In qualsiasi ambito, digitale e no, esistono rischi ed essere preparati per affrontarli con consapevolezza impostando una corretta analisi del rischio è una chiave di successo.
I rischi occorrono in qualsiasi attività progettuale, sono correlati a diversi fattori e soprattutto sono di tipo diverso: economico, finanziario, operativo, di sicurezza e Cyber sicurezza. Tutti i tipi di progettualità “innescano” il cambiamento, poiché si crea o si modifica qualcosa che prima rispettivamente non esisteva o era presente in modo inappropriato.
Il rischio si presenta forme diverse e se non si conosce in tutte le sue forme può costituire un nemico temibile capace di consumare budget e morale, quindi essere preparati alle varie forme in cui si presenta consente di prevenire danni e perdite.
Il project management insegna come affrontare e come gestire i rischi ma è soprattutto importante riuscire a identificarli quantitativamente e qualitativamente per poi capire in che modo introdurre azioni che possano mitigarne gli impatti e le conseguenze.
Se una prima introduzione al rischio e alle metodologie che insegnano ad approcciarlo correttamente è il punto di partenza per essere consapevole, conoscerne i risvolti e le applicazioni nei progetti, nella cyber security e nella privacy è strettamente necessario per affrontare operativamente questi ambiti in cui rischi sono soggetti ad una crescita continua a causa di minacce informatiche ed errori involontari o voluti da parte degli addetti.
Indice degli argomenti
Analisi del rischio: definizione, standard e metodologie
Con il termine di “rischio” si indica la potenzialità che una determinata azione possa avere un esito infausto e portare a un danno, una perdita o un evento indesiderato.
Alternativamente è indicato come combinazione di probabilità e di gravità (severità) con conseguenti possibili danni. Dunque, i rischi hanno sempre tre attributi: causa, evento, effetto.
Saper valutare e capire la probabilità di occorrenza e valorizzare l’impatto e tracciare un piano di azione conseguente, permette di effettuare scelte appropriate al momento giusto e modificare il risultato verso gli obiettivi finali desiderati.
I rischi possono essere noti o sconosciuti e quindi mentre i primi sono identificabili i secondi costituiscono un fattore temibile ma indeterministico a cui prepararsi solo in termini reattivi e non preventivi.
Gli standard internazionali attinenti sono: la norma ISO 31000:2009 sulla gestione del rischio, la norma ISO 9001:2015 sulla gestione della qualità e il Committee of Sponsoring Organizations Enterprise Risk Management Framework (COSO ERM 2017).
In particolare, per la sicurezza delle informazioni e la gestione del rischio informatico si fa riferimento allo standard ISO/IEC 27001:2013 in cui l’analisi del rischio è un processo fondamentale.
Questo quadro normativo classifica la gestione del rischio a seconda dei componenti, delle categorie target e delle unità organizzative. In aggiunta e per mantenere le strategie di analisi del rischio informatico allineate agli obiettivi di business è possibile adottare anche il framework metodologico di governance COBIT (Control OBjective for Information Technologies n.d.r.) della ISACA. Come framework metodologico è molto utile anche riferirsi allo standard NIST (National Institute of Standards and Technology): Framework for Improving Critical Infrastructure Cybersecurity (Version 1.0) del 2014.
La norma ISO 31000 “Risk management – Principles and guidelines” (Gestione del rischio – Principi e linee guida n.d.r.) rappresenta una guida su principi best practice generali per la gestione del rischio e rappresenta la metodologia di riferimento per affrontarlo.
Questa norma può essere applicata nel corso dell’intero ciclo di vita di un’organizzazione, perché si adegua ad attività diverse ma per tutte fornisce il corretto approccio alle strategie e decisioni, operazioni, processi, funzioni, progetti, prodotti, servizi e beni.
L’AICQ (Associazione Italiana sulla Cultura alla qualità) fornisce le schede informative sulle norme e in particolare ha reso disponibile la norma IEC 31010 ed. 1.0 sulle tecniche di valutazione del rischio.
Ogni organizzazione dovrebbe avere una cultura orientata alla gestione dei rischi e più in generale La tendenza al rischio da parte delle organizzazioni dipende dall’attitudine al rischio che le caratterizza e che è influenzata dalla “propensione al rischio” (risk appetite), ovvero il grado di incertezza, che un’organizzazione è disposta ad accettare, la “tolleranza al rischio” (risk tolerance), cioè il volume di rischio che una organizzazione può sostenere, leggi impatto negativo e la soglia di riferimento (risk threshold) cioè il limite superiore di tolleranza al di sotto del quale l’organizzazione accetta il rischio ma non oltre.
Un po’ tutti gli standard identificano delle action secondo il PLAN-DO-CHECK-ACT del Ciclo di Deming, che corrisponde a quattro fasi tutte riferite al rischio: individuazione, quantificazione, valutazione e controllo.
Una volta individuati i rischi ogni organizzazione ha quattro possibili scelte da fare: evitarli (agire preventivamente), contenerli (introdurre correttivi), trasferirli (sottoscrivere un’assicurazione) oppure, prenderli in carico.
Molto importante anche la definizione delle responsabilità nella gestione del rischio che deve essere suddivisa all’interno del modello organizzativo secondo gradi e responsabilità. Solitamente si ricorre al modello delle tre linee di difesa (Three Lines of Defense) che prevede una “prima linea” composta da manager e suoi stretti collaboratori che reagiscono con il supporto di un sistema di controllo interno; una “seconda linea” composta da lavoratori a cui sono affidati direttamente i compiti di gestione del rischio e una “terza linea” costituita solitamente da un soggetto indipendente che vigila sull’intero sistema.
