Che l’attività di analisi dei rischi abbia dei limiti è un fatto noto, tanto che sia l’ISO sia il NIST nei rispettivi standard ISO 31010 e NIST 800 30 R1 ne citano alcuni esempi[1].
In particolare, secondo la ISO 31010, l’analisi dei rischi è caratterizzata da una serie di incertezze, fra le quali:
- le metodologie utilizzate;
- l’incertezza sul fatto che gli eventi futuri saranno simili al quelli del passato;
- la conoscenza imperfetta o incompleta delle minacce;
- le vulnerabilità ancora da scoprire;
- le dipendenze non riconosciute, che possono portare a impatti imprevisti.
Analogamente, il NIST 800 30 R1 evidenzia che un’analisi del rischio non è uno strumento preciso ed è condizionata da:
- limiti delle metodologie, degli strumenti e delle tecniche di valutazione specifici impiegati;
- soggettività, qualità e affidabilità dei dati utilizzati;
- interpretazione dei risultati della valutazione;
- capacità e competenze di quegli individui o gruppi che conducono le valutazioni.
Per tale motivo dovrebbero essere adeguatamente documentate:
- le scelte effettuate;
- la metodologia scelta;
- il momento;
- il perimetro di indagine;
- la completezza;
- l’accuratezza con cui si è svolta l’analisi dei rischi.
Il grado di incertezza nei risultati della valutazione del rischio, a causa di questi diversi motivi, può essere comunicato, ad esempio, esprimendo i risultati in modo qualitativo, fornendo intervalli di valori anziché singoli valori o utilizzando una rappresentazione grafica per aree in luogo che puntuale.
Indice degli argomenti
I rischi nell’analisi dei rischi: l’importanza della documentazione
Ma vediamo ora casi più specifici con una serie di esempi, tralasciando di entrare nel merito dell’improprio uso della terminologia che troppo spesso viene fatta e che porta a confondere termini come minaccia o rischio, considerandoli anche sinonimi (creando in tale modo ulteriori elementi di incertezza).
Per la ISO 31000 il rischio è definito come “l’effetto dell’incertezza” sugli obiettivi aziendali. Questo effetto può essere sia positivo che negativo ed è rappresentato da un valore e cioè dal risultato di una formula che tradizionalmente si esprime come:
Rischio = Impatto x Probabilità
I parametri di probabilità, impatto, rischio possono essere espressi in termini:
- qualitativi (alto, medio, basso);
- semi – quantitativi (ad esempio alto=3, medio=2, basso=1);
- quantitativi, ad esempio in valori monetari.
Appare allora evidente come non sia corretto utilizzare una formula matematica, che dovrebbe mettere in relazione numeri, se i numeri non ci sono.
Quindi, non è possibile moltiplicare valori espressi sotto forma qualitativa.
In questo caso, si deve ricorrere alle così dette mappe, come quella qui rappresentata, nella quale i cinque valori di impatto e di probabilità sono espressi in forma differenziata e più congrua e solo i valori del rischio sono espressi con termini che vanno da “Molto basso” a “Molto alto”.
Nel caso si utilizzino dei valori qualitativi o semi quantitativi è importante documentare a cosa corrispondono tali valori (a titolo di esempio di riporta una tabella tratta dalla già citata norma del NIST ed una tabella tratta dalla pubblicazione di ENISA – Deliverable: Information Package for SMEs).
Questo per diversi motivi; i vari attori coinvolti nel processo di analisi devono avere dei riferimenti comuni analogamente a coloro che ne analizzano i risultati; una generica espressione di Alto, Medio, Basso senza indicare a cosa corrispondono questi valori ovviamente ha poco senso.
