Risk Management: i vantaggi derivanti dall’informatizzazione dell’analisi di vulnerabilità di un asset
In un glossario elaborato nel 20081 dall’Agenzia Federale americana per la Gestione delle Emergenze (Federal Emergency Management Agency – FEMA) vengono riportate 40 diverse definizioni di vulnerabilità, ciascuna delle quali riferita a uno specifico ambito di attività.
Il concetto di resilienza rispetto ad una determinata minaccia rappresenta il minino comune denominatore di molte tra le definizioni esposte. La vulnerabilità non ha, quindi, un reale significato in sé, ma lo acquisisce solo se inserita in un più ampio contesto di riferimento: il rischio.
Si tratta, dunque, di una variabile dipendente, la cui determinazione si innesta necessariamente in un più ampio processo di analisi e valutazione del rischio2. La vulnerabilità di un asset dotato dei medesimi sistemi di sicurezza varia in misura significativa, a seconda che lo stesso sia collocato a Berna o a Baghdad.
Si tratta di un ragionamento assolutamente intuitivo, ma che pone non poche difficoltà a livello operativo, rendendo necessaria la predisposizione di un sistema che sia, in primo luogo, flessibile (dunque, in grado di recepire variazioni nel livello della minaccia) ma che, al tempo stesso, offra al Datore di Lavoro parametri certi di riferimento sui quali basare le proprie considerazioni e i propri piani di intervento.
Il Vulnerability Assessment Tool (VAT) sviluppato da Ifi Advisory muove proprio da tali presupposti e mira a fornire una valutazione deterministica dei gap presenti nei sistema di protezione di un dato asset. Per sistemi di protezione, si fa riferimento non solo alle componenti di sicurezza attiva e passiva di cui dispone l’asset, ma anche all’organizzazione generale della security (il c.d. ‘fattore umano’), alla capacità di far fronte a eventuali situazioni critiche, alla compliance del Datore di Lavoro rispetto alle normative vigenti e ad altri ambiti che possano, a vario titolo, costituire delle vulnerabilità.
Tramite l’operazionalizzazione3 di standard e best practices internazionali, il VAT stabilisce, per ciascuno degli ambiti presi in considerazione (ognuno dei quali rappresenta, dunque, una diversa declinazione del concetto di vulnerabilità), un benchmark rispetto al quale individuare e misurare eventuali gap nel sistema di protezione.
Tale benchmark varia in funzione del livello di minaccia che caratterizza l’area ove è collocato l’asset, così da garantire il rispetto di quel principio di proporzionalità che deve essere alla base di ogni valutazione del rischio. La metodologia utilizzata dal VAT è quella della checklist, con domande a risposta chiusa che non offrono alcun margine di ambiguità, tenendo la valutazione dell’assessor entro binari ben definiti. In termini operativi, la determinazione del livello della minaccia (effettuata automaticamente dal sistema, grazie a un collegamento con un apposito tool4) si traduce nella creazione di una checklist ad hoc, ulteriormente personalizzata sulla base dell’indicazione della tipologia dell’asset oggetto di assessment.
Tramite un processo di aggregazione dei punteggi generati da ciascuna delle risposte data alle domande della checklist e attraverso uno specifico algoritmo di calcolo, il VAT restituisce un valore di sintesi, indicativo della vulnerabilità di un asset, ossia della sua resilienza rispetto a potenziali minacce di security individuate a monte. L’espressione del livello di vulnerabilità di un dato asset in un valore numerico di sintesi agevola le comparazioni di tipo sia sincronico (su più asset) sia diacronico (su uno stesso asset, in due momenti distinti).
Tale valore è espresso sotto forma numerica e si colloca su una scala che va da 0 a 100, suddivisa in cinque categorie ordinate di vulnerabilità. In questo modo, i risultati dell’assessment risultano di immediata intellegibilità, facilitando, inoltre, eventuali comparazioni.
L’utilizzo del VAT consente, dunque, di:
– sottrarre l’analisi di vulnerabilità alla soggettività e alla sensibilità dell’assessor, ancorandola, al contrario, a parametri stabili nel tempo e oggettivi;
– comparare un numero indefinito di asset, individuando eventuali gap comuni/ricorrenti;
– rafforzare il livello di protezione minimo degli asset, riducendo il numero di eventi dannosi;
– stabilire priorità di intervento, sulla base sia della vulnerabilità sia della criticità degli asset valutati5, così da rispettare eventuali limiti di budget e risorse;
– monitorare e misurare l’efficacia dei piani di mitigazione implementati a seguito di un assessment e, conseguentemente, delle performances del personale coinvolto nelle attività di security;
– individuare con chiarezza ruoli e responsabilità all’interno dell’Organizzazione, facendo luce su eventuali aree grigie che possano rallentare o ostacolare il processo di Risk Management;
– centralizzare le attività di Risk Management, offrendo al Datore di Lavoro una panoramica chiara e sempre aggiornata sui rischi ai quali è esposta l’Azienda.
Nel “De constantia sapientis”, il celebre filosofo Lucio Anneo Seneca dichiarava: “è invulnerabile non quel che non viene colpito, ma quel che non viene leso”. Mutatis mutandis, si può affermare che un’organizzazione è ‘invulnerabile’ quando è in grado di proteggere con efficacia i propri asset strategici, attività che non può però prescindere da una grande consapevolezza dei propri limiti e delle minacce, reali e potenziali, che è chiamata a fronteggiare.
Il VAT costituisce, a tale riguardo, uno strumento estremamente prezioso, in grado di razionalizzare l’intero processo di Risk Management e di garantire un supporto, di carattere anzitutto metodologico e organizzativo, ai Security Managers e ai Datori di Lavoro.
di Umberto Saccone, Presidente di IFI Advisory
1 “Guide to emergency management and related terms, definitions, concepts, acronyms, organizations, programs, guidance, executive orders & legislation”, FEMA, 27/10/08, http://bit.ly/2E15mox
2 Sono molteplici le formule utilizzate per calcolare il rischio, ciascuna delle quali presenta dei pro e dei contro, a seconda dell’ambito nel quale si opera. In questa sede, utilizzerò quella che vede il rischio come funzione della Minaccia, della Vulnerabilità, della Probabilità di accadimento di un evento dannoso e dell’Impatto che tale evento produrrebbe sull’asset; R = f (M, V, P, I).
3 Per processo di operazionalizzazione, si intende, in questo caso, la declinazione delle normative e delle best practices internazionali in indicazioni puntuali e mirate, dunque verificabili e misurabili.
4 http://www.ifiadvisory.com/it/thesys/
5 Il sistema consente di stabilire la criticità dell’asset, facendo riferimento alla logica del c.d. ‘worst case scenario’. Nello specifico, la determinazione del livello di criticità fa riferimento al valore economico dell’asset e al personale ivi operante.
