Risk Analysis

Nelle realtà aziendali esistono innumerevoli contenitori di dati da cui si estraggono informazioni utili alla conoscenza del proprio business.
Questa frase contiene in sé il perché dell’analisi del rischio all’interno di una azienda.

Abbiamo dati in molteplici forme: cartacei, fogli excel, svariati databases, documenti informatici. Sono Fatti ed Oggetti. Da soli servono poco o nulla ma devono essere comunque gestiti.
Dai dati estraiamo informazioni correlandoli in configurazioni significative per la nostra attività.
La conoscenza è l’applicazione e l’uso produttivo dell’informazione.
Sono “oggetti” che quindi vanno preservati per la continuità dell’azienda.

Per tali motivi è necessario quindi analizzare l’intera azienda per scoprire dove sono questi “oggetti” e come preservali in caso di “disastri”.

Questo è l’oggetto della Risk Analysis:

1. Fornire informazioni al management aziendale
2. Verificare il rispetto di leggi e regolamenti
3. Ridurre le perdite provocate dalle minacce

Gli obiettivi della Risk Analysis sono soprattutto:

1. Determinare quali beni aziendali sono critici (e rientrano anche i beni o asset intangibili come la conoscenza e l’informazione)
2. Identificare le minacce possibili
3. Determinarne le criticità e le vulnerabilità
4. Calcolare in maniera scientifica le perdite previste in caso di incidente
5. Valutare le azioni e le contromisure da mettere in campo
6. Mettere in campo le azioni correttive
7. Periodicamente effettuare una nuova risk analysis

E’ un processo ciclico da effettuare con svariate metodologie:

1. quantitative per dare un valore certo dei rischi, sono più costose e complesse ma alla lunga danno un vantaggio, sono ripetibili e confrontabili
2. qualitative quando i beni o i dati non sono facilmente valutabili in termini economici (es quando un incidente causa perdita di immagine).

I passi sono abbastanza semplici da descrivere:

1. identificare gli asset aziendali tangibili e intangibili determinandone i valori , la criticità la proprietà e la localizzazione
2. Identificare le minacce distinguendo tra eventi naturali (es incendio) ed umani (furto di dati, abuso di privilegi) o tecniche (guasto hardware, guasto software) e facendo una stima della loro frequenza di accadimento
3. Identificare le contromisure esistenti  (antivirus, ridondanza, condizionamento, antifurto, backup, controllo accessi)
4. Identificare le vulnerabilità
5. Calcolare il valore delle perdite stimate con funzioni matematiche ad hoc oppure con matrici di probabilità: Questo Ë il rischio

Una volta calcolato il rischio totale si mettono in pratica azioni correttive volte a eliminarlo, abbassarlo, oppure trasferirlo (assicurazione).

A questo punto si entra nella gestione del rischio vero e proprio in cui si mettono in pratica una serie di metodologie organizzative e tecnologiche massimizzando il rapporto Costo/beneficio in quanto la gestione del rischio ha benefici ma anche costi quali:

1. Costi di investimento
2. Costi di Implementazione delle contromisure
3. Costi operativi e di manutenzione
4. Costi diretti e indiretti.

Il ritorno dell’investimento per la riduzione del rischio è comunque positivo se il processo è eseguito correttamente: ci sono dei benefici economici in quanto perdo meno tempo (es, quanto costa ricostruire un sistema gestionale partendo dalle copie cartacee?), benefici non economici come una migliore gestione, una maggiore consapevolezza, un livello di integrità dei dati migliorato.

In definitiva, uno studio di risk management ha l’obiettivo di presentare al management aziendale le contromisure necessarie alla riduzione del rischi e comprende:

1. Il risultato della Risk Analysis
2. Gli scenari delle minacce e vulnerabilità
3. I risultati secondo l’analisi costi/benefici
4. Le contromisure da adottare.

In sostanza dire che serve assolutamente un doppio ced, oppure una rete dati completamente ridondata, un certo sistema di replica delle informazioni senza avere fatto una seria analisi sia dei costi che dei benefici attesi  è assolutamente priva di significato. Di volta in volta le soluzioni possono essere diverse a seconda dell’azienda.