In un precedente articolo abbiamo trattato della valutazione del rischio privacy per adempiere ai requisiti del GDPR (Regolamento UE 2016/679 sulla protezione dei dati personali), ma chi ha o deve implementare un sistema di gestione per la sicurezza delle informazioni come deve considerare la valutazione dei rischi sui trattamenti di dati personali? Tale valutazione è implicita nella valutazione dei rischi sulla sicurezza delle informazioni, ovvero è un “di cui” di essa? Oppure, come sostengono alcuni esperti di privacy, è tutta un’altra cosa e va considerata separatamente? Cerchiamo di chiarire questi aspetti.

Cos’è il rischio per la sicurezza delle informazioni?

Partiamo dalla valutazione del rischio per la sicurezza delle informazioni, ovvero essenzialmente per i sistemi di gestione certificati ISO 27001.

Prima di parlare di valutazione del rischio dovremmo soffermarci sulla terminologia: sicurezza delle informazioni non è “sicurezza informatica” e non è “cybersecurity”. Tralasciamo le discussioni sul termine cybersecurity (in italiano “sicurezza cibernetica”?) che per taluni equivale alla sicurezza informatica, per altri è la protezione delle informazioni digitali da attacchi informatici (non da incidenti naturali!), per altri ancora ha a che fare con la sicurezza degli appartai IT e OT…

La sicurezza informatica è un sottoinsieme della sicurezza delle informazioni? Dunque, la valutazione del rischio ICT è una parte della valutazione del rischio per la sicurezza delle informazioni?

Non è proprio così, ma quasi: la sicurezza informatica riguarda gli apparati ICT che normalmente trattano informazioni digitali. Ora un problema tecnico, dovuto ad un attacco informatico deliberato oppure ad un evento accidentale, comporta anche un rischio per la sicurezza delle informazioni? In teoria non è sempre così perché un attacco informatico ad una infrastruttura critica (ad es. un acquedotto o una rete elettrica) generalmente non comporta conseguenze sulla sicurezza delle informazioni, ovvero sulla sua declinazione in riservatezza, integrità e disponibilità. Perciò non costituisce un rischio per la sicurezza delle informazioni? Ma le apparecchiature informatiche e le infrastrutture ICT cosa trattano? Non trattano byte, ovvero informazioni? Facciamo un esempio su un fatto accaduto di recente: il blocco del traffico aereo alcuni giorni fa negli Stati Uniti è stato provocato da un incidente informatico, pare fosse colpa di un file “corrotto” (ma anche se fosse stato un attacco di hacker Russi, cosa che non ci diranno mai, la sostanza non cambierebbe): ebbene è considerato un incidente sulla sicurezza delle informazioni, ovvero si è concretizzato un rischio sulla sicurezza delle informazioni? Apparentemente no perché le conseguenze sono state il blocco dei voli con disagi per i passeggeri, maggiori costi per Compagnie Aeree e passeggeri e così via. Ma la causa di tutto questo non è stata la mancanza di informazioni (= mancata disponibilità di informazioni) sulla sicurezza dei voli che ha fatto prudentemente mantenere a terra molti aeromobili?

Ovviamente tutto dipende dal contesto in cui si trova l’organizzazione che deve valutare i rischi e qual è il campo di applicazione del sistema di gestione ISO 27001 che, nel caso, ci chiede la valutazione del rischio.

Il viceversa – ovvero che la sicurezza informatica non copra tutta la sicurezza delle informazioni – è dimostrabile in modo più semplice: le informazioni su supporto cartaceo devono essere protette e la loro protezione generalmente non riguarda la sicurezza informatica.

La valutazione del rischio sulla sicurezza delle informazioni

Fatta questa premessa andiamo ad esaminare cosa ci dice la teoria e la letteratura sul risk assessment per l’information security, ovvero per il SGSI ISO 27001.

In principio fu la vecchia versione della ISO 27005 a guidare queste valutazioni del rischio sulla sicurezza delle informazioni. In sintesi, questa norma ci diceva di partire dal censimento degli asset dell’organizzazione, di andare a vedere quali informazioni essi trattano (information asset) e, quindi, fare una valutazione del valore degli asset riguardo alle caratteristiche di sicurezza, ovvero riservatezza, integrità e disponibilità.

Poi occorreva identificare le minacce alla sicurezza delle informazioni (gli attacchi hacker, gli incendi, gli errori di configurazione dei sistemi, ecc.) e le vulnerabilità presenti negli asset (sistemi non aggiornati, assenza di protezione fisica del CED, mancanza di consapevolezza del personale, ecc.).

Una combinazione di questi elementi, ovvero una minaccia che sfrutta una vulnerabilità per far concretizzare un rischio su un determinato asset veniva ponderata in base alla probabilità di accadimento (in realtà viene usato il termine verosimiglianza) x la gravità delle conseguenze/danno potenziale x il valore dell’asset, al fine di ottenere un determinato livello di rischio quali-quantitativo.

Oggi l’ultima versione della medesima norma prende in considerazione due approcci:

• Approccio basato sugli eventi: i rischi possono essere identificati attraverso le considerazioni della Direzione e il contesto dell’organizzazione. Questo permette di concentrare gli sforzi sui rischi più critici, senza disperdersi nella valutazione di numerosi rischi che poi giudicherò minori e non degni di essere considerati con azioni di trattamento.
• Approccio basato sugli asset: i rischi possono essere identificati attraverso l’ispezione di asset, minacce e vulnerabilità. È quello già previsto dalla precedente edizione della ISO 27005.

Altri metodi di valutazione del rischio possono essere utilizzati, classificati in genere in metodi quantitativi (basati su un calcolo più o meno “preciso” del rischio, a fronte di valutazioni della probabilità matematica di accadimento dell’evento negativo e di valutazione quantitativa del danno, ad es. in termini economici) e qualitativi (il valore del rischio: “Alto”, “Medio”, “Basso”, ecc. non è espresso in valori assoluti, ma rappresenta solo un metodo di confronto fra i vari rischi).

In generale questi metodi qualitativi, secondo alcuni esperti, portano sempre ad un calcolo del rischio basato sulla formula:

r(m, a, v) ∝ p(m) ⋅ i(m, a) ⋅ g(v)

dove r rappresenta la funzione “rischio” che dipende da m= minacce, a= asset, v= vulnerabilità in modo proporzionale alla probabilità di accadimento della minaccia, all’I=impatto della minaccia sull’asset e alla g=gravità della vulnerabilità.

Un approccio completamente diverso, proposto da altri esperti, non prende in considerazione le minacce, ma parte dalle vulnerabilità presenti per determinare i rischi concreti che dovranno essere valutati attraverso la classica formula Rischio =Possibilità di accadimento x Gravità del danno o delle conseguenze provocate dal concretizzarsi del rischio.

