Risk Assessment: identificazione, analisi e valutazione del rischio Approfondimento sulle tecniche e metodologie relative alle fasi di Risk Analysis e Risk Evaluation nel contesto di Risk Management di un'azienda o organizzazione

Risk Assessment: identificazione, analisi e valutazione del rischio

Questo articolo fa parte di una serie di approfondimenti dedicata al Risk Management ed è dedicato alle metodologie di identificazione, analisi e valutazione del rischio: in altre parole parleremo delle attività di Risk Assessment, che convenzionalmente corrispondono alle fasi 2 e 3 in cui si scompone l'insieme dei processi di gestione del rischio, subito dopo l'analisi del contesto e necessarie per dar vita alle successive azioni di Risk Treatment e impostare le conseguenti attività di Risk Monitoring.

Definizione

Come sempre in questi casi è opportuno partire dalle definizioni: secondo quella ufficiale fornita dalla ISO/IEC 27000 la Valutazione del Rischio (Risk Assessment) è il processo complessivo di identificazione, analisi e ponderazione del rischio: in altre parole, l'insieme di attività volte a identificare i rischi (ossia gli asset, le minacce e le vulnerabilità), calcolarne il livello e deciderne il trattamento.

E' importante considerare che tale definizione non riguarda unicamente la valutazione del rischio per la sicurezza delle informazioni, ma ha una valenza generale a prescindere dal contesto: è dunque valida anche all'analisi dei rischi strategici, finanziari, sulla sicurezza dei lavoratori, sulla privacy e in qualsiasi altro ambito.

La valutazione dei rischi è un processo necessariamente iterativo e che va ripetuto (continuous improvement), in quanto il contesto oggetto di analisi tenderà inevitabilmente a cambiare nel corso del tempo. Le best practices suggeriscono inoltre di partire da una analisi di alto livello, ovvero senza scendere troppo nei dettagli: in altre parole, di cominciare a curare gli aspetti strategici (alto livello), per poi scendere ad approfondire quelli tattici (medio livello): questo consentirà di affrontare in modo omogeneo le diverse funzioni da analizzare e di produrre un set di regole comuni, eliminando carenze che potrebbero rendere inefficace - e inutilmente dispendiosa in termini di tempi e costi - una analisi operativa (basso livello) effettuata troppo presto. Questo approccio è particolarmente importante nelle iniziative di valutazione del rischio connesse alla sicurezza delle informazioni, dove si commette di frequente l'errore di confondere il Risk Assessment con il Vulnerability Assessment con conseguenze negative non banali dal punto di vista metodologico e organizzativo.

L'importanza di iniziare con analisi "meno accurate" ma più veloci è certificata anche da diversi studi (cfr.  Information and Software Technology, Jorgensen Magne 2010), secondo i quali questo approccio porta molto di frequente ad risultati del tutto paragonabili a quelli di indagini molto più approfondite, ma a previsioni meno ottimistiche e dunque a un approccio più prudente: il che, in un contesto come quello della sicurezza delle informazioni, non è certo una cosa negativa.

Livello di Rischio

La prima cosa da fare quando ci si trova di fronte alla necessità di valutare un rischio è stabilirne il livello, ovvero classificarlo mediante l'adozione di una scala di grandezza oggettiva. La ISO/IEC 27001, dedicata alla gestione della sicurezza delle informazioni e caratterizzata da un risk-based approach, propone di utilizzare una misurazione basata sul livello di rischio, inteso come "la grandezza di un rischio espresso come combinazione delle sue conseguenze e della loro verosimiglianza".

Per comprendere al meglio questa definizione è utile chiarire il significato di conseguenze e verosimiglianza:

  • Conseguenze: l'impatto di un possibile evento.
  • Verosimiglianza: la probabilità che un evento si verifichi.

I termini impatto e probabilità risultano probabilmente più intuitivi, cosa che nel corso del tempo ne ha ha favorito la diffusione e l'utilizzo al di fuori della normativa ISO 27001. A prescindere da come li si chiama, è importante comprendere che il livello di rischio corrisponde al prodotto di impatto e probabilità. Ovviamente, l'impatto e la probabilità vanno anch'essi calcolati, a seconda della presenza e incidenza di variabili positive (es. controlli di sicurezza) e negative (es. vulnerabilità note).

Si pensi, ad esempio, al livello di rischio legato al possibile furto del contenuto di una valigia in un aereoporto:

  • la presenza di oggetti di grande valore all'interno del bagaglio aumenterà l'impatto del rischio, ma non avrà alcun effetto sulla probabilità;
  • l'assenza di una serratura che impedisce l'apertura del bagaglio aumenterà sensibilmente la probabilità che il furto si verifichi, ma non avrà conseguenze di rilievo sull'impatto;
  • la presenza di telecamere di sorveglianza nelle zone dove si trova e/o transita il bagaglio diminuirà la probabilità che il furto si verifichi, senza però variarne l'impatto se non in misura marginale (l'autore del furto potrebbe avere meno tempo a disposizione);

Come si può facilmente comprendere, la presenza di oggetti di grande valore e l'assenza di serratura sono elementi di vulnerabilità rispetto all'impatto e/o alla probabilità del rischio, mentre le videocamere di sorveglianza sono dei controlli di sicurezza che hanno lo scopo di ridurre le suddette variabili.

