che elenca i problemi o rischi, il loro impatto e probabilità, nonché le loro priorità e strategie di mitigazione. Per vederne un esempio si può consultare il registro di rischio nazionale inglese n.d.r.).
Misurare l’impatto e la probabilità del rischio non è una scienza esatta ma le competenze per la sua misurazione possono essere incrementate nel tempo. Solitamente è consigliabile utilizzare più fonti di dati e informazioni per supportare le stime, come documenti storici, tendenze di mercato, opinioni di esperti o sondaggi.
Inoltre, è opportuno rivedere e aggiornare la matrice di rischio regolarmente, poiché le condizioni potrebbero cambiare nel tempo. Infine, in termini di strumenti e tecniche di misurazione del rischio è conveniente adattarli al proprio contesto e ai propri obiettivi secondo necessità.
Mitigazione dei rischi: le strategie di risk management
Poiché l’obiettivo finale della valutazione di rischio è raggiungere un livello di rischio soddisfacente per i decisori e per chi deve gestirlo, si rende indispensabile l’implementazione di controlli adeguati a protezione delle informazioni sensibili.
Valutare il rischio significa comprendere i principali fattori di qualsiasi minaccia alla sicurezza, probabilità e impatto, per poi usare questa consapevolezza per agire, ovvero per avere la capacità di intervenire secondo quattro possibili azioni di gestione:
- Evitamento (Avoidance) – Significa eliminare il rischio alla radice della causa del rischio. A esempio, impedire ai dipendenti di accedere ad alcune parti del sistema da dispositivi mobili, evita completamente il rischio.
- Mitigazione – Comporta la riduzione della probabilità del verificarsi di un rischio o del suo impatto mediante l’introduzione di misure di protezione o controlli di sicurezza capaci di intervenire in modo preventivo. L’aggiunta dell’autenticazione a più fattori, ad esempio, riduce notevolmente la probabilità di violazione di un account utente.
- Trasferimento – Indica la possibilità di condividere il rischio con un altro attore. Ad esempio, tramite la sottoscrizione di un’assicurazione o mediante altre iniziative.
- Accettazione – Riconoscimento formale della presenza di rischio con impegno a monitorarlo.
Monitoraggio dei rischi: tenere traccia e agire tempestivamente
La quarta e ultima fase della metodologia di analisi di rischi di sicurezza è il monitoraggio, che implica l’osservazione dell’avanzamento nel processo di gestione del rischio, garantendo la correttezza nella esecuzione di tutte le fasi.
Ma soprattutto il monitoraggio è orientato all’efficacia, perché le vulnerabilità o le minacce possono emergere in qualsiasi momento e il monitoraggio coerente e consistente del rischio, consente alle organizzazioni di rilevare tempestivamente i problemi e minimizzare i tempi di reazione.
I vantaggi del monitoraggio continuo sono legati al miglioramento della risposta agli incidenti ed alla loro prevenzione, all’introduzione di metriche di valutazione della sicurezza ad ogni livello dell’organizzazione, alla gestione del rischio per le terze parti ed in generale all’ottimizzazione di tutto il processo.
Questo perché secondo nel ciclo di Deming formato dalle fasi plan, do, check act, il monitoraggio, ovvero il riesame continuo, consente di correggere quello che non funziona o che funziona meno bene in favore di un miglioramento continuo.