Le fasi successive del processo di valutazione dei rischi, dopo la loro identificazione, sono sempre le stesse: analisi dei rischi, ponderazione dei rischi, scelta delle opzioni di trattamento, determinazioni dei controlli/contromisure necessari, confronto con i controlli dell’Annex A della ISO 27001 e definizione della Dichiarazione di Applicabilità (S.o.A.).

Tra i modelli disponibili per il calcolo del rischio sulla sicurezza delle informazioni secondo la ISO 27001 segnaliamo il tool VERA di Cesare Gallotti (https://www.cesaregallotti.it/Pubblicazioni.html ) che prevede l’identificazione di una serie di Minacce/Rischi per le quali sono attribuiti una probabilità di accadimento ed un impatto fino a costituire il c.d. “rischio puro” o “rischio intrinseco”. Quindi vengono stabilite le vulnerabilità che non sono altro che l’inversamente proporzionale ai controlli, ovvero all’efficacia degli stessi. Combinando il rischio intrinseco con le vulnerabilità/controlli si ottiene il valore del rischio calcolato sulla sicurezza delle informazioni. Tale modello comprende anche una parte legata alla privacy (comunque cogente anche in ambito SGSI) nella quale si valutano i soli rischi (minacce) attinenti alla privacy e le relative conseguenze.

Altri esperti definiscono il “rischio inerente” come il rischio derivante dalla combinazione di probabilità/possibilità di accadimento dell’evento e dalla gravità delle conseguenze. Applicando i controlli di sicurezza, ovvero le contromisure (le misure di sicurezza tecniche ed organizzative in termini privacy) si ottiene il “rischio residuo”, che dovrà poi essere confrontato con i criteri di accettabilità per stabilirne le opzioni di trattamento.

Altri schemi e standard prevedono valutazioni dei rischi sulla sicurezza ICT, che oggi costituisce parte preponderante della sicurezza delle informazioni. Gli approcci possono essere leggermente diversi, ma sostanzialmente non si discostano dalla seguente metodologia-

1. Identifico le minacce che incombono sui sistemi e sui dati (es. virus ransomware o, più in dettaglio le tecniche che rendono possibile un attacco ransomware: phishing, social engineering, attacchi di forza bruta a siti web per la ricerca di credenziali di accesso, ecc.)
2. Identifico gli eventi che, se si concretizza la minaccia, possono costituire un rischio per i miei dati
3. Valuto le misure di mitigazione che sono state implementate per fronteggiare il rischio.
4. Valuto la probabilità di accadimento dell’evento.
5. Valuto l’impatto che comporta tale rischio per i dati e tutto quel che ne consegue.
6. Calcolo il valore del rischio (residuo).
7. Definisco le azioni di trattamento del rischio (accettare il rischio oppure adottare ulteriori misure di prevenzione o protezione per ridurre il rischio o addirittura eliminarlo.

La valutazione del rischio privacy

Quando si valuta il rischio relativo alla privacy, è possibile identificare minacce specifiche per la privacy. Tra di esse vi sono:

• rappresentazione scorretta, se i dati relativi a una persona sono errati, oppure presentati o elaborati in modo non corretto possono provocare danni all’interessato; questa minaccia può anche riguardare i risultati della profilazione di una persona (che, ad esempio, potrebbe essere esclusa da programmi sanitari o economici), eventualmente anche con strumenti basati sull’intelligenza artificiale;
• distorsione, ossia l’interpretazione volutamente o inavvertitamente scorretta dei dati, con potenziali impatti negativi sulla singola persona; questa minaccia è, in pratica, quella del pettegolezzo e della maldicenza, che può portare al biasimo, alla stigmatizzazione, all’isolamento e anche alla perdita di libertà di una persona;
• sorveglianza, attraverso l’uso dei dati, soprattutto in ambito informatico; è necessario riconoscere la differenza tra logging (ossia la raccolta di dati per assicurare la sicurezza delle persone e della proprietà) e la sorveglianza (che porta, anche se non sempre per scelta deliberata, a discriminazione, perdita di fiducia, autonomia o libertà, danni fisici o materiali);
• blocco alla conoscenza dei dati trattati, ossia segretezza in merito al fatto che i dati personali sono trattati e alle modalità con cui lo sono; questo può portare all’uso dei dati personali iniquo e, per le singole persone fisiche, alla mancanza di autodeterminazione, alla perdita di fiducia e a perdite economiche;

In pratica le minacce per la privacy potrebbero essere diverse da quelle per la sicurezza delle informazioni, o meglio alcune (la maggioranza) coincidono, altre sono differenti. Ma se consideriamo che l’informazione è anche un dato personale e che la stessa ISO 27001 comprende un controllo denominato “Privacy e protezione dei dati personali” (controllo A.18.1.4 della versione 2013 della ISO 27001-27002) capiamo bene che – nella valutazione del rischio per la sicurezza delle informazioni – dobbiamo considerare anche gli impatti che una determinata violazione di dati personali può avere sui diritti e le libertà dell’interessato e non solo sul business dell’organizzazione.

Dunque un medesimo evento rischioso, ad esempio un data breach sul portale web dell’azienda oppure un ransomware che non comporta un’esfiltrazione di dati (anche personali), ma “soltanto” un blocco dei sistemi per un paio di giorni, potrebbe portare ad una valutazione e, quindi, ad un indice (livello) di rischio differente semplicemente perché – a parità di probabilità di verificarsi dell’evento – l’impatto sui diritti e le libertà dell’interessato, piuttosto che sul business dell’organizzazione, può essere sensibilmente diverso.

Quindi la valutazione dei rischi potrebbe essere unica a patto di considerare i differenti effetti a fronte del verificarsi di medesimi eventi.

Naturalmente ogni organizzazione avrà i suoi parametri e le sue specificità: dal punto di vista dell’interessato: un conto è un blocco dei sistemi informativi per un paio d giorni di un Ospedale ed un conto è il medesimo blocco per un’azienda manifatturiera dove probabilmente il fatto di non poter accedere ai dati dei dipendenti per un paio di giorni non costituirebbe un gran problema (salvo che non sia il giorno di pagamento degli stipendi…).

Tuttavia, alcuni esperti della materia privacy potrebbero obiettare: ma per il GDPR devo valutare i rischi sui trattamenti di dati personali, quindi considerare i rischi per ogni trattamento! Allora bisognerebbe riprendere il concetto di “Asset” dove i dati personali (dei dipendenti, dei clienti, ecc.) costituiscono un “asset informativo” con un certo valore, dato dalla combinazione delle diverse caratteristiche di sicurezza (Riservatezza, Integrità e Disponibilità).

