Misurare il rischio: metodi e approcci per un corretto risk management - Cyber Security 360

LA GUIDA PRATICA

Misurare il rischio: metodi e approcci per un corretto risk management

Il rischio che qualcosa accada, la probabilità che un evento futuro si verifichi, non è esattamente tangibile come un progetto e il suo stato di avanzamento lavori, ma al pari di questo può essere misurato. Ecco i metodi, gli approcci e le difficoltà nel misurare il rischio

22 Giu 2021
S
Manuel Angelo Salvi

DPO GRC Team

Ci sono moltissimi esempi di analisi del rischio clamorosamente sbagliate e successivamente smentite dall’evidenza dei fatti. Il disastro al reattore nucleare di Fukushima, la trascuratezza con cui viene valutato il rischio di subire un cyber attack dalle organizzazioni di mezzo mondo, la totale incapacità di ipotizzare il rischio pandemico prima dei clamorosamente noti fatti di Wuhan.

Il risk assessment che semplicemente reagisce alle notizie di ieri non è dopotutto un granché in termini di gestione del rischio.

Il rischio è qualcosa che lascia sempre tutti noi un po’ basiti. Il rischio che qualcosa accada, la probabilità che un evento futuro si verifichi, non è esattamente tangibile come un progetto e il suo stato di avanzamento lavori, ma al pari di questo può essere misurato.

Purtroppo il risk management basato sulla misurazione del rischio non è un approccio predominante. Il metodo usato più frequentemente è quello così detto qualitativo, ma nei fatti talvolta è un tirare a indovinare, non essendo sostenuto da metodi statistici, matematici o scientifici, ma da valutazioni arbitrarie e soggettive.

Immaginiamo se la nostra vita dipendesse da un’analisi del rischio. Preferiremmo una stima soggettiva su quattro macro categorie (basso, medio, medio-alto, alto) oppure avere una misurazioni dei diversi fattori in gioco e della loro probabilità di accadimento?

In misura analoga vi sono questioni critiche per ogni organizzazione, che ne possono determinare le performance, siano essere relative al settore di mercato, l’evoluzione normativa, i cambi tecnologici e molto altro ancora.

È dunque utile concentrarsi sull’importanza della misurazione all’interno di una qualsiasi analisi del rischio, senza addentrarci troppo nel tema se sia migliore un’analisi qualitativa o una quantitativa.

Per chi vi scrive la risposta è semplice. L’approccio migliore per un analisi del rischio è quello quantitativo.

Misurare il rischio: il processo di decision making

L’analisi del rischio è sempre anche un processo di decision making e di valutazione fra diverse variabili, che potranno influenzare la probabilità di accadimento dell’evento.

Prendere decisioni in ultima analisi è lo scopo di ogni analisi del rischio ed è un lavoro estremamente importante, duro e anche rischioso. Le decisioni sbagliate possono danneggiare un’azienda, una reputazione e una carriera, a volte in modo irreparabile.

Big data e IoT ci offrono la possibilità di avere un incredibile mole di dati, di altri (es: report e serie storiche) e/o proprietari, da analizzare e sui quali costruire processi decisionali.

L’uso di metodi quantitativi per scoprire ed estrarre informazioni dai dati offre numerosi vantaggi, il primo su tutto è l’affrancarsi dalla soggettività di ottimisti e pessimisti, che determinano il futuro dell’organizzazione a seconda della loro personalissima avversione o propensione al rischio.

L’analisi qualitativa è inevitabilmente suscettibile di un giudizio, che in quanto soggettivo sarà condizionato dalla natura ottimista, conservativa o pessimista del decisore, il cui istinto potrebbe anche dare buoni risultati nel breve, ma nel lungo termine saranno tutt’altro che ottimali. Il pessimista incrementerà i costi nel tentativo di rifuggire qualsiasi tipo di rischio, l’ottimista sottostimerà la verosimiglianza di accadimento esponendo l’organizzazione a inutili rischi.