Qualitative Values | Semi-Quantitative Values | Description | |
Very High | 96-100 | 10 | The adversary analyzes information obtained via reconnaissance and attacks to target persistently a specific organization, enterprise, program, mission or business function, focusing on specific high-value or mission-critical information, resources, supply flows, or functions; specific employees or positions; supporting infrastructure providers/suppliers; or partnering organizations. |
High | 80-95 | 8 | The adversary analyzes information obtained via reconnaissance to target persistently a specific organization, enterprise, program, mission or business function, focusing on specific high-value or mission-critical information, resources, supply flows, or functions, specific employees supporting those functions, or key positions. |
Moderate | 21-79 | 5 | The adversary analyzes publicly available information to target persistently specific high-value organizations (and key positions, such as Chief Information Officer), programs, or information. |
Low | 5-20 | 2 | The adversary uses publicly available information to target a class of high-value organizations or information and seeks targets of opportunity within that class. |
Very Low | 0-4 | 0 | The adversary may or may not target any specific organizations or classes of organizations. |
Tabella: NIST 800 30 R1 – TABLE D-5: ASSESSMENT SCALE – CHARACTERISTICS OF ADVERSARY TARGETING.
È per tale motivo, inoltre, che è necessario documentare il motivo per cui si è data una certa valutazione dei parametri di probabilità ed impatto (oltre che indicare chi sono i soggetti coinvolti nell’analisi) e non limitarsi a esprimere il valore finale.
Purtroppo, è rarissimo trovare analisi del rischio adeguatamente documentate motivo per cui, come auditor, sono portato a credere che i valori riportati in un’analisi siano più frutto di qualche compromesso piuttosto la rappresentazione della realtà e che difficilmente un’analisi così fatta sia effettivamente ripetibile anche da chi l’ha eseguita la prima volta.
Anche nel caso di uso di valori numerici si corrono però dei rischi utilizzando la formula precedentemente indicata. Infatti, sarebbe più corretto dire genericamente che il rischio è una funzione di impatto e probabilità:
Rischio f(impatto, probabilità)
piuttosto che indicare la già citata formula:
Rischio = Impatto x probabilità
Infatti, l’operatore da utilizzare per mettere in relazione i due parametri non è sempre lo stesso, ma è legato alla scala con cui vengono espressi i valori di impatto e di probabilità.
L’uso dell’operatore moltiplicazione è infatti corretto nel caso in cui i valori siano espressi con una scala lineare, ma se questi sono espressi con una scala logaritmica, come accade molto frequentemente, l’operatore da utilizzare deve essere la somma.
Attenzione, quindi, perché i risultati in caso contrario sono poco attendibili e portano ad una distorsione dei valori del rischio.
Sempre in termini di comunicazione deve essere chiarito in fase di analisi se si sta effettuando un’analisi sul rischio intrinseco (o inerente) ovvero sul rischio in presenza di contromisure.
Al riguardo, va tuttavia considerato che la valutazione del rischio inerente è spesso viziata.
Ad esempio la valutazione di un parametro come la probabilità, se basata sui dati storici relativi agli incidenti occorsi, si riferisce nella maggior parte dei casi a situazioni che sono avvenute in presenza di contromisure; difficilmente infatti un’azienda anche in assenza di una formale analisi dei rischi non si è dotata delle più elementari misure di sicurezza.
Valutazione dell’impatto
Abbiamo parlato fino ad ora di impatto, ma questo termine non può essere generico.
A quale impatto ci si riferisce?
La valutazione dell’impatto può andare dal considerare il semplice valore dell’asset interessato dall’evento avverso, al costo del suo ripristino, alla valutazione di tutte le conseguenze direttamente di natura economica (mancato guadagno, perdita di clienti…) o legale, reputazionale, sanzionatorio… (e quindi, alla fine ancora di natura economica).
Se si parla genericamente di impatto è evidente che i soggetti coinvolti nella determinazione di tale valore potrebbero riferirsi a elementi non omogenei o limitare la loro valutazione ad uno degli elementi citati senza specificare a cosa si stanno riferendo.
Analogamente chi legge l’analisi non sarà in grado di capire a quale impatto si faccia riferimento e di conseguenza darà una sua interpretazione che potrebbe non corrispondere a quanto è stato in realtà valutato.
Un altro parametro da considerare in merito all’impatto è se la valutazione riguarda un valore medio o il caso peggiore. Anche in questo caso, una mancata formalizzazione può comportare una valutazione disuniforme da parte dei vari soggetti coinvolti ed una errata lettura dei risultati.