Spesso, però, si può semplificare considerando il caso peggiore (worst case), ovvero dato un determinato evento rischioso (ad es. un data breach sul portale web) consideriamo lo scenario peggiore per tutti i trattamenti di dati personali. Allora per i trattamenti dei dati personali dei dipendenti avrò un determinato impatto, mentre per i dati personali dei clienti avrò un impatto di tipo e valore diverso: nel nostro caso di esempio per l’Ospedale il rischio maggiore sarebbe sui dati dei pazienti e dei relativi trattamenti (es. prenotazioni, refertazione visite ed esami, ecc.), mentre per l’azienda manifatturiera il rischio più elevato sarà sui trattamenti dei dati dei dipendenti (elaborazione paghe, ecc.).

Evidentemente la valutazione del rischio privacy per ogni singolo trattamento di dati personali che abbiamo inserito nel Registro delle Attività di Trattamento (ai sensi dell’art. 30 del GDPR) potrebbe risultare parecchio oneroso e non giustificato per una medio-piccola organizzazione. È comunque sempre opportuno raggruppare più trattamenti sui quali incombono i medesimi fattori di rischio. Ad esempio in un’organizzazione che gestisce tutti i dati in formato digitale attraverso file di Office conservati in un file Server ed un unico applicativo gestionale è perfettamente inutile replicare le medesime minacce ed eventi di rischio legati all’IT su diversi trattamenti. Eventuali vulnerabilità o misure di sicurezza non completamente efficaci legate al controllo degli accessi degli utenti, agli strumenti anti-malware, ai backup o alla (scarsa) consapevolezza del personale impattano su tutti i trattamenti di dati personali e basterà considerare solo il caso peggiore, ovvero l’impatto di gravità più alta su tutti i trattamenti per “risolvere” il problema della valutazione del rischio privacy. Infatti, ai fini della protezione dei dati personali, il trattamento del rischio che andremo ad attuare sarà finalizzato a prevenire il rischio (abbassare la probabilità che la minaccia si concretizzi) oppure a proteggere il dato dall’evento che non può essere completamente evitato (ridurre la gravità dell’impatto), dunque miglioreremo la protezione dei dati personali su tutti i trattamenti effettuati.

In conclusione il problema non è pensare di coprire anche la valutazione del rischio privacy attraverso una valutazione più ampia sulla sicurezza delle informazioni, ma fare quest’ultima valutazione in modo incompleto, senza considerare nel modo corretto i rischi associati alla protezione dei dati personali.

Come spesso accade, se si fanno le cose per bene si può fare (quasi) tutto.

In un mio precedente articolo L’aggiornamento della valutazione dei rischi dopo la pandemia parlai dell’aggiornamento della valutazione dei rischi post-pandemia.

Ora tutte le aziende certificate ISO 9001 (e non solo) dovrebbero aggiornare la loro valutazione dei rischi, come previsto dalla norma, ma anche da buone prassi aziendali, per affrontare il futuro con consapevolezza.

Ad inizio 2022 il risk assessment non può prevedere solo aggiornamenti legati all’evoluzione della pandemia Covid-19, ma anche ad altri fattori che incidono profondamente sul contesto esterno delle nostre imprese: aumento dei costi dell’energia, aumento dei costi delle materie prime e di diversi componenti elettronici, legato strettamente alla carenza delle medesime materie prime e componenti. L’aumento dell’inflazione ed una probabile crisi dei consumi è una logica conseguenza di tutti questi fattori.

Qui, naturalmente, possiamo solo esaminare il cosiddetto “contesto esterno” applicabile a quasi tutte le imprese, mentre il “contesto interno” dipende da ogni singola realtà, ma è altrettanto condizionato dai fattori esterni citati.

Oltre ai fattori sopra elencati, tutti negativi (salvo in particolari settori dell’economia), occorre considerare l’impatto dei fondi europei, del PNNR e degli Ecobonus. Queste agevolazioni possono avere un’influenza positiva su determinati settori (si pensi al rifinanziamento del bonus 110% per il settore dell’edilizia, compresi i progettisti).

Ma vediamo come valutare i principali fattori di rischio che incombono nel 2022.

Il principale, probabilmente unico rischio per il quale non esistono contromisure di tipo economico, è sicuramente quello legato al Covid.

Qui le aziende dovrebbero esaminare ed aggiornare il contesto generale e quello particolare. Il contesto generale riguarda ovviamente l’impatto del Covid sul mondo esterno all’azienda, sui clienti, sui fornitori, sui servizi di logistica e trasporto, ecc.; mentre il contesto interno riguarda l’impatto del Covid – presente e futuro – sull’operatività interna.

È molto difficile valutare correttamente e consapevolmente questi rischi, anche perché la situazione muta con grande velocità, le previsioni fornite dalle Autorità e dagli Enti preposti si sono dimostrate inattendibili  e la continuità aziendale è messa a repentaglio non solo dal rischio pandemico vero e proprio, ovvero – come potrebbe avvenire per una qualsiasi altra epidemia – per la possibile assenza di personale (dipendenti e collaboratori) per un periodo più o meno limitato nel tempo, ma in percentuale considerevole rispetto alla forza lavoro dell’azienda. Infatti, i vincoli di legge, legati a quarantene, possesso del green pass base o rafforzato, limitazioni nei trasporti, ecc. potrebbero essere più penalizzanti del Covid vero e proprio. Ogni azienda dovrebbe guardarsi dentro e capire qual è la propria situazione: la presenza di personale non vaccinato (magari anche perché dovrebbe avere un’esenzione, ma non ce l’ha) potrebbe presto costituire un problema, soprattutto se tali persone ricoprono ruoli critici. Insomma, la cura potrebbe essere peggio della malattia.

In questi casi le imprese di servizi che possono permettersi di mantenere il personale in smart-working hanno un grosso vantaggio: minori rischi di contagio fra il personale, nessun obbligo di green pass o super green pass (necessari per “accedere ai luoghi di lavoro”).

Il contesto generale è tale per cui oggi abbiamo oltre 2 milioni di persone positive ed alcuni milioni di loro contatti in quarantena, auto-sorveglianza o quant’altro si inventano ; dunque, è molto probabile che qualcuno degli interlocutori esterni (clienti, fornitori e soggetti terzi che svolgono servizi) non sia al momento al lavoro, pertanto anche spostarsi con mezzi pubblici ed usufruire di altri servizi, anche di assistenza, potrebbe essere un problema. Tutto questo significa minor efficienza, ritardi e maggiori costi, che si sommano ai costi di prevenzione imposti dalle norme di lotta al virus (a mascherine, disinfettanti e misurazione della temperatura si sono aggiunti i costi legati al controllo del green pass, oltre alle informative varie). Questi costi, uniti ad un’organizzazione del lavoro prudente, non necessariamente favoriscono tutti una diminuzione del rischio, in quanto alcuni sono determinati da leggi che non dipendono dalle imprese e dal contesto in cui operano, leggi che purtroppo variano con frequenza troppo elevata.

