3. L’importanza di analizzare i rischi (e non solo quelli cyber…)
"Il mondo è molto più imprevedibile di quanto tu non creda" - Richard Zeckhauser

In ogni attività umana è presente il rischio, semplicemente perché non siamo in grado di prevedere e controllare tutto.


Alcuni esempi:

non possiamo sapere se bucheremo una gomma andando all’aeroporto, quale sarà il prezzo dell’energia tra 6 mesi, se si romperà il frigorifero in piena estate, se una tromba d’aria scoperchierà il tetto.


Non possiamo saperlo, ma possiamo prevedere eventi che possono accadere ed implicitamente assegnare loro, soggettivamente, una probabilità.


La criticità di un rischio dipende dall’importanza che diamo all’oggetto del rischio:

il volo da prendere, il costo dell’energia, il frigorifero in piena estate, il tetto della casa.


Anche riducendo al minimo le nostre attività non riusciremo ad azzerare i rischi, ma conoscerli ci consente di prendere decisioni consapevoli.


Un’azienda che opera sul mercato è un soggetto attivo e quindi esposto a numerosi rischi.


Lo scopo dell’analisi dei rischi è conoscere gli eventi che possono verificarsi, stimarne la probabilità di accadimento e le conseguenze per il soggetto o l’organizzazione nel caso si verifichino.


È necessario definire quali parti dell’azienda si prendono in considerazione (l’ambito), le situazioni in cui l’azienda opera (il contesto) e l’arco temporale a cui si riferisce l’analisi.


Molte delle informazioni che servono provengono dagli “inventari” delle informazioni, processi, tecnologia e persone che dobbiamo avere già a disposizione (vedi 2. Cosa dobbiamo proteggere?), altre sono ricavabili da ricerche e report attinenti, ma il contributo fondamentale è quello degli “Esperti” dell’Azienda.


Il risultato dell’analisi è un catalogo o (registro dei rischi), ordinato per importanza (probabilità per impatto).


L’analisi quantitativa rende i rischi confrontabili attraverso una metrica comune, ad esempio il costo, e questo rende all’Azienda, con il supporto del Fractional CISO, più agevole il compito di decidere priorità e tipo di risposta per ogni rischio.


I rischi a priorità più alta sono approfonditi con analisi di scenario che simulano le diverse situazioni possibili per fornire una valutazione più accurata dell’entità dell’impatto e dell’efficacia degli interventi di mitigazione.


Anche i rischi a priorità inferiore sono inseriti nel Programma di Sicurezza, ma pianificati per essere affrontati in seguito.