Area di rischio | Alto | Medio | Basso |
Legale e regolamentare | L’organizzazione gestisce informazioni sulla clientela di natura sensibile e personale, fra cui aspetti sanitari e dati personali critici, come definiti dalla normativa comunitaria sulla tutela dei dati personali | L’organizzazione gestisce informazioni sulla clientela di natura personale, ma non sensibile così come definite dalla normativa comunitaria sulla tutela dei dati personali | L’organizzazione non gestisce dati personali diversi da quelli del personale dipendente dell’organizzazione stessa |
Produttività | L’organizzazione occupa più di 100 lavoratori, che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi dell’impresa | L’organizzazione occupa più di 50 lavoratori, che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi dell’impresa | L’organizzazione occupa meno di 10 lavoratori, che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi dell’impresa |
Stabilità finanziaria | Le entrate annue dell’organizzazione sono superiori a 25 milioni di euro e/o le operazioni finanziarie con terzi o clienti avvengono nel quadro dell’attività imprenditoriale, come processo usuale | Le entrate annue dell’organizzazione sono inferiori a 25 milioni di euro | Le entrate annue dell’organizzazione sono inferiori a 5 milioni di euro |
Reputazione e fiducia della clientela | L’indisponibilità o la qualità del servizio hanno un impatto diretto sull’attività dell’organizzazione e/o più del 70% della clientela ha l’accesso on line ai prodotti ed ai servizi dell’impresa | L’indisponibilità o la qualità del servizio possono avere un impatto indiretto sull’attività dell’organizzazione e/o meno del 5% della clientela ha l’accesso on line ai prodotti ed ai servizi dell’impresa | L’indisponibilità o la qualità del servizio non possono incidere, né direttamente, né indirettamente, sull’attività dell’organizzazione, né determinare una perdita di entrate |
Tabella: ENISA Deliverable: Information Package for SMEs – IMPATTI SU VARI ASSET.
Ma uno dei problemi più rilevanti nella valutazione dell’impatto, ignorato praticamente dalla totalità delle metodologie di analisi del rischio è la mancata formalizzazione del periodo di riferimento.
Infatti, a differenza della BIA (Business Impact Analysis) nella quale viene indicato quale sia il valore dell’IMPATTO a intervalli predefiniti dopo l’evento avverso che ha causato l’indisponibilità di un processo/servizio (ad esempio dopo 2, 4, 8 ore), nell’ambito dell’analisi dei rischi tale parametro non viene mai espresso, rendendo di fatto difficilmente comparabili le valutazioni effettuate da persone diverse.
Il problema si pone sia che si valuti un valore medio o che si valuti il caso peggiore; se non viene formalizzato un periodo di riferimento sarebbe corretto considerare impatti che possono manifestarsi anche dopo un lasso di tempo molto esteso.
Ad esempio, il mancato guadagno in seguito ad un incidente può essere valutato considerando il tempo di fermo di un sistema, che ovviamente è noto in una valutazione a posteriori (come l’analisi di un incidente), ma non può essere noto in sede di un’analisi dei rischi.
Ovviamente, tale valore potrebbe essere stimato, ma questo vorrebbe dire introdurre un ulteriore parametro aleatorio. E come mi comporto se l’incidente non ha provocato indisponibilità e quindi fermo dei sistemi? Ad esempio le conseguenze di una violazione della riservatezza dei dati potrebbero manifestarsi anche dopo molto tempo (motivo per cui non è nemmeno così semplice valutare le conseguenze di un incidente e decidere se è necessario notificarlo secondo una delle tante normative che lo richiedono, in particolare quando si hanno poche ore di tempo per valutare e decidere se notificare).
Quindi analisi del rischio, valutazione dell’impatto di un incidente, BIA, richiedono tutti la valutazione di un impatto, ma solo l’ultima definisce dei tempi precisi di riferimento.
Viceversa la valutazione di un incidente da qualche indicazione ragionevole, ma le metodologie di analisi dei rischi non danno alcuna indicazione in proposito.
Anche in questo caso vi è il concreto rischio di esprimere valori di impatto fra loro non coerenti, basati su periodi non omogenei da parte dei vari interlocutori.
Valutazione della probabilità
Il primo aspetto da considerare nella valutazione della probabilità è la necessità di specificare esattamente cosa si sta valutando.