L’analisi quantitativa al contrario è suffragata da elementi oggettivi quali ad esempio Report di settore sull’andamento delle minacce cyber, analisi sul livello di competenza e formazione delle persone operanti all’interno dell’organizzazione, aggiornamento dei sistemi e altro ancora.

Naturalmente, determinare quali siano i fattori che potranno influenzare la probabilità di accadimento e assegnare loro un corrispondente peso specifico non sarà facile, ma lo stesso percorso di ponderazione ci permetterà di migliorare l’analisi stessa e i successivi interventi di mitigazione del rischio, poiché avremo una migliore comprensione non solo dei diversi fattori in gioco ma anche del loro effetto cumulativo sul risultato finale.

In un’analisi quantitativa, la valutazione diventa un processo di utilizzo della matematica e delle tecniche statistiche, per trovare relazioni predittive attraverso la misurazione delle diverse variabili.

In sintesi per prendere una decisione devo avere una valutazione oggettiva e misurabile.

Come procedere con la misurazione

Una illusione tipica in cui è facile imbattersi è la convinzione, che taluni fenomeni non possano essere misurati.

In realtà siamo solo in presenza di tre tipi diversi di fraintendimenti sulla misurazione.

Il primo è relativo all’oggetto della misurazione e come esso debba essere misurato.

Ad esempio, la disponibilità di informazioni è misurabile? Sì. Un migliore sistema di gestione dei documenti, ad esempio, migliora la disponibilità di informazioni dando come risultante un minor impiego di tempo in ricerca delle informazioni stesse. Il tempo perso e/o recuperato è facilmente misurabile in ore lavoro, il che ci fornisce un dato concreto e misurabile.

Tale quantificazione/misurazione, come vedremo, è facilmente ottenibile con stime, interviste, report dal fornitore del sistema o simulazioni.

Il secondo fraintendimento è uno dei principali ostacoli a una migliore analisi quantitativa ed è relativo al concetto stesso di misurazione.

Per la maggior parte delle persone, la misurazione dovrebbe essere un valore esatto, come la quantità di latte presente nel contenitore acquistato al supermercato; in realtà, l’indicazione di un litro stampigliato sull’etichetta è solo una media fatta dal produttore su un campione di cartoni. Il latte realmente contenuto sarà di qualche ml maggiore o inferiore. Tale scarto ovviamente ci lascerà del tutto indifferenti nell’acquisto dei nostri generi alimentari, ma la comprensione del fenomeno stesso è fondamentale perché in un’organizzazione tali scarti dal valore medio potrebbero avere ripercussioni più significative.

Una misurazione talvolta non restituisce un valore puntuale e incontrovertibile. Potrebbe piuttosto restituire un range fra un valore minimo e un valore massimo.

Dovremmo abituarci a ragionare su misurazioni realistiche che in scienza, ingegneria, scienza attuariale, economia, ecc. sono espresse come “distribuzioni di probabilità”. In poche parole, una distribuzione di probabilità è una gamma di possibili risultati e le loro possibilità di accadimento.

Ricordiamo che l’elemento chiave nel calcolo del rischio non è l’eliminazione dell’incertezza ma semplicemente la sua riduzione, e anche riduzioni marginali dell’incertezza possono essere incredibilmente preziose.

Il terzo ed ultimo fraintendimento è relativo alle tecniche e/o fonti delle misurazioni che talvolta non sono pienamente conosciute o padroneggiate.

All’interno dei normali sistemi di un’organizzazione vi sono già informazioni non sfruttate quali ad esempio il turnover dei dipendenti da cui calcolare il costo in termini di selezione (Costi agenzia selezione e/o ore dedicate dall’ufficio HR), affiancamento (costo ore risorsa senior) e formazione (costo ore risorsa fuoriuscita).