Qualche azienda ha provato a definire dei controlli sanitari più restrittivi ed efficaci (ad esempio tamponi antigenici per tutti, non solo per i non vaccinati), accollandosene i maggiori costi, ma riducendo i rischi reali. Altre si sono fatti carico dei tamponi periodici per i non vaccinati, al fine di mantenere la continuità del lavoro, ma anche in questo caso i costi aumentano.

Parafrasando la teoria giapponese dello “zero difetti”, l’obiettivo “zero contagi” non è perseguibile dalla singola realtà, ma potrebbe esserlo solo da un intero Stato, forse dall’intera UE. Viceversa, in Asia la politica sembra essere questa: non appena il numero di contagi sale chiudono il più possibile le attività locali al fine di debellare il Covid-19. E sembra che siano molto più vicini ad una vita normale di quanto lo siamo noi europei. Ma queste scelte e decisioni non sono all’appannaggio di singole imprese, ma solo dello Stato o della Comunità europea. Se le scelte sono sbagliate le imprese le subiranno e basta, la storia ci dirà chi ha avuto ragione perché alcune economie potrebbero avvantaggiarsi rispetto ad altre.

Un effetto collaterale legato al Covid ed alle diverse situazioni nei vari Paesi è legato al forte rischio nelle delocalizzazioni. La continuità produttiva in una fabbrica lontana dal nostro Paese potrebbe essere minacciata e subire rallentamenti indipendentemente da quello che accade nel sito produttivo principale; ma anche nel caso in cui la fabbrica delocalizzata funzioni regolarmente potrebbero verificarsi problemi nei trasporti e nella logistica tali per cui le merci sono pronte, ma non possono essere consegnate.

Di questi tempi una supply chain corta e geograficamente contenuta è certamente una scelta meno rischiosa.

Altro fattore di rischio molto significativo è costituito dall’aumento dei costi energetici che comporterà sicuramente un notevole incremento dei costi fissi e – per molte aziende industriali – anche un aumento dei costi indiretti della produzione. Oltre ad allocare correttamente questi costi ed attuare un efficace controllo di gestione con la rielaborazione dei costi dei prodotti e la conseguente rideterminazione del prezzo di vendita, le imprese hanno la possibilità di ridurre l’effetto di questi aumenti. Ciò può avvenire attraverso il ricorso a servizi specializzati di gestione dell’energia, finalizzati ad ottenere una corretta gestione dei consumi, l’adesione a Gruppi di Acquisto dell’energia, l’efficientamento energetico a partire da una diagnosi energetica e così via. Oggi una politica di risparmio delle risorse naturali paga più che in passato.

Il terzo, ma non meno importante, fattore di rischio emergente nel 2021 è stato il forte incremento dei costi delle materie prime, conseguente ad una carenza di materie prime ed anche di alcuni componenti elettronici, talmente grave da bloccare alcune catene produttive, ad esempio quella dell’automotive.

In questo caso l’impatto per la produzione è diretto e particolarmente significativo, anche se alcune aziende di servizi sono state coinvolte dalla carenza di chip per le proprie apparecchiature elettroniche.

La situazione ha “fatto saltare” alcune metodologie consolidate come il “Just in time” e la minimizzazione delle scorte di magazzino è diventata un difetto, non un pregio. Certe materie prime si acquistano come un titolo in Borsa, permettendo speculazioni scommettendo sul rialzo dei prezzi.

Qui da un lato occorre rischiare acquistando più del dovuto, ma garantendosi la continuità della produzione ed il rispetto dei tempi; dall’altro è opportuno ricalcolare il costo del prodotto ed alzare i prezzi, di conseguenza, rischiando che il cliente si rivolga ad altre offerte più convenienti. In quest’ultimo caso il competitor probabilmente non avrà vita lunga, perché prezzi inferiori potranno essere garantiti solo producendo con una qualità molto inferiore e con margini minimi o nulli, se non negativi.

Anche in questo caso un adeguato sistema di controllo di gestione può aiutare molto ad intraprendere le decisioni corrette.

Come si vede occorre fare tesoro degli insegnamenti delle normative e delle buone prassi, oltre che delle migliori teorie di management, cercando di applicarle alla propria organizzazione. Purtroppo, le imprese italiane, sebbene siano tra le più certificate al mondo su ISO 9001 ed altre norme sui sistemi di gestione, raramente hanno un sistema di gestione veramente efficace che considera tutti gli aspetti. Spesso si valutano solo gli aspetti economico-finanziari senza guardare cosa ci sta dietro ai numeri, oppure si valutano solo meri indicatori commerciali o produttivi, senza sapere se producono effettivamente margini economici.

Gli scossoni che il mondo ci sta facendo sopportare in questi ultimi anni potrebbero fare molti danni, annientare interi settori merceologici ed esaltarne altri, creando disuguaglianze. Come in una guerra avremo probabilmente molti caduti (imprese chiuse), che saranno i più sfortunati (annientati dal Covid e dalla sua gestione) ed i più deboli. Ma se i primi possono solo cambiar mestiere, i secondi potrebbero essere più forti, volendolo.

Nel 2022 il ruolo dell’imprenditore è molto più difficile che in passato, anche se l’azienda ha molto lavoro e sta andando bene.

Oggi, più che mai, bisogna essere in grado di valutare attentamente i rischi che incombono sulla propria organizzazione, analizzando dati di fatto ed adottando azioni concrete di prevenzione e/o protezione dai rischi più importanti, senza farci illudere dal PIL che cresce del 6% nel 2021. 

Tutti i moderni sistemi di gestione ci hanno insegnato che è necessario effettuare una valutazione dei rischi, con il focus su aspetti specifici del sistema di gestione di riferimento, in base al contesto interno ed esterno dell’organizzazione. E che tale valutazione va riesaminata o aggiornata con periodicità predefinita (ad es. annualmente in occasione del riesame di direzione) o allorquando mutano significativamente gli elementi che hanno contribuito alla valutazione stessa (fattori critici di successo, contesto interno ed esterno).

Ora tutte queste valutazioni vanno modificate, non perché ce lo dice la norma di riferimento (ISO 9001, ISO 27001, IATF 16949, ecc.), ma perché ce lo dice la coscienza del buon imprenditore, direttore generale, amministratore delegato, ecc.

Quante valutazioni dei rischi, anche quelle sviluppate negli ambiti più specifico come quella del BCMS della ISO 22301 sulla continuità operativa, avevano previsto il rischio pandemia come un rischio reale? Forse nessuna in questi termini. Tutti gli esperti ed i testi di risk management ci hanno sempre detto che bisogna considerare i rischi significativi considerando la loro gravità, in termini di conseguenze o impatto sul business, e la loro probabilità di verificarsi. Diverse tecniche di risk assessment prendono in considerazione questi due elementi espressi in una scala quali-quantitativa, di alto, medio o basso, di 1, 2, 3, 4 e così via. Quindi non dovevamo considerare l’asteroide che cade sulla terra, la guerra nucleare o … la pandemia mondiale. Perché, per quanto tali eventi possano essere devastanti la loro probabilità rasenta lo zero, l’altamente improbabile. I criteri di calcolo del rischio spesso riportano il livello minimo di probabilità (livello 1) come “un evento che non si è mai verificato, ma possibile”.