Il NIST Special Publication 800-30 Rev 1 propone ad esempio una metodologia più articolata della tradizionale valutazione della probabilità.
Infatti
- in primo luogo, viene valutata:
- nel caso di minaccia di tipo deliberato, la probabilità che eventi di minaccia siano messi in atto da parte di un attaccante;
- nel caso di minacce accidentali, la probabilità che eventi di minaccia si verifichino;
- in secondo luogo, viene valutata la probabilità che gli eventi di minaccia, una volta messi in atto o verificatisi, comportino effettivamente degli impatti negativi sugli asset/processi dell’organizzazione;
- infine, viene valutata la probabilità complessiva come una combinazione della due precedenti.
Tale combinazione fra probabilità di accadimento di un evento e probabilità che effettivamente tale evento comporti qualche effetto negativo, è presente anche in altre metodologie e appare molto più ragionevole rispetto alla tradizionale valutazione di una probabilità complessiva che sintetizzi i due valori.
Indipendentemente dalla metodologia, la valutazione della probabilità di accadimento di un evento non è semplice e può essere affrontata in modo diverso in funzione delle circostanze e degli eventi.
Ad esempio può essere basata sull’utilizzo di dati storici; tuttavia l’uso di tali dati nasconde delle insidie e pertanto è necessario valutare attentamente qual’è la profondità storica con cui utilizzare le informazioni di cui si dispone.
Questa infatti non è assoluta, ma va determinata per ogni singola tipologia di evento, considerando il contesto di riferimento.
Ad esempio, una serie di incidenti di sicurezza derivanti dal malfunzionamento di un apparato o dalla mancanza di contromisure, non possono essere presi in considerazione se nel frattempo l’apparato è stato sostituito ovvero se sono state implementate delle contromisure. È infatti cambiato lo scenario.
Non ha quindi senso definire a priori che si prenderanno in considerazione tutti gli eventi anomali registrati, né che si prenderanno in considerazione solo quelli degli ultimi 6 mesi.
Deve essere infatti, presa in considerazione, la serie storica di eventi che ha ancora valore, cioè che è applicabile ad un contesto (ad esempio un componente del sistema informativo) che non è variata rispetto alla serie storica utilizzata.
Errore di modello: eccessiva semplificazione
I componenti di un’analisi del rischio quali asset, probabilità, impatti e gli stessi rischi non sono fra loro indipendenti. Ad esempio: un asset è contenuto in un altro asset (i dati sono presenti su un disco fisso che è presente in un PC, che è all’interno di un edificio).
Un evento che impatta sull’edificio può avere conseguenze quindi sul pc e quindi sui dati.
Questo non vale per qualunque evento e quindi la valutazione delle conseguenze deve essere molto puntuale; analogamente vale per le contromisure. Alcune contromisure applicate all’edificio hanno effetto anche sugli oggetti che contiene. La valutazione delle relazioni quindi ha effetti sia sulla valutazione del rischio, ma anche sugli effetti delle contromisure, il cui costo può essere ripartito su più asset.
Per quanto attiene la probabilità, la correlazione si manifesta allorquando si presentano delle situazioni nelle quali:
- sono coinvolte direttamente più minacce che riguardano lo stesso asset, ovvero l’asset e la contromisura che riguarda le minacce; ad esempio si rompe il disco fisso con relativa perdita di dati e il backup che era stato effettuato non funziona;
- la stessa minaccia interessa più asset.
Ad esempio, la stessa minaccia potrebbe avere effetti sia sull’asset principale, sia sulla eventuale contromisura in essere. Ad esempio, se per contrastare la distruzione di un CED si è adottata come contromisura la realizzazione di un sito di Disaster recovery, è evidente che si deve evitare che il sito di DR sia coinvolto dallo stesso evento catastrofico che interessa il sito primario, ed è per tale motivo che i due siti devono essere molto distanti (decine di chilometri) fra di loro.
Errore di modello: eccessiva semplificazione, impatti
Anche gli impatti sono ovviamente correlati fra loro come già evidenziato in precedenza.
Nella tabella che segue sono elencati una serie di impatti suddivisi fra diretti, indiretti e consequenziali.