Il livello di fidelizzazione dei clienti ad esempio è facilmente misurabile con numerosi e variegati KPI. Report, indagini e studi di settore potrebbero offrirti parametri relativamente alla durata media di un sistema, al tempo medio di obsolescenza di un apparato o sulla probabilità di subire un attacco informatico.

Potremmo anche noi stessi misurare in tempo reale oppure testare con sondaggi casuali, ad esempio inviando volontariamente una mail di phishing al nostro staff per misurare la capacità di comprensione della minaccia o i tempi di risposta del team sulla sicurezza.

In sostanza così come posso misurare / quantificare il costo di un fermo macchina, così posso misurare il costo di ogni possibile minaccia, variabile e/o fenomeno, che abbiano una qualche ricaduta sul mio rischio.

Un caso pratico

Vediamo un “wow” case history, direbbero gli americani.

L’ufficio approvvigionamento dei Marines non riusciva a stimare correttamente quanto carburante fosse necessario sul campo. Si limitavano a ipotizzarlo sull’esperienza di missioni analoghe e quindi inviava al fronte più carburante del necessario, per avere un discreto margine. Ciò ovviamente significava più depositi di carburante, ma anche più convogli e quindi più marines in pericolo.

Dopo aver condotto un nuovo ciclo di misurazioni, i Marines hanno scoperto nello stupore generale che il più importante fattore singolo nella previsione del consumo di carburante era il manto stradale su cui viaggiavano i convogli, dove il coefficiente d’attrito fra strade sterrate e asfaltate variava sensibilmente i consumi, incrementandoli giornalmente per mezzo di 10,303 galloni.

Questo e altri parametri hanno permesso previsioni decisamente più accurate. L’incremento sulla velocità media di sole 5 miglia orarie produce infatti un consumo giornaliero maggiore di 4,685 galloni; un dislivello di 10 metri, 6,422 galloni; un’altitudine media superiore di 100 metri, 751 galloni; 10 gradi di temperatura pesano per 1.075 galloni; ogni 10 miglia in più di percorso comportano 8,320 galloni; ogni tappa aggiuntiva produce un consumo maggiore di 1,980 galloni.

In sintesi tutto è misurabile. Occorre solo definire oggetto, scopo e strumento di misurazione.

L’incertezza del misurare il rischio

Solitamente, prima di investire somme significative su un nuovo progetto, a seconda di quanto sia strutturata la funzione aziendale, se ne stimano i costi mentre i più abili redigono analisi costi-benefici.

La maggior parte delle organizzazioni dedica molto tempo a stimare i costi iniziali (confrontando ad esempio preventivi e quotazioni), molto meno a stimarne i benefici, o quell’insieme di variabili che potrebbero influenzare drasticamente l’analisi costi benefici.

La velocità con cui le persone inizieranno a utilizzare il sistema o l’avversione dello staff al nuovo servizio, la possibilità che il progetto non sarà mai completato o abbia significativi scostamenti dall’iniziale previsione, così come molti altri elementi spesso difficilmente identificabili soprattutto nel lungo periodo, non vengono misurati.

In realtà quasi ogni variabile in un’analisi costi-benefici, persino quelle ritenute più definite, sono incerte. Non sappiamo esattamente quali saranno i costi iniziali, così come non sappiamo concretamente in termini puntuali di quanto sarà il miglioramento della produttività.

Tuttavia, ogni costo o beneficio viene mostrato come un numero unico e preciso. Ciò implicherebbe che questo numero esatto sia noto, il che non è quasi mai vero. È possibile, tuttavia, rappresentare quei valori in modo più realistico. Possiamo usare le “distribuzioni di probabilità” per mostrare quanto sappiamo realmente di ogni numero in un’analisi costi-benefici.

Potremmo ricordare vagamente concetti come “intervallo di confidenza al 90%” o “deviazione standard” da una lezione di statistica all’università. Sebbene le reminiscienze matematiche possano essere sbiadite, i concetti sono abbastanza semplici.

