Consulenza Gestione del rischio: il risk management
Consulenza Gestione del Rischio: il nostro Studio svolge attività di consulenza strategica in ambito di risk e management, supportando i propri Committenti nel riconoscere le minacce a cui sono quotidianamente esposti e nel dotarsi degli opportuni strumenti di prevenzione e contrasto.
Il nostro Studio opera al fianco dell’HQ aziendale per assicurare il più alto grado di tutela degli asset di valore per le imprese, in termini di beni, informazioni e persone.
Gestione del Rischio: cos’è
Consulenza Gestione del Rischio: il Risk Management e la sua valutazione, è la parte più complessa dell’implementazione della norma ISO 27001 ma è anche il passo più importante all’inizio del progetto dell’SGSI perché pone le basi per la sicurezza delle informazioni nell’azienda.
Il risk management è definito come “un insieme di attività coordinate per dirigere e controllare un’organizzazione in relazione ai propri rischi”.
Le componenti del rischio: premessa
- Minaccia:
Cosa potrebbe andare storto? Ad esempio un attacco cyber portato da una comunità di hacker. - Probabilità:
Quanto è probabile che succeda? La probabilità coincide con il livello di esposizione all’attacco (fate benchmark, derivante da analisi statistica, su attacchi analoghi verificatisi in passato). - Vulnerabilità:
Quanto sono esposto e/o in grado di difendermi? La vulnerabilità è la parziale realizzazione o l’assenza di misure di sicurezza atte a prevenire/contenere/impedire l’attacco. - Impatto:
Che tipo di danni provocherebbe? L’impatto è il danno derivante dalla compromissione della riservatezza, integrità e disponibilità dell’informazione del sistema informativo, di un applicativo, un servizio o una piattaforma. - Contromisura:
Come posso proteggermi da quel che potrebbe succedere? Con metodologie e iniziative di prevenzione e gestione del rischio dell’oggetto di attacco.
Consulenza Gestione del Rischio nella ISO 27001: le fasi del processo
Il processo della gestione del rischio (risk management) è composto da 4 step:
- Definizione degli obiettivi target e della metodologia da applicare nel risk management: Gli obiettivi dell’azienda e il mercato in cui si muove sono estremamente rilevanti perché determinano:
- L’atteggiamento dell’azienda verso le diverse tipologie di rischio;
- Le risorse da dedicare all’attività di risk management;
- i criteri da utilizzare per la valutazione dei rischi e per le decisioni sul trattamento degli stessi;
Nella definizione degli obiettivi è ormai consolidato il cosiddetto “Stakeholders approach” che mira a massimizzare il valore aziendale creato dalla gestione a favore dei portatori del capitale di rischio.
Quindi l’obiettivo del risk management è di contribuire a creare valore aziendale verso la proprietà.
Per questo lo scopo del risk management è quello di ridurre i rischi aziendali se i benefici di questa operazione sono maggiori dei costi da sostenere per ottenerli.E’ necessario, inoltre, definire le regole su come dovrà essere svolta la gestione del rischio, ed è necessario spiegare perché si vuole che l’intera organizzazione lo faccia allo stesso modo: infatti il problema più grande con la valutazione del rischio nasce quando parti diverse dell’organizzazione la eseguono in modi diversi.
Pertanto, è necessario definire se si desidera una valutazione del rischio qualitativa o quantitativa, quali scale verranno utilizzate per la valutazione qualitativa, quale sarà il livello di rischio accettabile, ecc.
