Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

La crescita di un’azienda è sempre legata all’accettazione di livelli di rischio ragionevoli. Il livello di rischio accettabile dipende da molti fattori, fra cui il potenziale impatto di un evento, il grado di tolleranza aziendale complessivo, le conseguenze per la crescita del business e lo scenario competitivo, per citarne solo alcuni. Esistono quattro approcci metodologici alla gestione dei rischi: EVITARE: si modifica l’attività per far scomparire il particolare rischio (es. modifica di un processo produttivo) TRASFERIRE: il rischio viene trasferito in tutto o in parte ad altri soggetti (es. assicurazioni, partner, outsourcing etc.) MITIGARE: si interviene predisponendo controlli e verifiche tali da ridurre la probabilità che il rischio si concretizzi e comunque si minimizza la gravità dell’eventuale perdita (es. duplicare i server gestionali, applicare politiche serie di backup dei dati critici etc.) ACCETTARE: assumersi il rischio e i costi ad esso associati. La rappresentazione grafica dei concetti esposti si concretizza nella cosiddetta matrice di gestione del rischio. L’approccio più comune è la MITIGAZIONE del rischio che prevede la creazione di meccanismi di controllo che riducano le possibili perdite accoppiati a sistemi di monitoraggio e analisi dei rischi. La gravità del rischio influenza direttamente la complessità e quantità dei meccanismi di controllo. Particolarizziamo i concetti legati al RM al settore informatico. La sicurezza assoluta anche in informatica non esiste, si ragiona sempre in termini di valore del sistema/dato/informazione da proteggere. Tralasciando i rischi naturali, concentriamoci su quelli operativi: un aggressore deciso ed esperto è in grado di aggirare la maggior parte delle precauzioni basilari ed avanzate che si possono mettere in campo. Il sistema di protezione deve essere rapportato al valore di ciò che si protegge. Purtroppo questa regola basilare è smentita oggi dalla facilità di accesso ai mezzi informatici utili a condurre attacchi e all’elevato numero di soggetti in grado di utilizzarli: questo impone l’adozione di misure minime di sicurezza che innalzino la soglia di protezione ad un livello che ci garantisca almeno dagli attacchi più banali. Navigazione Internet e servizi connessi sono la fonte principale di attacchi informatici, l’utente medio spesso è vittima di attacchi non mirati in cui l'aggressore cerca le sue vittime sparando nel mucchio: è errato pensar di essere indenni da attacchi poiché ci si ritiene un bersaglio poco interessante. Esploreremo ora gli aspetti fondamentali del risk management e forniremo alcune semplici regole e soluzioni tecnologiche utili ad elevare drasticamente la soglia di sicurezza e a ridurre conseguentemente il rischio di possibili violazioni. La prima attività da svolgere è quella di definire chiaramente il perimetro d'intervento e quindi l'organizzazione interessata e le informazioni gestite. Da qui bisogna procedere ad eseguire un censimento analitico delle informazioni contenute nel perimetro d'intervento. Il dettaglio del censimento dipende dagli obiettivi e dalla tipologia di analisi dei rischi che s'intende eseguire. Ai fini di un'analisi concettuale può essere sufficiente censire i dati a livello di processo o di sistema applicativo, mentre per un'analisi operativa è necessario considerare anche le tecnologie di riferimento. Il rischio è strettamente associato al concetto di minaccia, che ne costituisce, per così dire, un equivalente depurato dalle due caratteristiche di probabilità e danno consequenziale. Inoltre il rischio può essere visto come la possibilità che accada un evento negativo, che procuri danni a qualcuno o qualcosa. La minaccia, in effetti, è proprio tale evento. Possiamo quindi definire minaccia come qualsiasi cosa che possa farci perdere gli attributi di sicurezza di confidenzialità, disponibilità e integrità. La minaccia è generalmente un evento indesiderato che può essere potenzialmente identificato a priori. Esso è classificabile come evento interno o esterno che si concretizza tramite attacchi variamente attuati. Senza dubbio c'è una certa tendenza a proteggere il perimetro d'intervento maggiormente da minacce esterne, potenzialmente a causa della visibilità generata da questi eventi, rispetto a quelle interne. La verità è che i rischi interni rimangono la maggioranza e quindi non possono essere sottovalutati. Le minacce interne e i relativi controlli dipendono fortemente