Home » News » Attualità

L’ANALISI DEL RISCHIO. Fondamenti di metodo (Parte II)

L’ANALISI DEL RISCHIO. Fondamenti di metodo (Parte II)

Quante volte abbiamo sentito una frase del genere? “Presto, facciamo l’analisi del rischio, dobbiamo mettere in sicurezza l’azienda”. Parole che suonano ai più come quelle di Virgilio ai riottosi spiriti infernali:


Vuolsi così colà dove si puote
ciò che si vuole, e più non dimandare
” 

Agli addetti ai lavori, invece, un’apodissi a metà strada tra la guasconata e la boutade per due ordini di ragioni:

i. non si giungerà così istantaneamente a mettere in sicurezza l’intera azienda, ma più verosimilmente segmenti di essa. Solo per “accrezione”, cioè attraverso un lavoro incrementale e graduale, si riuscirà ad abbracciare l’azienda nella sua interezza. Il rischio – come insegnano i manuali – non potrà mai essere azzerato in quanto per definizione è “l’effetto dell’incertezza sugli obiettivi” [Guida ISO 73:2009];


ii. non si inizia d’emblée a fare l’analisi del rischio perché qualcuno, perdonate la punta di sarcasmo, vuolsi così…

Data per assunto l’esistenza di un adeguato sostegno da parte del vertice aziendale, di proporzionate risorse e di una congrua disponibilità di budget, occorre un metodo e, con esso, una metodologia ovverosia lo studio del metodo prescelto. Il metodo – μá½³θοδος composto di μετá½± (dietro) + ὁδá½¹ς (via) – letteralmente significa: l’andar dietro, via per giungere a un determinato luogo o scopo. Il modo, la via, il procedimento seguito nel perseguire uno scopo, nello svolgere una qualsiasi attività, secondo un ordine e un piano prestabiliti in vista del fine che s’intende raggiungere.

Non è importante quale metodo(logia) utilizzare, in fondo uno vale l’altro. È essenziale averlo. L’Enisa European Union Agency for Network and Information Security – pubblica sul suo sito (www.enisa.europa.eu) le metodologie di analisi del rischio presenti sul mercato e i relativi software (solo per citarne alcuni: CRAMM, ISAMM, MIGRA, EBIOS, OCTAVE, ecc.) e offre, attraverso le sue mirabili sintesi, un utile quadro sinottico.

Inoltre, prima di cimentarsi nell’analisi del rischio è bene sapere cosa si vuole proteggere ovvero conoscere il patrimonio aziendale, “il valore economico costituito dall’insieme di capitale intellettuale e di asset tangibili. Il capitale intellettuale è la conoscenza a disposizione in un’impresa e capace di generare vantaggio competitivo, come il capitale umano, il capitale delle relazioni e il capitale dell’organizzazione (capitale strutturale, asset intangibili e proprietà intellettuale). Gli asset tangibili sono rappresentati, invece, dal capitale reale costituito a sua volta dal capitale fisico e da quello finanziario”.

Preliminari assolti, possiamo addentrarci in questa attività che si fonda su tre elementi tra loro saldamente legati al punto da costituire una molecola inscindibile, una terna relazionale, la c.d. “triade”: asset-attacco-contromisura.

Cristhian Re

L’asset è una risorsa (o entità) del perimetro di intervento che si ritiene necessiti di protezione in quanto potenzialmente esposta al rischio di attacchi. L’attacco è la modalità attraverso cui una specifica minaccia si estrinseca, anche in relazione alle caratteristiche tecnologiche dell’asset interessato. La contromisura o misura di sicurezza è lo strumento atto a contrastare le minacce/attacchi.

Ciascuno di questi elementi, opportunamente “istanziato” (il termine istanziato deriva dalla teoria degli oggetti e sta ad indicare una particolare “incarnazione” di una classe di oggetti. Mario, Antonio, Giulio sono tre diverse istanze della classe uomo. Anna, Rosaria, Giovanna sono altrettanto della classe donna), costituirà attraverso un predefinito e articolato percorso tassonomico, la c.d. “base di conoscenza”, uno speciale database per la gestione (raccolta, codificazione, strutturazione, organizzazione, condivisione, diffusione) della conoscenza appunto (dati e informazioni), diversa a seconda del settore del business in cui opera l’azienda e al contesto cui fa riferimento, che contribuisce alla creazione di un vero e proprio sostrato. Un sostrato così specifico da risultare unico.

La base di conoscenza contiene infine tutte le terne relazionali generate dalle possibili e univoche combinazioni tra asset, attacchi e contromisure. Ogni combinazione c.d. “pertinente” esprime una ed una sola triade. Qualora un asset sia soggetto a n attacchi, ai quali corrisponde una sola contromisura, si formeranno n triadi. Un attacco, invece, che preveda m contromisure produrrà per ciascuno di essi una proliferazione di m triadi; si verrebbero così a costruire un numero di triadi pari a: Σ(n * m).

Cristhian Re

Anche la più elementare delle basi di conoscenza costituita, ad esempio, da qualche centinaio di asset, attacchi e contromisure genererà milioni di triadi. Anche chi avvezzo alla matematica non è, di fronte a tali numeri non può non provare un senso di vertigine misto a sgomento, come si diceva ab initio. Appare oltremodo evidente che un’attività di analisi del rischio non può essere condotta senza l’ausilio di un software ad hoc. Non un software qualsiasi bensì quello che risponde esattamente e fedelmente alle esigenze dell’azienda, attagliato come un abito di altissima sartoria. I prêt-à-porter, cioè quei capi di abbigliamento confezionati in serie in un’ampia gamma di taglie, sia pur firmati da valenti stilisti, non sempre calzano a pennello. Peggio ancora se, in un conato di risparmio, ci si volesse rivolgere al noto sarto dietro l’angolo in grado di cucire insieme della stoffa da gettare sulle spalle del buon Quasimodo, orrendo storpio.

Cristhian Re
Fonte: C. Re, “La misura della sicurezza” 

Se volessimo stilizzare con un diagramma un generale processo di analisi del rischio potremmo rappresentarlo così, suddiviso in quattro fasi: dove la prima fase c.d. di “modellizzazione del perimetro di intervento” (costituita da due distinte sotto-fasi: individuazione del perimetro d’intervento e istanziazione degli asset) rappresenta l’attività decisamente più complessa e più onerosa in termini di risorse, energie, tempo.

Decidere con oggettività quali elementi siano da includere e quali altri, invece, siano da escludere dal nostro perimetro, delimitandone esattamente i confini, non è cosa facile né immediata. Tale fase, inoltre, è caratterizzata da una dinamicità di tipo analitico-speculativa, mentre le restanti tre da logiche prettamente meccanicistiche. Compiere la modellazione di un perimetro di intervento è come per il saltatore con l’asta il valicamento dell’asticella. La ricaduta nella fossa (il materasso) è un mero automatismo.

di Cristhian Re

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.