- Valutazione dei rischi (risk assessment) che a sua volta si compone delle seguenti fasi:
- Identificazione dei rischi (risk identification):
In questa fase è necessario individuare quegli eventi rischiosi che possono determinare effetti inattesi sugli obiettivi che l’azienda si pone. Infatti una mancata o errata identificazione dei rischi può compromettere del tutto l’azienda, il suo valore ed il suo patrimonio, perché è su questo aspetto che i rischi creano eventuali danni (minacce). - Descrizione dei rischi:
In questa fase è necessario descrivere le principali caratteristiche dei singoli rischi identificati nella fase di identificazione. Questa descrizione dei rischi permette di rendere più agevole le fasi di stima e di valutazione, ma anche di disporre di un elenco dei rischi correttamente descritti per una più efficace e agevole revisione del lavoro. - Stima dei rischi:
Questa è la fase più importante del risk assessment: attraverso delle idonee tecniche di stima si procede a definire la probabilità e le conseguenze del rischio che può concretizzarsi come una minaccia o un’opportunità. Le tecniche possono essere o di tipo quantitativo come ad esempio lo scarto quadratico medio o la perdita massima potenziale; oppure qualitativo e semiquantitativo che si limitano a fornire una descrizione qualitativa o numerica delle possibili frequenze e conseguenze del rischio, senza determinare vere e proprie misure di rischio. - Integrazione dei rischi (risk integration):
In questa fase è necessario aggregare tutti i rischi individuati e stimati e nella stima dell’impatto che ciascuno di questi ha sulla rischiosità complessiva del risk management aziendale, appunto il cosiddetto rischio incrementale. - Valutazione dei rischi (risk assessment): è il processo che rende possibile iniziare a scoprire quali potenziali problemi potrebbero verificarsi: è necessario elencare tutte le risorse presenti in azienda, quindi le minacce e le vulnerabilità relative a tali risorse, valutare l’impatto e la probabilità per ciascuna combinazione di risorse/minacce/vulnerabilità e infine calcolare il livello di rischio.
- Risk Reporting: E’ necessario in questa fase documentare tutto ciò che l’organizzazione ha fatto finora. Questo non va fatto solo per gli auditor, poiché potremmo voler controllare noi stessi questi risultati tra un anno o due. La fase di risk assessment genera un report sintetico (il risk reporting) volto ad evidenziare i principali risultati dell’analisi e permettere, a chi di dovere, di prendere adeguate decisioni. Il risk assessment è infatti di solito eseguito da tecnici mentre il risk treatment è di competenza di chi prende le decisioni in azienda.
- Identificazione dei rischi (risk identification):
- Trattamento dei rischi (risk treatment): è un processo il cui scopo è di scoprire quali controlli di sicurezza, ovvero le misure di protezione, sono necessari per evitare quei potenziali incidenti: la selezione dei controlli è chiamata processo di trattamento del rischio e nella ISO/IEC 27001 sono scelti dall’Annex A.
Non tutti i rischi sono uguali ed è pertanto necessario concentrarsi su quelli più importanti, i cosiddetti “rischi non accettabili”.
Quando si implementa il trattamento del rischio nella ISO 27001, ci sono quattro opzioni tra cui scegliere per gestire (ovvero mitigare) ogni rischio non accettabile:- Diminuire il rischio: questa opzione è la più comune e include l’implementazione di misure di protezione (controlli), ad esempio, implementando il backup si diminuisce il rischio di perdita di dati.
- Evitare il rischio: interrompere l’esecuzione di determinate attività o processi se incorrono in tali rischi che sono semplicemente troppo grandi per essere mitigati con qualsiasi altra opzione, ad esempio, si può decidere di vietare l’uso di laptop al di fuori dei locali dell’azienda se il rischio di accesso non autorizzato per quei laptop è troppo alto perché, ad esempio, potrebbero bloccare l’intera infrastruttura IT in uso.
- Condividere il rischio: questo significa il trasferimento del rischio a un’altra parte, ad esempio, si acquista una polizza assicurativa per il server fisico contro gli incendi e quindi si trasferisce parte del rischio finanziario a una compagnia di assicurazioni. Questa opzione non ha alcuna influenza sull’incidente stesso, quindi la strategia migliore è utilizzare questa opzione in modo complementare alle 2 opzioni che prevedono la diminuzione e l’evitare il rischio stesso.
- Tenere (accettare) il rischio: questa è l’opzione meno desiderabile e significa che l’organizzazione accetta il rischio senza fare nulla al riguardo. Questa opzione dovrebbe essere utilizzata solo se il costo della mitigazione è superiore al danno che un incidente potrebbe causare.
- Controllo dei rischi:
- Dichiarazione di applicabilità (SOA);
Questo documento mostra il profilo della sicurezza della organizzazione: in base ai risultati del trattamento del rischio nella ISO 27001, è necessario elencare tutti i controlli implementati, perché sono stati implementati e in che modo. Questo documento è anche molto importante perché l’auditor di certificazione lo utilizzerà come linea guida principale per l’audit. - Piano di trattamento del rischio (RTP);
Lo scopo del Piano di trattamento del rischio è di definire esattamente chi implementerà ciascun controllo, in quale periodo di tempo, con quale budget.
- Dichiarazione di applicabilità (SOA);