Valutazione del Rischio

Sulla base di quanto detto finora è possibile elencare i seguenti parametri di valutazione del rischio:

  • Il contesto, inteso come la situazione in cui vengono valutati i rischi;
  • l'asset e il suo valore, da cui dipendono le conseguenze ovvero l'impatto del rischio;
  • la minaccia (threat) e le sue caratteristiche, tra cui soprattutto la verosimiglianza o probabilità che ha di avere luogo;
  • il complesso di vulnerabilità e controlli di sicurezza a disposizione e la loro robustezza (intesa nel senso di efficacia), che è necessario conoscere in quanto possono alterare in modo rilevante l'impatto e la probabilità del rischio.
E' importante sottolineare la differenza tra evento (event), incidente (incident) e minaccia (threat). In estrema sintesi, prendendo come riferimento le definizioni fornite dalla ISO/IEC 27000, è possibile fornire la seguente formulazione: l'evento è una situazione che si verifica realmente e che può comportare una violazione; l'incidente è una particolare tipologia di evento che si riferisce a una situazione non voluta/inattesa che si verifica realmente e che ha una probabilità significativa di comportare una violazione; la minaccia è una causa potenziale di un incidente, ovvero un possibile evento che però non si è ancora verificato.

Una volta calcolato il livello di rischio è necessario prendere delle decisioni su come affrontarlo (Risk Treatment). Tra le tante possibili strategie di trattamento, le più importanti sono:

  • la prevenzione (non perdere mai di vista il bagaglio);
  • la riduzione (aumentare i controlli e/o ridurre le vulnerabilità);
  • il trasferimento (assicurare il contenuto della valigia);
  • l'accettazione (considerare il rischio "accettabile" e procedere senza bisogno di compiere ulteriori azioni);

Per maggiori dettagli sul trattamento dei rischi consigliamo di leggere il nostro approfondimento sul Risk Treatment.

Requisiti di validità

Proviamo ora a mettere a fuoco i requisiti richiesti a una metodologia di Risk Assessment per essere considerato valido, ovvero capace di fornire risultati credibili, verosimili ed affidabili:

  • completezza: le valutazioni devono essere esaustive, ovvero analizzare tutti gli asset, le minacce e le vulnerabilità.
  • ripetitibilità: valutazioni condotte nello stesso contesto e nelle stesse condizioni devono dare gli stessi risultati.
  • comparabilità: valutazioni condotte nello stesso contesto e in momenti diversi devono fornire output comparabili, così da poter capire se il rischio è cambiato e in che misura;
  • coerenza: il livello di rischio deve essere calcolato in modo tale per cui, a fronte di un incremento dei valori di asset, minacce e vulnerabilità più alti di altri, anch'esso risulti più elevato (e viceversa);

Applicativi software

L'utilizzo di un software per effettuare le valutazioni del rischio e/o per "censire" i rischi e i relativi valori e parametri può certamente essere una buona scelta, a patto che la scelta sia effettuata in modo consapevole e che i vantaggi superino gli svantaggi spesso connessi a tale scelta.

Ecco un elenco non esaustivo dei principali aspetti negativi che l'adozione di un software di Risk Management o Risk Assessment può comportare all'interno di una organizzazione:

  • Perdita di tempo, non di rado dovuta alla quantità di dati da inserire e/o alla formazione da effettuare alle risorse che dovranno occuparsi del data entry; e, come sappiamo, in un contesto di Risk Assessment che riguarda la sicurezza delle informazioni il tempo è letteralmente denaro; per questo motivo è opportuno scegliere software semplici e immediati.
  • Opacità dei metodi di calcolo, che si traduce quasi certamente nell'impossibilità di verificare in modo oggettivo la coerenza dei risultati di cui abbiamo parlato nel paragrafo precedente; per risolvere questo problema è consigliabile scegliere software open source o quantomeno caratterizzati da un elevato livello di trasparenza rispetto agli algoritmi utilizzati;
  • Rigidità dei parametri, che potrebbero non consentire l'inserimento arbitrario di asset, minacce o vulnerabilità importanti;
  • Rigidità operativa, dovuta al fatto che l'operatore incaricato sarà naturalmente portato a "sedersi" su quanto offerto dal software e a "forzare" l'organizzazione oggetto di analisi nelle categorie e tipologie previste dagli standard presentati; al contrario, la valutazione dei rischi va compiuta adattando e personalizzando il metodo al proprio contesto.

Secondo l'opinione autorevole di molti analisti, l'utilizzo di un software molto generico (ad es. un normale foglio elettronico come MS Excel o Google Spreadsheet) consente di mettersi al riparo dalla maggior parte di questi "rischi" senza rinunsciare a numerosi automatismi utili, risultando quindi un'ottimo compromesso. Nel caso in cui si preferisca comunque dotarsi di un software apposito consigliamo di consultare il catalogo ENISA (Inventory of Risk Management / Risk Assessment Tools), che descrive 12 strumenti utilizzando un modello di comparazione costituito da 22 attributi che descrivono le caratteristiche di ciascuno di essi.

Conclusioni

Per il momento è tutto: ci auguriamo che questa panoramica sul Risk Assessment possa essere utile ai manager, auditor e amministratori di sistema che sono chiamati ad affrontare quotidianamente queste attività per aumentare il livello di sicurezza della propria organizzazione.

 

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Il periodo di verifica reCAPTCHA è scaduto. Ricaricare la pagina.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.