Mentre il mondo della Security è in procinto di solcare le perigliose acque del quadridimensionale oceano intergalattico della cyber e quello della politica è alle prese con il pensiero solare che espande i suoi raggi all’ipertecnologizzazione ontologica dell’infosfera globale, chi scrive ha deciso di tornare all’onfalo, ai fondamentali cioè della professione: l’analisi del rischio.
Chissà per quale ragione quando si parla di analisi del rischio qualcuno sventola le solite tabelline cromatiche (rigorosamente in excel!) e i conticini derivanti dall’applicazione della formulina: rischio=probabilitàXdanno.
Grazie. È come se a un meccanico venisse mostrato il modello in miniatura di un’auto. Risponderebbe: “Sì, ma dov’è l’auto? Vorrei sentire e mettere mano al motore”.
Se poi anche noi giungessimo finalmente alla conclusione cui Nassim Nicholas Taleb giunse 15 anni or sono, ovvero che la probabilità non esiste in quanto tutto è destinato ad accadere, perfino l’implausibile, smetteremmo di fare pure l’elementare moltiplicazioncina in quanto rischio=danno, un assioma.
Da circa un quarto di secolo, ormai, mi domando se la vera analisi e gestione dei rischi di Security si faccia davvero nelle aziende.
Valutare i rischi collocandoli all’interno di una griglia come quella in fig. 1 è stretching prima di una maratona. Non bisognerebbe mai perdere di vista l’oggetto dell’analisi: l’asset o gli asset meritevoli di tutela. La prima azione dell’analista, dunque, sarà quella di classificare tutti gli asset (materiali e immateriali) di cui si compone l’azienda. Si protegge lo specifico asset, non la sua astrazione. Ogni azienda, infatti, ha il suo patrimonio, diverso da quello di qualsiasi altra. Su quell’asset, poi, gravano differenti minacce che si estrinsecano in molteplici attacchi, condotti da “agenti” che sfruttano le vulnerabilità dell’asset medesimo. Minacce, attacchi, agenti, vulnerabilità vanno anch’essi tutti doverosamente mappati.
Sempre su quell’asset, in funzione del suo livello di esposizione, verranno installate contromisure caratterizzate da un differente grado di robustezza che, a loro volta, appartengono a determinate famiglie di contromisure. Famiglie di contromisure e contromisure devono essere anch’esse censite e costantemente aggiornate sia sotto il profilo tecnologico sia sotto quello dei costi di mercato. Solo una volta fatto tutto questo, disporremo di una “Base di conoscenza” completa, personalizzata e dinamica che, variando al variare del contesto, ci permetterà di lavorare e di attribuire fondamento scientifico all’analisi e, conseguente, gestione dei rischi. È bene, infatti, che il Decisore possa conoscere i costi cui va incontro per la mitigazione dei rischi contando su informazioni puntuali e aderenti alla propria realtà e non a quella di un’altra azienda, ancorché operante all’interno dello stesso settore di business.
Per l’improbo lavoro tassonomico è necessario costituire un gruppo dedicato (interno o esterno), interdisciplinare e con grande esperienza di business che, oltre a popolare la base di conoscenza, correlerà tra loro i singoli elementi. Poiché si formeranno decine di migliaia di univoche terne relazionali, risulterà indispensabile l’utilizzo di un software che alla funzione di repository sommerà quella di elaborazione e gestione dati.
Impossibile affrontare la risk analysis e risk treatment in assenza di un applicativo. Che sia chiaro! La creazione di un database del genere è patrimonio aziendale esso stesso (si pensi all’incommensurabile know how) che può trasformarsi in interessante e inaspettata fonte di ricavi attraverso la commercializzazione del prodotto sviluppato. Ad oggi, veri e solidi applicativi di analisi del rischio sono solo diciassette e l’ENISA (European Union Agency for Cybersecurity) li riporta tutti fedelmente sul suo sito con una sintentica descrizione (chi scrive ha contribuito alla creazione di una delle diciassette metodologie).
Tuttavia, parte di esse risulta datata e parte inadeguata a soddisfare le complesse e variegate esigenze di business. Il tempo, in fondo, passa per tutti. Pertanto, di fronte a una offerta poco sollecita nell’intercettare o prevenire i bisogni della domanda e a costi interni esorbitanti per la realizzazione di un applicativo del genere, l’azienda cosa fa? Semplicemente non fa. E il Security Manager che fa? Compila, come gli è stato insegnato sui banchi di scuola, qualche tabella in excel (come in fig. 1) per poter dimostrare di aver smarcato e archiviato il tema. Quella, tuttavia, non è analisi del rischio, è altro. Non farla, purtroppo, significa rinunciare di fatto al cuore del proprio lavoro e concorrere alla mortificazione di quest’ultimo.
Se dagli Anni ’70-’80 ai giorni nostri sono stati sviluppati 17 applicativi (solo 1 in Italia! La Francia guida la classifica con 3, seguono UK e USA con 2) qualcosa evidentemente non funziona. Il Security Manager dovrebbe fare quello, poi occuparsi del resto. E prima di fare quello dovrebbe individuare i punti deboli dell’azienda, poiché è proprio sui weak points (siano essi un processo, un servizio, una infrastruttura, un’applicazione, ecc.) che dovrà concentrarsi l’attenzione del Security Manager per orientare e dirigere al meglio l’analisi del rischio. Ma per individuare i punti deboli non è cosa facile, ci sono metodologie anche per questa attività. Insomma, si tratta di un lavoro alquanto complicato e, certamente, non immediato. Sono probabilmente questi due fattori che uniti alla ricerca del proprio stato di serenità permanente (naturale inclinazione umana) ad aver favorito in azienda la nascita di una pletora di altre professioni “risk oriented” come: il Risk Manager/Risk Officer, il Business Continuity Manager, l’Ethic Officer, il Compliance Manager, il Fraud Manager, il Crisis Manager, l’Internal Auditor, il Safety Manager, l’Information Security Manager.
L’analisi e la gestione del rischio, quindi, non è più prerogativa del Security Manager, forse non lo è mai stata. Diciamocelo. E siccome le aree di sovrapposizione cominciano ad essere parecchie, è opportuno che qualcuno, magari quello meno intraprendente rispetto agli altri, si faccia definitivamente da parte. Chi?
Quando mossi i primi passi in questa professione, Giulio Carducci mi ricordava che il Security Manager doveva essere, in primis, un fior di analista. “Un professionista – non mi stancherò mai di ripeterlo – con i calli alle mani e al cervello” che doveva avere pratica e dimestichezza con il “motore” della metodologia. Da allora a oggi un migliaio di persone in Italia si sono certificate in questo mestiere (contro la dozzina dell’inizio degli Anni 2000, cioè in tempi non sospetti), ma di applicativi non se ne vedono. E meno ancora si vedono persone che ne facciano uso.
