LA GUIDA PRATICA

Risk Heat Map, efficace strumento decisionale del Risk Management: come usarlo

La Risk Heat Map è uno strumento efficace e potente per rappresentare sinteticamente i rischi cyber nelle aziende. Ecco alcune regole per una corretta costruzione senza errori

12 Giu 2020
C
Mattia Castellano

Cyber Security Consultant, HSPI Consulenti di Direzione


Si sente spesso dire che “un’immagine vale più di mille parole”: questo vale anche per la Risk Heat Map, una rappresentazione grafica utile alla visualizzazione, comprensione e condivisione del rischio cyber, calcolato nel processo di analisi dei rischi informatici.

Una Risk Heat Map è costituita da un piano cartesiano dove in ascissa (l’asse orizzontale delle X) sono indicate la probabilità P, mentre in ordinata (l’asse verticale delle Y) la magnitudo dell’impatto (I). La grandezza che si vuole rappresentare è il rischio, calcolato come R = P x I, e questa viene rappresentata come un punto sul piano. Il piano (o i punti che si disegnano) sono associati a dei colori, dal verde (rischio basso) al rosso (rischio alto).

La Heat Map è uno strumento decisionale e dunque un elemento critico per il Risk Management (questo vale soprattutto nelle organizzazioni complesse), poiché permette la rappresentazione del rischio paragonato alla soglia di “risk appetite” o “propensione di rischio”, il livello di rischio che l’organizzazione è disposta ad accettare prima che debba esser presa una decisione per ridurre, evitare, trasferire o accettare il rischio.

Tuttavia, è da tenere in considerazione anche il “risk tolerance”, ovvero la “soglia di tolleranza” (il rischio addizionale, per così, al valore stabilito dal risk appetite) entro la quale l’organizzazione può comunque decidere di operare gestendo il rischio in condizioni “di stress” controllato.

Cosa rappresentare nelle Risk Heat Map

Per sua natura la Risk Heat Map (è un piano cartesiano) si presta a vedervi rappresentate figure e luoghi geometrici: punti, rette, forme. Le legende e i significati degli assi devono essere chiari: solitamente la probabilità in ascissa e l’impatto sulle ordinate.

Le diverse soglie (ad esempio risk appetite, risk tolerance oppure altre soglie quali rischio alto/medio/basso) possono essere rappresentate come curve e a ogni fascia è possibile attribuire un colore diverso (occorre stabilire una convenzione di colorazioni), o semplicemente sfumando in modo continuo le varie zone.

È importante decidere quale significato attribuire a ogni mappa del rischio: questa potrebbe essere specifica per ogni minaccia (e dunque da ripetersi tante volte quante sono quelle delle minacce prese in considerazione) e vedervi disegnato ciascun punto quanti sono gli asset esposti a tali rischio (e dunque tanti punti quanti gli elementi di valore per l’organizzazione sono in perimetro di analisi).

Un’altra scelta, ugualmente valida, è quella di optare per l’esatto opposto: la heat-map potrebbe essere specifica per ogni asset e vedere corrispondere a ogni punto un diverso scenario di minaccia. La definizione di asset potrebbe non limitarsi agli asset tecnologici (applicazioni, sistemi IT), ma anche ai diversi processi di business supportati dagli asset IT. Qualunque sia la scelta, il titolo della mappa deve essere immediato e di facile comprensione, rimandando a eventuali sotto-titoli descrizioni più verbose.

Un’altra opzione possibile è quella di esprimere il rischio anche in funzione dei diversi requisiti di sicurezza (RID), l’organizzazione potrebbe essere infatti interessata a valutare i rischi in ottica di riservatezza, integrità o disponibilità di taluni asset.

Tuttavia, ogni ulteriore “aggiunta” andrebbe a sovraccaricare la mappa, facendole perdere di sinteticità. La quantità di informazioni che si rappresenta dovrebbe essere calata nei confronti degli opportuni stakeholder, al fine di rendere la mappa uno strumento decisionale efficace, senza privarsi della possibilità di utilizzare la mappa anche in modalità “drill-down”.