In realtà molte valutazioni dei rischi legate alla realizzazione di business continuity plan hanno considerato il rischio di un’epidemia di influenza che causi l’assenza prolungata di gran parte del personale dell’azienda, mettendo a repentaglio la continuità del business della stessa, ma ora la situazione è diversa: in molte realtà il personale sta benissimo, ma non può recarsi in azienda a causa delle restrizioni imposte dall’emergenza sanitaria Coronavirus.

Però in quest’articolo non voglio trattare il problema legato alla continuità operativa a fronte di un’interruzione provocata da una pandemia, voglio pensare al dopo, a quello che avverrà durante la ripresa, graduale, delle attività.

Ebbene, non tutte le imprese riescono oggi ad immaginarsi il “dopo”, però se la Direzione aziendale ha a disposizione alcune informazioni ed indicatori validi può prevedere quello che succederà, almeno in parte.

Naturalmente cambierà il mercato, il processo commerciale e di vendita di prodotti e servizi. Il contesto esterno è sensibilmente mutato e da un lato troviamo alcuni settori che non si sono mai fermati (es. alimentare) o che hanno incrementato sensibilmente le attività produttive e di erogazione di servizi (es. settore sanitario, medicale, farmaceutico, ecc.); dall’altro troviamo settori che saranno in piena crisi con riduzione sensibile del fatturato e rischio anche di chiudere le attività. Faccio ad esempio riferimento al settore turistico-alberghiero, ove alcune piccole realtà che hanno subito un fermo completo dell’attività per uno o due mesi se dovessero affrontare una stagione estiva con la clientela contingentata probabilmente non potrebbero raggiungere il punto di pareggio.

Dunque, l’imprenditore deve analizzare il proprio mercato di riferimento capire quali settori merceologici sta servendo e – nel caso di produzione di componenti o semilavorati conto terzi – quali settori merceologici sta servendo il proprio cliente. Mai come ora è importante la diversificazione della clientela e del relativo fatturato. Una concentrazione dei ricavi su pochi clienti o su un solo settore merceologico rappresenta normalmente un fattore di rischio.

Il comportamento dei clienti sarà fondamentale per capire quale ripresa ci potrà essere. Infatti, al di là del settore di appartenenza del cliente, occorre considerare quale strategia adotterà (o sta già adottando) il cliente. Purtroppo, già si percepisce che alcune aziende stanno bloccando gli ordinativi per timore di subire costi che poi ipoteticamente non potranno essere recuperati da adeguati ricavi, forse solo per paura di quello che potrà succedere in futuro. Il timore di investire sul futuro, sull’innovazione tecnologica, sull’innovazione di prodotto e servizio e sui nuovi scenari è certamente una strategia che penalizzerà diverse aziende. Potremo rivedere quello che si è già verificato nella crisi della fine degli anni ’10, ma più in grande: aziende che cercano di tagliare tutti i costi possibili e immaginabili per fronteggiare i cali momentanei di fatturato che poi vengono superate da altre aziende che hanno investito sul futuro. Il processo di riduzione indiscriminata dei costi, compresi quelli del personale, ha già prodotto nel recente passato impatti sociali importanti con diminuzione delle disponibilità economiche degli individui (soprattutto se paragonate con i cittadini di altri Paesi europei e del Nord America), diminuzione dei consumi, riduzione dei prezzi al fine di incrementare le vendite, ulteriore riduzione dei costi di produzione a scapito della qualità e così via in un ciclo tutt’altro che virtuoso.

In generale non tutte le aziende che lavorano nel settore meccanico, per realizzare prodotti su specifiche del cliente, sanno di preciso dove vanno a finire i componenti/prodotti che realizzano, ovvero qual è il prodotto finale ed a che filiera appartiene. È invece importante sapere se si sta lavorando per la filiera dell’automotive o dell’alimentare o del medicale.

Nel contesto esterno occorre esaminare anche i mutamenti che sono avvenuti e che si prospettano nel parco fornitori. Tutte le aziende hanno bisogno dei fornitori e talvolta non hanno mai cercato alternative per tutte le forniture critiche. Ora il nostro fornitore, soprattutto se si tratta di una piccola impresa, potrebbe aver difficoltà  a produrre a sua volta o addirittura potrebbe chiudere per motivi economico-finanziari o di salute della proprietà.

Dopo aver esaminato i rischi commerciali di sensibile perdita di ricavi e quelli legati all’indisponibilità delle fonti di approvvigionamento, dobbiamo esaminare il contesto interno, come si modificherà la produzione e/o l’erogazione di servizi nei prossimi mesi con eventuali limitazioni (distanziamento sociale, DPI, …). Potrebbero verificarsi impatti negativi sull’organizzazione della produzione e del personale che vi opera. Gli strumenti di pianificazione della produzione e dell’erogazione di servizi avranno nuovi input e nuovi vincoli da considerare e potrebbero dimostrarsi inadeguati a gestire la nuova realtà.

In base a quello che è stato il comportamento dell’azienda nei confronti del personale interno e delle reazioni delle risorse umane potrebbero configurarsi nuove situazioni e nuovi rischi di conflitto: personale che pretende misure di sicurezza migliori, che vorrebbe usufruire dello smart working in modo diverso, dispute con i sindacati, persone insoddisfatte della gestione di eventuali casse integrazioni, ferie imposte, ecc..

Dal punto di vista delle risorse tecniche e infrastrutturali potrebbe verificarsi la necessità di dover utilizzare in modo diverso le risorse produttive, rimandare l’acquisto di una nuova macchina o ripensare all’impiego di macchine differenti per affrontare le nuove esigenze produttive.

Sul fronte delle risorse tecnologiche può darsi che l’infrastruttura ICT si sia dimostrata inadeguata ad operare da remoto e, anche se è passata l’emergenza, le previsioni non escludono il verificarsi di una nuova pandemia di Coronavirus fintantoché non verrà diffuso un vaccino. Allora bisogna attivare l’accesso da remoto agli applicativi aziendali in modo sistematico, lo smartworking potrebbe diventare una modalità di lavoro standard, anche se non per tutte le giornate lavorative, per diversi dipendenti. I gestionali un po’ vecchiotti che non forniscono funzionalità web potrebbero essere sostituiti, il personale che ha evidenziato scarsa dimestichezza con i nuovi strumenti tecnologici per il lavoro a distanza potrebbe necessitare di formazione. La gestione della sicurezza informatica potrebbe essere ripensata nel nuovo contesto.