L’analisi di rischio nei progetti
La gestione dei rischi di progetto è una attività che richiede attenzione, scrupolo e metodo per non tralasciare nulla di importante. Soprattutto richiede esperienza perché non può essere improvvisata e deve essere applicata durante tutto il ciclo di vita del progetto.
Il Project Management Institute ma anche gli standard Prince2 e l’approccio Agile indicano come approcciare i processi correlati alla gestione del rischio. Nel PMBOOK v.5 sono indicati:
- La pianificazione della gestione dei rischi (Plan Risk Management): stabilisce le modalità di gestione dei rischi per un progetto specifico.
- L’identificazione dei rischi (Identify Risks): identifica i rischi che potrebbero avere impatti sul progetto e ne documenta le caratteristiche.
- L’analisi qualitativa dei rischi (Perform Qualitative Risk Analysis): assegna le priorità ai rischi per ulteriori analisi
- L’analisi quantitativa dei rischi (Perform Quantitative Risk Analysis): valuta nel dettaglio l’esposizione al rischio del progetto quantificando numericamente gli effetti dei rischi identificati.
La pianificazione della risposta ai rischi (Plan Risk Responses): in base ai risultati dell’analisi precedente, definisce una serie di azioni di risposta al rischio con l’obiettivo di ridurne gli effetti (mitigazione dei rischi)
- Il monitoraggio e controllo dei rischi (Control Risks): permette di controllare i rischi residui e gli andamenti delle azioni poste a mitigazione dei rischi. È un processo iterativo e continuo.
Nel PRINCE 2 si aggiunge alla serie, il processo di “comunicazione” dei rischi, che corre in parallelo e contemporaneo agli altri processi per tenere tutti gli stakeholder sempre informati.
L’analisi del rischio cyber
Nell’ambito della valutazione dei rischi di tipo informatico per la sicurezza delle informazioni o cyber security, l’obiettivo centrale è la conservazione della RID dei dati ovvero della riservatezza, integrità e disponibilità delle informazioni trattate dai sistemi informatici aziendali, tenendo conto, allo stesso tempo, della necessaria operatività a cui sono sottoposte dette informazioni per il raggiungimento degli obiettivi di business di una organizzazione.
In senso operativo, infatti, le informazioni devono essere al sicuro in tutto il ciclo di vita aziendale, ossia quando sono ferme, o in trasferimento, quando sono accedute e/o modificate.
Imprescindibile partire da un assessment iniziali che identifichi le informazioni e la loro tipologia e le correli agli asset aziendali ovvero alle risorse soggette a rischio, ma soprattutto ne misuri il livello iniziale di esposizione al rischio. Stabilito successivamente il livello di copertura ottimale, è necessario individuare per ogni valore di rischio appropriate azioni di mitigazione, o trasferimento del rischio oppure di accettazione dello stesso.
Ogni decisione dovrebbe essere confrontata con la metodologia strategica definita inizialmente come politica di Governo dei rischi per accertarsi che le scelte operative e tattiche siano in linea con il quadro e piano strategico impostato inizialmente.
Individuati gli asset e le informazioni su cui valutare il rischio, il passo successivo della metodologia è effettuare una Business Impact Analysis (BIA). L’obiettivo della BIA è quello di valutare gli impatti sul servizio derivanti dalla perdita della RID sui dati indicando e valorizzando le perdite potenziali.
Queste stime consentono di individuare i parametri di “Recovery Time Objective” (RTO) ed “Recovery Point Objective” (RPO) che identificano rispettivamente gli obiettivi temporali e quantitativi dei dati per il loro ripristino e si riferiscono alle esigenze di continuità nell’ordinario ma possono essere stabiliti anche in riferimento a casi di evento estremo e Disaster Recovery.
In aggiunta all’assessment è appropriato e opportuno individuare il threat modell applicabile, ossia l’insieme delle vulnerabilità e delle minacce incombenti che possono minare la RID dei dati. Queste informazioni, infatti, costituiscono un importante metro per l’introduzione delle mitigazioni e della implementazione di azioni preventive di difesa.
L’analisi del rischio per la privacy
In tema privacy vige il GDPR, il Regolamento Ue 2016/679, divenuto pienamente applicabile in tutti gli Stati membri dal 25 maggio 2018. Il regolamento è centrato sul principio di accountability del Titolare del trattamento a cui spetta la responsabilità e “l’ownership di determinare il rischio, l’impatto che il trattamento può avere sulla libertà e sui diritti degli interessati (cioè dei soggetti, persone fisiche o ditte individuali, i cui dati vengono trattati) ma anche di dimostrare che sia la valutazione di rischiosità sia la conseguente scelta di misure (tecnico/organizzative) di sicurezza sia stata effettuata con solidi razionali documentabili” (Fonte Marco Toiati).
Il punto cruciale della valutazione sul rischio associato alla perdita di privacy è analizzato nella DPIA (Data Protection Impact Assessment) trattata estensivamente nell’articolo 35 del GDPR. Come spiega Michele Iaselli, avvocato e docente, “La DPIA dovrebbe stabilire chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati. Una DPIA può anche essere utile a valutare l’impatto di protezione di dati di un prodotto tecnologico, per esempio un componente hardware o software, qualora ciò sia suscettibile ad essere utilizzato da altri titolari per effettuare diversi trattamenti”.
La DPIA dovrebbe essere effettuata preventivamente rispetto al trattamento dei dati perché dovrebbe consentire di introdurre correttivi il più a monte possibile della catena e ciclo di vita di prodotti o servizi in modo da ottemperare ai principi di privacy by design e by default, che rappresentano capisaldi del GDPR.
Per ulteriori approfondimenti è possibile consultare anche consigli pratici, legati all’impostazione strategica e alcuni esempi di vantaggi per le aziende.
Contributo editoriale sviluppato in collaborazione con IBM