Risk Heat Map come strumento decisionale e non solo

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

In ottica di Risk Heat Map come strumento decisionale non ci si deve dimenticare la possibilità di rappresentare anche la dimensione temporale o differenti scenari futuri alternativi (simulazione as-is/to-be) al fine di rappresentare quali sarebbero gli effetti a fronte di determinate azioni (ad esempio la messa a terra di un piano di remediation/di mitigazione del rischio) oppure a fronte di fattori esterni (va da sé che se l’organizzazione rimane immobile ma il panorama delle minacce cambia, anche il rischio cambierà).

Nella Risk Heat Map è possibile rappresentare:

  1. lo scenario di rischio corrente (as-is), evidenziando il rischio intrinseco da quello effettivo;
  2. un ipotetico scenario di rischio futuro (to-be), a fronte dell’implementazione di un piano di mitigazione del rischio o comunque di cambiamenti (dovuti a fattori interni o esterni);
  3. la fotografia del rischio in diversi momenti temporali (ad es. al completamento del 33%, 66% e 100% del piano di mitigazione, oppure prima/dopo una importante acquisizione).

Non sono da trascurare i risvolti positivi in termini di sensibilizzazione del rischio all’interno dell’organizzazione.

Di fatti, con tale strumento (e con un’adeguata metodologia di analisi dei rischi a supporto) è possibile far visualizzare (e comprendere) a ciascuna funzione aziendale qual è il proprio apporto (in termini di rischio) al rischio globale dell’organizzazione.

La regola aurea: le curve iso-rischio

Nello sviluppo e costruzione di una Risk Heat Map è necessario rispettare alcune regole. La più importante riguarda la coerenza e correttezza nella suddivisione della mappa in “fasce” e quindi della definizione di soglie, inclusa quella del risk appetite. Queste importanti soglie si chiamano curve iso-rischio, e vengono definite il luogo geometrico dove il livello di rischio R rimane costante.

Si assuma che sia la probabilità P e l’impatto I vengano definite su scale da 0 a 4. Il rischio R = P x I sarà dunque una grandezza da 0 a 16. Si decida ad esempio di rappresentare sulla mappa del rischio una soglia di risk appetite del 25%, corrispondente a un quarto del valore massimo 16, ovvero 4. Per poter disegnare la corrispondente curva iso-rischio è necessario individuare tutti i punti sul piano che soddisfano l’equazione P x I = 4, ad esempio (2, 2), (3, ), (,3), (4, 1), (1, 4), eccetera. Si può osservare che le curve iso-rischio corrispondono a funzioni di proporzionalità inversa (del tipo y = k/x). In questo caso I = 4/P.

Figura 1: punti con R = 4.

Figura 2: curva iso-rischio R = 4.

Estendendo l’approccio, ad esempio definendo 3 soglie (corrispondenti al 75%, 50% e 25%) che permettono di suddividere la mappa in 4 fasce, otteniamo la seguente mappa, presentata in versione bianco e nero (figura 3) e colorata (figura 4):

Figura 3: 3 curve iso-rischio.

Figura 4: fasce iso-rischio.

È possibile, invece di utilizzare colorazioni ben definite, adottare un approccio di colorazioni “sfumate”.

Non vi sono particolari ragioni per privilegiare una colorazione “sfumata” (Fig 5) da una colorazione “netta” come in figura 4, se non quella che la colorazione sfumata potrebbe probabilmente aiutare a visualizzare in maniera più intuitiva la fascia cosiddetta di risk tolerance (ad esempio, il colore arancione), ovvero quell’incremento del valore di rischio che un’organizzazione riesce a gestire senza troppi problemi.

Figura 5: fasce iso-rischo sfumate.

Altre curve iso-rischio (meno corrette)

Le curve iso-rischio appena descritte sono quelle matematicamente corrette se il rischio viene definito e calcolato come R = P x I.