dall'organizzazione e dalla natura del trattamento prevalente dell'informazione mentre quelle esterne possono essere fortemente influenzate dalle tecnologie utilizzate, indipendentemente da persone e processi. Di conseguenza la determinazione delle minacce interne deve considerare l'ambiente organizzativo specifico mentre per quelle esterne si possono utilizzare soluzioni maggiormente standardizzate, riconducibili alle tecnologie al momento maggiormente in uso. La vulnerabilità consiste in una condizione organizzativa o tecnologica che permette alla minaccia di attuarsi. Le minacce sono presenti in ogni caso ma si annullano, in teoria, in assenza di vulnerabilità. Viceversa la minaccia ha maggiori probabilità di attuarsi in presenza di numerose o importanti vulnerabilità. La vulnerabilità può essere organizzativa o di processo o tecnica I principali fattori che contribuiscono alla proliferazione delle vulnerabilità sono: componenti difettosi; distribuzione geografica; dimensioni e complessità; evoluzione tecnologica; scarsa cultura sui problemi di sicurezza. Il livello di vulnerabilità può essere ridotto attraverso l'implementazione di opportune contromisure di sicurezza. La vulnerabilità non può però mai essere ridotta a zero, perché le stesse contromisure presentano, a loro volta, delle debolezze. la definizione più accreditata di rischio lo identifica come il prodotto dell'impatto per la probabilità di attuazione di una particolare minaccia. La determinazione di tale probabilità può avvenire tramite l'espressione di un giudizio, ovvero considerando le serie statistiche relative ai vari incidenti ed attacchi, oppure tramite entrambe le cose. In termini formali il rischio, come si è visto, è definito come il prodotto tra la probabilità di accadimento dell'evento e il danno arrecabile. In effetti, se almeno uno dei due termini del prodotto tende a zero, si è inclini a percepire il rischio come basso. Per le misurazioni di tipo qualitativo è invece necessario determinare un sistema di misurazione che permetta di misurare le due componenti del rischio in modo fra di loro omogeneo, tramite un sistema di gradi opportunamente tarato. Risulta inoltre utile, nella pratica, considerare due aspetti del rischio. Il primo, definito come rischio assoluto o intrinseco e il secondo, definito come rischio residuo. Quest'ultimo concetto, a differenza del primo, tiene conto dell'effetto delle contromisure previste. Nel corso del processo di valutazione del rischio ci si trova, all'atto pratico, nella necessità di individuare un livello accettabile di rischio e di confrontarsi con il budget effettivamente disponibile. Con il termine contromisure si indicano quindi le misure organizzative e tecnologiche che sono in grado di contrastare e abbattere il livello del rischio, riducendolo a un livello individuato come accettabile. Nel processo di analisi dei rischi può accadere che le contromisure siano definite in modo generico, da assoggettare ad ulteriore analisi e definizione in un'ottica più operativa. È invece sempre importante definire le modalità attuative, i tempi e le responsabilità in un apposito piano operativo di attuazione. È diverso l'obiettivo che si vuole raggiungere: l'analisi dei rischi non è più tanto finalizzata a individuare e a ridurre le conseguenze di possibili eventi dannosi per l'azienda che effettua l'elaborazione dei propri dati/processi di business, ma piuttosto è finalizzata a individuare le conseguenze di eventi dannosi per i soggetti a cui i dati si riferiscono; in pratica l'obiettivo è la protezione dei trattamenti dei dati personali dei soggetti tutelati dalla normativa sulla privacy. È diverso l'oggetto dell'analisi: in un approccio di analisi dei rischi di carattere aziendale, ci si orienta su risorse e informazioni aziendali come oggetto di protezione. Nel caso dell'analisi dei rischi in ottica privacy è importante prendere in esame i dati limitatamente alla sfera personale dei soggetti interessati e correlarli ai trattamenti che ne vengono effettuati in seno all'azienda o all'ente titolare del trattamento stesso. Di conseguenza cambia il modo di procedere nella conduzione del processo di analisi dei rischi: 1. viene meno l'esigenza di valutare gli impatti 2. viene meno l'esigenza di effettuare la classificazione delle informazioni, intesa come valutazione della criticità delle informazioni, in quanto è la normativa stessa a classificare e distinguere i dati inerenti la sfera personale su due livelli: sensibili; non sensibili;