Ciclo idrico: un banco di prova per l’analisi integrata dei rischi (Parte II)
Ciclo idrico, un banco di prova per l’analisi integrata dei rischi: Treatment.
L’analisi e gestione del rischio vere e proprie si fondano su una terna relazionale:
• Asset (bene da proteggere);
• Minacce/Attacchi che insistono su tali asset;
• Contromisure da attuare per la mitigazione del rischio.
Le relazioni teoricamente possibili (RTP) sono il risultato del prodotto tra il numero di ciascuno dei suddetti componenti (asset – minacce – contromisure).
Fig. 1 – Relazioni teoriche possibili
L’individuazione e classificazione degli asset è stata ampiamente illustrata nella Parte I del presente articolo, pertanto non ci soffermeremo sull’argomento.
Un lavoro analogo (individuazione e classificazione) dev’essere affrontato anche per le minacce e le contromisure. Le minacce, come noto, possono essere di natura fisica o logica, le prime danneggiano in modo più o meno grave la struttura dell’asset, le seconde, invece, colpiscono le informazioni in transito nei circuiti tecnologici presenti al loro interno.
Fig. 2 – Individuazione minacce
Individuate le minacce, si procede all’associazione tra queste ultime e gli asset cui risultano pertinenti. Successivamente si identificano le contromisure, ovvero quelle soluzioni tecnologiche utili ai fini del contenimento dell’effetto dannoso dei rischi a cui gli asset sono esposti.
Anche le contromisure sono suddivise in fisiche e logiche e, a loro volta, in attive, passive e umano-metodologiche. L’identificazione delle contromisure offerte dal mercato e connotate da un idoneo grado di “istanziazione” è operazione di fondamentale importanza da condurre in modo scrupoloso allo scopo di mitigare il rischio.
Fig. 3 – Individuazione contromisure
Relazionate le contromisure alle minacce e, di conseguenza, le contromisure agli asset, si otterrà un set di contromisure da realizzare/installare di cui sarà edotto il Decisore affinché il livello di rischio si riduca rientrando così all’interno del range di risk appetite definito ab origine dall’Organizzazione.
Il vero elemento innovativo della metodologia sviluppata per la filiera idropotabile consiste nell’integrazione degli aspetti di natura fisica con quelli di natura logica. Un procedimento reso indispensabile in ragione, da un lato, del crescente utilizzo delle tecnologie in ambito industriale e, dall’altro, dell’importanza della minaccia cyber che, al pari di quella fisica, è in grado di determinare danni che possono comportare il blocco completo del sistema e, quindi, del servizio erogato (denial of service).
di Cristhian Re e Federica Belleggia