Indice dei contenuti
In questa serie di articoli ci dedicheremo ad analizzare uno dei concetti più importanti nell'ambito della governance aziendale: il Risk Management, traducibile in italiano con gestione del rischio: un processo continuo, graduale e proattivo che coinvolge tutti gli aspetti strategici e organizzativi dell'azienda e che per questo motivo è opportuno integrare nella cultura dell'organizzazione attraverso una politica mirata da parte del management.
Come sempre partiremo dalle definizioni, per poi passare ad approfondimenti mirati sulle varie componenti fondamentali in cui si scompone il processo di analisi, valutazione e successiva mitigazione dei rischi: dalla comprensione del contesto all'identificazione del rischio, per arrivare alla ponderazione (evaluation), al trattamento e al monitoraggio nel corso del tempo della soluzione adottata.
Definizione
La definizione più sintetica ed efficace è fornita dalla norma UNI 11230, Gestione del Rischio, definisce il Risk Management come l'insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un’organizzazione con riferimento ai rischi. Da un punto di vista organizzativo, possiamo definire la gestione dei rischi come una serie di processi aziendali volti alla gestione completa ed integrata dei rischi mediante attività sistematiche quali identificazione, valutazione e trattamento del rischio.
Per quanto riguarda gli standard di riferimento, è opportuno prendere in considerazione due normative:
- UNI/ISO 31000:2018, dedicata al Risk Management e dunque destinata alle figure che , nel contesto di un'azienda o organizzazione, hanno il compito di gestire rischi, prendere decisioni, fissare e conseguire obiettivi e migliorare le prestazioni.
- ISO/IEC 27000, un insieme di norme internazionali dedicate alla sicurezza delle informazioni e fortemente orientata al risk-based approach.
Poiché in questo approfondimento ci dedicheremo a fornire una panoramica del Risk Management all'interno del contesto proprio della sicurezza delle informazioni, i riferimenti adottati saranno prevalentemente relativi alla ISO/IEC 27000 e in particolare alla ISO/IEC 27001:2017, la cui impostazione è peraltro del tutto coerente con quanto descritto nella ISO 31000.
Cos'è il rischio?
Ma cosa si intende effettivamente per rischio? La definizione ci viene fornita dalla ISO/IEC 27000, famiglia di norme internazionali dedicate alla gestione della sicurezza delle informazioni, dove il rischio viene descritto come l'effetto dell'incertezza sugli obiettivi. Tale incertezza è dovuta al verificarsi di eventi, che possono avere effetti, conseguenze e/o impatti negativi (threats) o positivi (opportunities).
Alcuni esempi di effetti negativi:
- danno di immagine, quando l'evento negativo diventa di dominio pubblico;
- perdita di quote di mercato, quando l'evento è determinato o determina azioni da parte di concorrenti (aumento dei prezzi, spionaggio industriale, etc.);
- perdita di competitività, quando l'evento determina un aumento dei costi o limita le possibilità dell'azienda (ad es. l'impossibilità di prendere parte a gare o appalti);
- rallentamenti della produzione, ad esempio a causa della chiusura di un fornitore o indisponibilità di prodotti e/o materie prime;
- riduzione della liquidità, quando l'evento impedisce il recupero di crediti o l'accesso alle linee di credito;
- costi aggiuntivi, ad esempio per adeguarsi a nuove normative;
- perdite economiche, a causa di scioperi, atti di sabotaggio o situazioni emergenziali provocate da cyber threats;
- perdita di reputazione, clienti e/o denaro, a causa della riduzione di qualità percepita dei propri prodotti e servizi;
Alcuni esempi di effetti positivi:
- miglioramento dell'immagine, per il tempestivo adeguamento a nuove normative;
- aumento della clientela e/o della produttività, grazie all'introduzione di processi o tecnologie innovative;
- miglioramento della reputazione, grazie a buone politiche di gestione del cliente e/o del personale;
Come si può vedere leggendo gli esempi, lo stesso rischio potrebbe produrre una molteplicità di effetti negativi o positivi a seconda della velocità e dell'efficacia con cui viene gestito: la capacità di ridurre al minimo gli effetti negativi e di coglierne le opportunità positive è del resto uno dei motivi principali per cui è importante dotarsi di una buona metodologia di gestione del rischio. Ciò premesso, poiché la sicurezza delle informazioni si occupa unicamente dei rischi con effetti negativi (threats e incidents), in questo e nei prossimi articoli ci dedicheremo ad approfondire soprattutto questi ultimi.