Tuttavia, non è inusuale imbattersi in mappe del rischio con curve di rischio differenti e non “lineari”, ad esempio la figura 6. Tuttavia, rappresentare le curve iso-rischio in modo lineare (come delle rette y = mx + q ) è corretto solo se il rischio R viene espresso come somma di probabilità e impatto (R = P + I ), e non prodotto.

Figura 6: curve iso-rischio lineari.

Un altro modo, anch’esso scorretto se si calcola il rischio come R =P x I, per rappresentare le curve iso-rischio è quello di utilizzare dei quarti di circonferenza (si veda figura 7 e figura 8). Queste curve iso-rischio sono corrette solo se il rischio R viene calcolato con formule simili al teorema di pitagora o alle circonferenze (si vedano le funzioni di seno e coseno), del tipo

:

Figura 7: curve iso-rischio a “circonferenza”.

Figura 8: curve iso-rischio a “circonferenza”.

Risk Heat Map a blocchi

Non è inusuale imbattersi in heat-map suddivise e colorate a “blocchi”, come quella in figura 9. Se la metodologia e il modello di analisi sono semplici e vengono alimentati da un numero limitato di informazioni, è probabile che anche il risultato del rischio sarà “a grana grossa” e dunque sarà possibile individuare solo il blocco corrispondente al rischio ma non il punto esatto sulla mappa.

Viceversa, se la metodologia permette di apprezzare differenze di rischio molto piccole (e dunque è lecito aspettarsi movimenti molto piccoli dei punti sulla mappa), probabilmente occorrerà utilizzare le curve iso-rischio descritte precedentemente.

Figura 9: curve iso-rischio a blocchi.

Spunti e riflessioni sull’approccio qualitativo/quantitativo

La Risk Heat Map è uno dei tasselli finali di una metodologia e di un processo di analisi dei rischi e deve chiaramente rispecchiarne l’approccio. L’approccio riguarda anche la definizione delle scale e metriche di valutazione delle probabiltà, degli impatti e dunque del rischio, distinguendo tra approcci quantitativi e qualitativi.

Se l’approccio qualitativo (ad esempio definendo quattro livelli: molto alto/alto/medio/basso) è più immediato, quello quantitativo può restituire informazioni più oggettive. Tuttavia, un approccio quantitativo ha senso quando è possibile stabilire il grado di affidabilità delle valutazioni, con dati a sostegno di cui può essere molto difficile disporre (dati storici, big data, benchmark ecc.).

Nulla vieta di adottare approcci ibridi, adottando un approccio quantitativo per la scala impatti e uno qualitativo per la scala probabilità o viceversa. L’importante è sottoporre il modello/metodologia a un’accurata fase di calibrazione e prova sul campo. Tuttavia, questi aspetti verranno analizzati nel dettaglio, evidenziandone pro e contro, in un articolo dedicato.

Conclusioni

La Risk Heat Map è uno strumento di visualizzazione, comprensione e sensibilizzazione del rischio cyber, oltre che di supporto alle decisioni. Affinchè sia il più efficace possibile è bene rispettare le seguenti regole:

  1. deve essere chiaro cosa si sta rappresentando sulla mappa, cosa rappresenta ciascun asse e il significato dei colori e simboli utilizzati;
  2. le curve dei rischi (risk appetite, risk tolerance) devono essere coerenti con le definizioni matematiche e chiaramente rappresentate;
  3. la mappa deve essere personalizzata (modulandone le caratteristiche di sinteticità e la possibilità di eseguire drill down) in base allo stakeholder / decisore.
WHITEPAPER
Covid-19: come rispettare le regole senza fermare lo sviluppo del mercato?
Sanità
Risk Management

Il Risk Management dell’organizzazione ha l’opportunità di migliorare il proprio Sistema di Gestione della Sicurezza delle Informazioni (SGSI) anche grazie alle Risk Heat Map.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5