CORRELAZIONE FRA IMPATTI | |
Descrizione del bene | Edificio |
Impatto diretto | Distruzione dell’edificio |
Impatti indiretti | Inaccessibilità dei beni materiali ed immateriali presenti nell’edificio Distruzione parziale o totale dei beni di qualunque tipo presenti nell’edificio Eventuale morte o lesioni degli individui presenti nell’edificio Interruzione della produzione |
Impatti consequenziali | Perdita di clienti Danno di immagine Perdite economiche Possibili contenziosi legali Risarcimenti |
L’analisi dei rischi e il GDPR
Un caso specifico riguarda il GDPR, come è stato già illustrato in diversi precedenti articoli:
- Le misure di sicurezza nel GDPR: quali sono, come applicarle, costi di attuazione
- Le analisi dei rischi nel GDPR: regole e metodologie realizzative
- Sicurezza e GDPR, i soggetti tutelati: cosa valutare per effettuare un’analisi dei rischi compliant
Per cui mi limiterò a sintetizzare i vari punti.
GDPR: errata interpretazione della normativa
Confondere la DPIA con l’analisi del rischio.
La DPIA (art. 35) è richiesta al verificarsi di situazioni particolari.
Le analisi dei rischi previste dal GDPR (artt. 24, 25 e 32) sono sempre obbligatorie.
GDPR: errata metodologia
Per effettuare un’analisi dei rischi del GDPR, che riguarda i diritti e le libertà delle persone fisiche, non risulta conforme l’uso di metodologie previste, ad esempio, per l’analisi dei rischi ai sensi della 27001, che ha come oggetto la sicurezza delle informazioni. L’oggetto su cui verte la valutazione è diverso, la metodologia con cui valutare impatti e probabilità è diversa.
Non ha inoltre nessuna attinenza con quanto richiesto dal GDPR, ad esempio, una valutazione del rischio sanzionatorio o del rischio di risarcimento danni derivanti dal mancato rispetto della normativa.
Tale valutazione, che ovviamente può essere effettuata da un Titolare, riguarda i rischi in capo al Titolare, non i rischi sui diritti e libertà delle persone fisiche.
GDPR: errato perimetro
Utilizzare una metodologia corretta ma limitarsi a considerare i soli INTERESSATI.
L’oggetto tutelato sono infatti i diritti e le libertà delle persone fisiche (non degli INTERESSATI).
Limitarsi a considerare gli interessati (e non anche le persone a questi in qualche modo collegati e che possono subire a loro volta un danno, come ad esempio un familiare) falsa la percezione del reale rischio da considerare ed espone il Titolare ad un imprevisto maggior esborso in caso di risarcimento danni ai sensi dell’Articolo 82- Diritto al risarcimento e responsabilità.
Tale articolo infatti consente a CHIUNQUE abbia subito un danno materiale o immateriale causato da una violazione del GDPR di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del trattamento.
GDPR: pensare che l’analisi dei rischi riguardi solo la sicurezza
Gli articolo 24 e 25 richiedono un’analisi del rischio, ma questa non riguarda la sicurezza, di cui tratta l’art. 32.
GDPR: pensare di eseguire la DPIA solo se è elevato il rischio in ambito sicurezza
L’articolo 35 prevede, infatti:
Articolo 35 – Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Conclusioni
Dagli esempi riportati appare evidente quanto sia aleatoria il risultato di un’analisi dei rischi e quanti siano i fattori che possono comprometterne i risultati.
Attenzione, in particolare, a ritenere che metodologie che utilizzino valori numerici in luogo di valori qualitativi siano più precise.
Nessuna metodologia è esente da quanto sopra esposto, indipendentemente dal fatto che sia di tipo qualitativo, quantitativo, statistico: per tale motivo, è fondamentale documentare adeguatamente tutte le scelte che sono state effettuate al fine di rendere veramente fruibile e ripetibile l’analisi effettuata.
NOTE
Alcune parti del testo e le immagini sono tratte dal libro: Governance del rischio – Dall’analisi al reporting e la sintesi per la Direzione, di Giancarlo Butti e Alberto Piamonte – ITER 2020. ↑