A cosa serve la Gestione del Rischio
La funzione principale del Risk Management è quella di proteggere e incrementare il valore di una azienda a vantaggio dei suoi stakeholder, sostenendone gli obiettivi attraverso la predisposizione di un quadro metodologico che consente uno svolgimento coerente e controllato di ogni futura attività, il miglioramento del processo decisionale, nonché la corretta pianificazione e creazione di priorità. Il Risk Management contribuisce, inoltre, a un utilizzo e a un'allocazione più efficace del capitale e delle risorse all’interno dell'organizzazione, alla protezione del patrimonio, dell'immagine aziendale, del know how dell’organizzazione e delle persone chiave, nonché alla ottimizzazione dell'efficienza operativa.
Un approccio globale al Risk Management, ovvero la sua introduzione all'interno di tutti i contesti strategico/decisionali, consente all'organizzazione di considerare il potenziale impatto delle diverse tipologie di rischio sui processi aziendali, sulle attività, sugli operatori, sui prodotti e i servizi.
Le fasi del Risk Management
Per assolvere ai propri scopi il Risk Management prevede l'adozione di uno schema suddiviso in sette fasi principali:
- Individuazione delle risorse finanziarie a disposizione dell'azienda.
- Identificazione e analisi dei potenziali rischi che corre l'azienda nei vari settori di attività e produzione.
- Ponderazione di questi rischi in termini di gravità come entità o frequenza.
- Controllo dei rischi al fine di prevenirli o ridurli.
- Assunzione in proprio - in tutto o in parte - dei rischi finanziariamente sostenibili.
- Trasferimento dei rischi a una terza parte, come ad esempio un fornitore o un assicuratore (nota anche come condivisione del rischio).
- Monitoraggio nel tempo dell'evoluzione dei rischi e del programma di risk management messo in atto.
La prima fase necessita di una comprensione del contesto e dell'ambito in cui si valuta il rischio; le fasi 2 e 3, rispettivamente note come Risk Analysis e Risk Evaluation, vengono solitamente raggruppate all'interno di un singolo processo noto come Risk Assessment; Le fasi 4, 5 e 6 descrivono le varie modalità di Trattamento del Rischio, mentre la settima e ultima fase è dedicata al monitoraggio (monitoring) e alla rivalutazione (reassessment) del rischio, attività che è necessario svolgere periodicamente per assicurare che il rischio sia correttamente gestito nel tempo.
Approfondimenti
Per il momento riteniamo utile fermarci qui. Per un approfondimento ulteriore sulle varie fasi che compongono lo schema di Risk Management invitiamo alla lettura dei seguenti articoli:
- Risk Context: come individuare il contesto e l'ambito del Risk Management, una panoramica sulle fasi preliminari dell'analisi del rischio, con particolare riguardo all'individuazione e definizione del contesto e dell'ambito di riferimento.
- Risk Assessment: tecniche di identificazione, analisi e valutazione del rischio, in cui vengono dettagliate le metodologie relative alle fasi di Risk Analysis e Risk Evaluation.
- Risk Treatment: tecniche di gestione e trattamento del rischio, in cui vengono approfondite le metodologie che riguardano il Risk Treatment.
- Risk Monitoring: tecniche di controllo e rivalutazione del rischio, dedicato alle metodologie di Risk Monitoring e Risk Reassessment.
A corredo degli approfondimenti sopra elencati consigliamo inoltre la lettura dei seguenti contributi, che mettono in evidenza l'importanza di adottare un risk-based approach in una serie di processi di gestione strettamente collegati alla sicurezza delle informazioni:
- IT Procurement: istruzioni per l'uso. Una serie di approfondimenti sulle procedure di approvvigionamento ICT per affrontare con successo le sfide connesse all'innovazione tecnologica.
- IT Governance: principi di base e best practices. Panoramica sulla IT Governance: cosa si intende per gestione dei sistemi informativi e principali modelli di funzionamento.
- Interoperabilità dei sistemi informativi aziendali. Considerazioni generali sugli aspetti legati alle possibilità di integrazione e interoperabilità tra sistemi informativi aziendali.
- Change Management: cos’è, come funziona, come affrontarlo. Cosa si intende con "gestione del cambiamento", perché è importante e come è possibile mettere in atto un progetto di Change Management all'interno di una azienda pubblica o privata.
- Vulnerability Assessment: linee guida. Linee guida e best practices per impostare un Vulnerability Assessment efficace basato su processi di Change Management, Patch Management e Penetration Test.
Buona lettura!
Riferimenti
- UNI/ISO 31000:2018 (Ente Italiano di Normazione & International Organization for Standardization, 2018)
- ISO/IEC 27001:2017 (International Organization for Standardization & International Electrotechnical Commission, 2017)
- UNI EN ISO 9000:2015 (Ente Italiano di Normazione & International Organization for Standardization, 2017)
- Sicurezza delle informazioni (Cesare Gallotti, 2019)