Nuovi rischi emergono, con probabilità di accadimento e gravità delle conseguenze differenti rispetto a qualche mese fa; dunque alcuni rischi che prima non necessitavano di trattamento dovranno essere affrontati con azioni opportune.

D’altro canto, potrebbero emergere nuove opportunità da considerare e valutare: indebolimento della concorrenza su certi mercati (il competitor potrebbe essere stato penalizzato su altri mercati e settori ed essere in difficoltà), possibilità di entrare in settori con buone prospettive future (ad es. medicale), e così via.

In caso di catastrofi e calamità naturali quali terremoti, alluvioni, inondazioni, incendi, eruzioni vulcaniche, uragani oppure atti terroristici, uno dei danni collaterali dopo la perdita di vite umane e i danni materiali ad edifici ed infrastrutture, occorre considerare il blocco dei sistemi informativi che può rallentare notevolmente la ripresa delle normali attività.

Le metodologie da impiegare per prevenire e mitigar i danni che possono compromettere la ripresa delle attività dopo un evento catastrofico riguardano la tematica della business continuity (continuità operativa).

Nell’intervento presentato lo scorso 17/11 al Convegno EVENTI SISMICI: PREVENZIONE, PROTEZIONE, SICUREZZA, EMERGENZA, le cui slide sonono scaricabili in questa pagina, si sono presentate tutte le attività da porre in essere per controllare tali situazioni indesiderate, in particolare sono stati trattati i seguenti argomenti:

• business continuitymanagement
• normative ISO 22301, ISO 2001/27002 e ISO 27031 per la gestione della business continuity, con particolare riferimento ai sistemi informatici
• gestione dei rischi per la continuità operativa
• disaster recovery
• obiettivi ed indicatori di business continuity
• business continuity plan (piano di continuità operativa).

La sicurezza dei dati in caso di terremoto

In precedenti articoli (Il cloud computing e la PMI, i sistemi di gestione della sicurezza delle informazioni, ISO 22301 e la business continuity, le novità sulla privacy) abbiamo affrontato tutti questi argomenti che, indubbiamente, hanno un unico filo conduttore.

Oggi molte aziende, fra cui anche numerose PMI, hanno dati “nel cloud”, ovvero memorizzati in risorse fisiche non collocate all’interno dell’azienda, bensì su internet, magari senza rendersene conto. Infatti, oltre a veri e propri servizi cloud erogati da fornitori specializzati, molte PMI utilizzano servizi di archiviazione gratuiti quali SkyDrive, Dropbox o Google Drive in maniera non strutturata, in quanto sono propri reparti o uffici o addirittura singoli collaboratori che, per praticità, hanno pensato di sfruttare suddetti tool di archiviazione remota.

In altri casi alcune organizzazioni utilizzano software via web che memorizzano i dati su server remoti, magari presso il fornitore del software (spesso si tratta di Saas, Software as a Service).

Tra i principali aspetti negativi che hanno generato diffidenza sull’archiviazione nel cloud c’è sicuramente la sicurezza dei dati, declinata in termini di riservatezza. Molti imprenditori, infatti, hanno la sensazione che alcuni dati riservati (informazioni commerciali, proprietà intellettuale relativa a progetti, ecc.) debbano rimanere in azienda per paura che qualcuno li possa consultare.

Normalmente una PMI, specialmente una piccola impresa, non effettua un’adeguata valutazione dei rischi che corre e, pertanto, valuta questo argomento a sensazione, piuttosto che con fatti concreti. Quali sono infatti i rischi reali?

In una logica di Risk Assessment, naturalmente, ogni impresa fa storia a se; bisogna conoscere quali dati vorrebbe mettere sul cloud, qual è il livello di riservatezza che tali dati devono avere, se si tratta di dati sensibili, quali procedure di backup sono implementate, di che tipo di connessione internet si dispone e così via.

In linea generale parlare di dati poco sicuri nel cloud perché si teme che qualcuno possa “guardarci dentro” non ha molto senso: a parte che bisognerebbe valutare quale livello di sicurezza ci si aspetta per ogni tipo di dato (si veda il precedente articolo sulla valutazione dei rischi per la sicurezza delle informazioni), oggi molti repository di dati nel cloud forniscono ampie garanzie di sicurezza, soprattutto se sono gestiti da importanti player del settore, quali Microsoft, Google, Amazon, ecc.

Se, come al solito, decliniamo il termine Sicurezza in Riservatezza, Integrità e Disponibilità (ISO 27000 docet) e valutiamo nel complesso il livello di rischio che incombe sui dati nel cloud, vediamo che, a fronte di un livello di riservatezza più che adeguato (i dati di una PMI nel cloud normalmente sono sufficientemente protetti da sguardi indiscreti, grazie alle misure di sicurezza informatica che i fornitori più seri offrono ormai per default), certamente superiore a quello che si può ottenere all’interno dell’azienda stessa (dove potrebbero esserci soggetti interessati a curiosare dove non dovrebbero) la garanzia di integrità dei dati è più che buona, ma sulla disponibilità degli stessi occorre fare qualche riflessione.

Su quest’ultimo aspetto incide non solo l’affidabilità del fornitore di servizi cloud e dell’infrastruttura di cui dispone, ma anche la connessione internet che, ancora ogg,i non è sicuramente adeguata in molte imprese italiane, sia per velocità, sia per continuità del servizio. È proprio questo l’anello di congiunzione con la continuità operativa, più elegantemente detta business continuity.

Infine la privacy, ovvero la protezione dei dati personali con la relativa legge italiana (D.Lgs 196/2003) ed il nuovo Regolamento Europeo che sarà emanato probabilmente il prossimo anno. In questo ambito un Parere della Commissione Europea del 2012 ha per il momento fugato molti dubbi sulle garanzie legali che un’impresa dovrebbe richiedere al proprio fornitore di servizi cloud per essere tranquilla di non incorrere in pesanti problemi legali.

Probabilmente molti contratti che regolamentano la fornitura di servizi cloud (spesso mascherati sotto la fornitura di software as a service) non cautelano adeguatamente l’organizzazione che, non dimentichiamolo, è titolare del trattamento dei dati memorizzati in un server chissà dove. È prassi consolidata, infatti, di numerosi fornitori di SaaS di spostare i database dei propri clienti nello spazio web più conveniente per rapporto qualità/prezzo, non importa se in Canada o in Australia In tali situazioni le aziende non dovrebbero dimenticare che come titolari del trattamento sono i responsabili di fronte alla legge su eventuali inosservanze del Codice della Privacy e che “esportare” i dati personali fuori dalla Comunità Europea non è sempre possibile, come minimo occorre richiedere il consenso dell’interessato.

Dunque quali interrogativi deve porsi un’azienda coscienziosa prima di affidare i propri dati al cloud?

Vediamo i principali, fermo restando che solo dopo una precisa valutazione dei rischi si può determinare quali aspetti sono più critici in ogni singola realtà.