Un intervallo di confidenza del 90% è costituito da due numeri, un limite superiore e uno inferiore, che rappresentano un intervallo di cui al 90% siamo sicuri sia contenuto il valore vero. Ad esempio per qualsiasi costo nei fogli di calcolo si utilizza semplicemente un numero definito ad esempio 5.000 euro, mentre in realtà dovremmo piuttosto dire che siamo sicuri al 90% che il costo sarà compreso tra 3.000 e 7.000 euro. E pur così rimarrà un 10% di probabilità che il costo reale cada al di fuori di tali limiti.

Possiamo usare rappresentazioni statistiche (come distribuzioni normali, binarie discrete e così via) per determinare la quantità di incertezza.

Applicando una distribuzione normale (non sempre l’esempio più realistico ma sicuramente il più semplice) al nostro scenario, potremmo usare la deviazione standard per esprimere l’incertezza. Secondo la matematica statistica, ci sono 3,29 deviazioni standard in un intervallo di confidenza del 90%. Un altro modo per dirlo è che il costo ipotizzato poc’anzi è un numero normalmente distribuito con una media di 5.000 euro e una deviazione standard di 1.216 euro.

Ogni numero incerto dovrebbe essere rappresentato come una distribuzione per evidenziare la sua incertezza. Un risk assessment quantitativo si compone infatti di decine se non centinaia di rilevazioni, molte delle quali incerte. Inserirle nel foglio di calcolo come certe potrebbe portare a valutazioni errate.

In sintesi il falso senso di sicurezza fornito da un numero definito, nasconde la reale incertezza di misurazioni e analisi del rischio, portandoci verso previsioni errate soprattutto nel lungo periodo. Una previsione errata sarà sempre e comunque un costo in termini di mancata opportunità o di perdita certa.

Conclusioni

L’analisi quantitativa è oggettiva e strutturata su misurazioni. La statistica ci permetterà di individuare scarti medi e probabilità di accadimento.

Ogni misurazione in quanto tale è soggetta a errori di misurazione e a una certa incertezza intrinseca. Ciò potrebbe essere un problema in termini assoluti ma non lo è in termini relativi.

Se mi fossi perso in mezzo a un bosco, preferirei comunque avere un GPS che mi restituisce la mia posizione con uno scarto di cinque metri, piuttosto che non avere nulla. Cinque metri sono molti e chissà quali insidie potrebbero nascondere nel folto della foresta ma è preferibile comunque giocarsela con un rilevamento “quasi” preciso piuttosto che con niente.

In egual misura, un’analisi quantitativa è un GPS con un certo margine d’errore. Se non avessi il GPS valuterei la direzione da prendere osservando il muschio sui tronchi degli alberi o portando la mano alla fronte e ipotizzando la posizione del sole. L’analisi qualitativa in questo esempio un po’ provocatorio è paragonabile al muschio sul tronco di un albero.

Infine, rimanendo sul tema del campeggio, quando effettuiamo delle misurazioni, la cosa migliore da ricordare è questa: se noi e i nostri amici siamo in campeggio e improvvisamente un orso ci attacca e inizia a inseguirci, il nostro obiettivo non è correre più veloce dell’orso. Dobbiamo solo correre più veloce della persona più lenta.

Spero mi perdonerete l’aneddoto un po’ cruento ma, in altre parole, il metodo quantitativo utilizzato per effettuare misurazioni e decisioni deve solo essere più performante dell’alternativa.

L’incorporare nel nostro processo di analisi del rischio misurazioni matematiche e calcoli probabilistici comporterà un significativo miglioramento, non in termini assoluti ma sicuramente in termini relativi, poiché ci fornirà informazioni più pratiche e accurate, rispetto a quelle di cui disponiamo oggi.

In conclusione la misurazione è un processo, non un risultato. Non deve essere perfetta, solo migliore dell’attuale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5