1. Il contratto con il fornitore mi garantisce adeguatamente rispetto alla normativa sulla privacy?
2. Il livello di riservatezza necessario sui dati è adeguatamente garantito da misure di sicurezza dichiarate contrattualmente dal fornitore?
3. La disponibilità dei dati garantita contrattualmente (SLA) è adeguata alle mie esigenze?
4. Posso rientrare in possesso dei miei dati quando voglio e senza costi eccessivi?
5. Il fornitore è sufficientemente affidabile? Si serve di subfornitori egualmente affidabili e resi noti contrattualmente?
6. In caso di perdita dei dati quali sistemi di disaster recovery mi garantiscono di rientrare operativo nel più breve tempo possibile? Tale tempo è coerente con le mie esigenze operative?
7. So esattamente in quale stato o area geografica sono memorizzati i miei dati?
8. Ho considerato tutti i possibili fattori di rischio che possono incombere sulla mia continuità operativa?
9. Ho definito gli obiettivi di disponibilità del servizio e di business continuity in caso di situazione di crisi?
10. Sono in grado di monitorare il comportamento del fornitore ed eventualmente sottoporlo ad audit sul rispetto dei vincoli contrattuali?

Oggi esistono molti sistemi per garantirsi un futuro tranquillo con i dati nel cloud, ad esempio seguendo i principi ed i metodi indicati dalle norme della famiglia ISO 27000 (ISO 27001 che riporta i requisiti di un sistema di gestione della sicurezza delle informazioni certificabile, ISO 27002 che riporta le best practices, ovvero i controlli che possono essere messi in atto, ISO 27005 che è la linea guida per il risk assessment, …) includendovi i requisiti cogenti per la privacy in vigore in Italia ed in Europa. Se il problema di mantenere una certa continuità operativa costituisce un fattore critico si può adottare la metodologia esposta nella ISO 22301 ed in altri standard e linee guida sull’argomento.

Mediante gli stessi sistemi ci si può garantire in modo adeguato nei confronti del fornitore, ad esempio esaminando il contratto con un supporto legale competente, verificare se il fornitore dispone di certificazioni ISO 9001, ISO 27001, ISO 22301 oppure dispone di un Report SSAE 16 (“Statement on Standards for Attestation Engagements” n. 16 , standard AICPA per il reporting sui controlli alle organizzazioni che forniscono servizi in outsourcing, richiesto dalle aziende soggette al Sarbanes-Oxley Act o SOX,  Sezione 404).

Se ascoltiamo quello che ci raccontano gli esperti di sicurezza informatica che relazionano nei frequenti seminari o convegni sull’argomento non c’è certo da stare tranquilli nemmeno all’interno della propria azienda (tra ransomware e data leakage ogni tanto nascono minacce sempre più terrificanti per il futuro delle nostre imprese, senza dimenticare il comportamento dei collaboratori disonesti) e, quindi, un cloud consapevole può veramente essere una buona cosa.

Dall’altra parte la software house che fornisce applicazioni web-based con l’opzione di memorizzare i dati, anziché su un server interno all’azienda, su un server remoto (ovvero nel cloud) dovrebbe prendere in considerazione tutti gli aspetti sopra esposti, sia al fine di fornire un servizio pienamente conforme alle normative applicabili e di piena soddisfazione di tutte le esigenze del cliente, sia al fine di non incorrere in problemi legali nel caso in cui qualcosa andasse storto, anche solo a causa del proprio fornitore di servizi cloud. Dunque valutare quali tipi di dati verranno archiviati nel cloud dai propri clienti e quali garanzie forniscono i fornitori di spazio di archiviazione a cui ci si rivolge (le caratteristiche di un data center sicuro sono state esposte in un articolo apparso lo scorso anno sulla rivista INARCOS).

In conclusione, come per qualsiasi decisone o progetto strategico, le aziende (clienti e fornitori) dovrebbero valutare con adeguate competenze la situazione nel suo complesso ed i rischi che si potrebbe correre. Purtroppo tali competenze, informatiche, legali e gestionali spesso non sono presenti in piccole realtà poco strutturate che, quindi, rischiano di incorrere in problemi significativi e se poi trattano dati sensibili, in particolare dati sanitari, potrebbero veramente incorrere in perdite economiche e di immagine molto importanti.

La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni.

Il processo di gestione dei rischi comprende le seguenti fasi, descritte nel seguito:

1)      Identificazione dei rischi

2)      Analisi e ponderazione dei rischi

3)      Identificazione e valutazione delle opzioni per il trattamento dei rischi

4)      Scelta degli obiettivi di controllo ed i controlli per il trattamento dei rischi

5)      Accettazione dei rischi residui.

Le attività suddette vengono descritte nel Rapporto di valutazione dei rischi (Risk assessment report).

L’identificazione dei rischi che incombono sulla sicurezza delle informazioni avviene attraverso:

a)      L’identificazione degli asset significativi all’interno del SGSI: tale attività avviene come descritto nella procedura Identificazione e valutazione degli asset.

b)      La valorizzazione ai fini del SGSI degli asset rilevati: tale attività avviene come descritto nella procedura Identificazione e valutazione degli asset. La valorizzazione degli asset in termini di riservatezza, integrità e disponibilità avviene per singolo asset oppure per gruppi di asset omogenei ai fini del SGSI; nel seguito in entrambe le situazioni si utilizzerà il termine asset intendendosi anche “raggruppamento di asset”.

c)       Identificazione delle minacce/pericoli che incombono sugli asset: tale attività viene svolta valutando le minacce note della letteratura e quelle ipotetiche specifiche in relazione ai servizi svolti dall’organizzazione. Le minacce vengono associate agli asset (e quindi alle informazioni che essi gestiscono) e vengono valorizzate in una scala da 1 a 3 (Bassa, Media, Alta). La stessa minaccia può assumere un livello di gravità diverso a seconda dell’asset cui si applica..

d)      Identificazione delle vulnerabilità: tale attività viene svolta valutando le vulnerabilità note della letteratura, quelle ufficiali comunicate da fonti autorevoli e quelle ipotetiche specifiche in relazione ai servizi svolti dall’organizzazione. Le vulnerabilità vengono associate agli asset (e quindi alle informazioni che essi gestiscono) e vengono valorizzate in una scala da 1 a 3 (Bassa, Media, Alta). La stessa vulnerabilità può assumere un livello di gravità diverso a seconda dell’asset cui si applica.

e)      Identificazione degli impatti o conseguenze che la perdita dei requisiti di riservatezza, integrità e disponibilità possono avere sugli asset. Le conseguenze del concretizzarsi di una minaccia in grado di sfruttare una vulnerabilità vengono anch’esse valorizzate attraverso la formula seguente:

Impatto = Valore Asset x Gravità Minaccia x Gravità Vulnerabilità.

L’analisi e ponderazione dei rischi per la sicurezza delle informazioni identificati avviene attraverso:

a)      La valutazione della probabilità che si verifichino i singoli rischi identificati nella fase precedente. La probabilità di accadimento di un rischio avviene considerando gli incidenti verificatisi in passato e statistiche eventualmente disponibili. L’assegnazione di una livello di probabilità attraverso una scala qualitativa avviene secondo il seguente schema:

Valore	Descrizione	Esempio
1	Mai verificatosi ma possibile	Non è mai accaduto nella storia dell’organizzazione
2	Raro	Accaduto una volta all’anno
3	Periodico	Accaduto circa 3 volte l’anno
4	Regolare	Accaduto circa una volta al mese
5	Frequente	Si verifica settimanalmente

b)      Determinazione dell’indice di esposizione al rischio moltiplicando la gravità dell’impatto per la probabilità. Il risultato ottenuto sarà un valore da 3 a 81.

c)       Definizione dei criteri di accettazione dei rischi: si stabilisce un livello minimo di tolleranza dei rischi al di sotto del quale i rischi vengono accettati ed al di sopra del quale i rischi devono essere trattati con azioni mirate.

Relativamente alla identificazione e valutazione delle opzioni per il trattamento dei rischi, per i rischi che si è deciso di trattare, in ordine decrescente dal maggiore al minore, vengono scelte delle azioni di mitigazione del rischio, che possono consistere nelle seguenti opzioni:

• Ridurre il rischio attraverso l’applicazione di obiettivi di controllo e controlli preventivi e correttivi, finalizzati alla riduzione degli effetti (impatto) del verificarsi del rischio e/o alla riduzione della probabilità che si verifichi.
• Evitare il rischio attraverso l’applicazione di obiettivi di controllo e controlli finalizzati ad evitare che si concretizzino le situazioni che permettono al rischio di concretizzarsi, ovvero ridurre a zero la probabilità che l’incidente paventato si verifichi.
• Trasferire il rischio attraverso la stipula di polizze assicurative oppure l’esternalizzazione a fornitori di processi ed attività con la relativa presa in carico da parte del fornitore dei relativi rischi.

Tali azioni vengono documentate nel Piano di trattamento dei rischi. Esso deve definire le singole azioni da intraprendere, i tempi e le relative responsabilità e risorse per gestire i singoli rischi. L’efficacia delle azioni pianificate porterà ad un ricalcolo della valutazione dei rischi, ottenendo nuovi indici.

La scelta degli obiettivi di controllo e dei controlli per il trattamento dei rischi da attuare avviene in base dall’elenco dei controlli applicabili definito a partire dai controlli identificati a livello normativo (norme della famiglia ISO 27000) a cui si possono aggiungere altri controlli ritenuti utili.

I controlli vengono ritenuti applicabili o non applicabili, se applicabili possono essere attuati in modo completo o parziale. L’applicazione dei controlli può infatti essere ritenuta conveniente solo su alcuni processi/attività, in funzione della diversa esposizione al rischio che possiedono le varie attività svolte dall’organizzazione.

L’attuazione del piano di trattamento dei rischi porta all’accettazione dei rischi residui, ovvero ad evidenziare i rischi residui ritenuti accettabili, dato dall’insieme dei rischi valutati accettabili in sede di prima valutazione dei rischi ed i rischi residui trattati dalle azioni contenute nel piano di trattamento dei rischi.

Il piano di trattamento dei rischi riporta le seguenti informazioni:

1)      Elenco dei rischi da trattare;

2)      Descrizione delle relazioni fra il rischio e l’azione di trattamento del rischio prescelta;

3)      Descrizione delle relazioni fra il rischio e gli obiettivi di controllo ed i controlli selezionati per gestire il rischio.

Lo scopo della procedura Identificazione e valutazione degli asset (predisposta con riferimento alla ISO 27005 – Information technology — Security techniques — Information security risk management – Annex B – Identification and valuation of assets and impact assessment) dovrebbe essere quello di definire le modalità operative e le responsabilità per l’effettuazione e l’aggiornamento del censimento dei beni (asset) aziendali e la relativa valutazione, in termini di riservatezza, integrità e disponibilità delle stesse. In essa vengono stabiliti:

• la classificazione degli asset;
• l’identificazione di ogni asset che ha impatto sulla sicurezza delle informazioni;
• la valutazione quantitativa di ogni asset in relazione alla sua importanza per la sicurezza delle informazioni.

La classificazione degli asset potrebbe distinguere due categorie principali di asset:

1. Asset primari: processi/attività ed informazioni;
2. Asset di supporto: hardware, software, reti, personale, sito, struttura organizzativa.

Gli asset possono essere delle seguenti tipologie:

1. Information asset: dati digitali e non digitali, sistemi operativi, software applicativo, beni intangibili (conoscenza, marchi, brevetti, …).
2. Asset fisici: infrastruttura IT, Hardware, Sistemi di controllo, Servizi IT.
3. Risorse Umane: dipendenti, collaboratori esterni e consulenti.

L’identificazione e ed il censimento degli asset aziendali (asset inventory) ha lo scopo di identificare i requisiti di sicurezza (riservatezza, integrità e disponibilità) degli stessi e valutarne possibili vulnerabilità.

Ad ogni information asset deve essere associato un valore in termini di Riservatezza, Integrità e Disponibilità; tale valore viene espresso in termini qualitativi attraverso l’attribuzione di un  livello di importanza (Basso, Medio, Alto) a cui è associato un valore numerico crescente (1,2,3).

Ad ogni asset di supporto o asset non informativo (risorse fisiche e risorse umane) viene associato un valore in termini di criticità dell’asset, dato dalla somma dei valori di importanza dei requisiti dell’asset in termini di Riservatezza, Integrità, Disponibilità in funzione delle informazioni che esso gestisce. Dunque l’importanza di una risorsa per la sicurezza dipende dai requisiti di Riservatezza, Integrità e Disponibilità, espressi in livelli (Basso/Medio/Alto) a cui corrisponde il valore 1/2/3.

Di conseguenza il valore associato all’asset potrà variare da un minimo di 3 (Riservatezza=Basso + Integrità=Basso + Disponibilità=Basso) ad un massimo di 9 (Riservatezza=Alto + Integrità=Alto + Disponibilità=Alto).

Poiché gli asset possono essere di diversi tipi (risorse fisiche e risorse umane), la metodologia di valutazione dei requisiti di sicurezza delle informazioni è differente per ogni tipo di asset.

Il Valore dell’Asset in termini di sicurezza delle informazioni viene utilizzato nel Risk Assessment in combinazione con:

• le minacce che incombono sugli asset che possono sfruttare le vulnerabilità rilevate degli asset stessi;
• la probabilità che la minaccia si concretizzi in un incidente di sicurezza (delle informazioni);
• la gravità dell’impatto associato all’incidente.