Home » News » Attualità

L’ANALISI DEL RISCHIO. I rischi in assenza di metodo (Parte III)

di Cristhian Re - 18 Marzo 2016
L’ANALISI DEL RISCHIO. I rischi in assenza di metodo (Parte III)

Terminiamo, dunque, questa lunga dissertazione suddivisa in quattro parti (una introduzione generale e tre sezioni con un grado di tecnicismo via via crescente) sull’analisi del rischio iniziando – perdonate la locuzione ossimorica – dal primo e imprescindibile elemento: il perimetro di intervento (PI)

Cristhian Re

Un PI può essere rappresentato da: un processo, un servizio, una specifica infrastruttura, un’applicazione, ecc. Come già accennato, un PI i cui confini coincidono con quelli dell’intera Azienda o anche solo di un sito risulta troppo vasto e di difficile gestione. Più verosimile e attuabile procedere da una porzione di esso, purché sia funzionalmente e topologicamente omogenea. Tale criterio di azione consente di giungere per “accrezione”, cioè per progressiva accumulazione, al sito o all’Azienda nella sua interezza.

Il numero degli asset è determinato dalla realtà aziendale in cui si opera, dalle esigenze e, finanche, dalla sensibilità dell’analista. È realisticamente improbabile che si effettuino tante analisi del rischio quanti sono gli asset. Più razionale e pratico, invece, aggregare tra loro quelli omogenei per finalità, funzionalità, rilevanza, contromisure installabili, ecc. in modo da costituire degli insiemi.

La storia lontana ci indica come procedere. Immaginiamo la nostra Azienda come un castrum, l’accampamento o meglio, la fortificazione, nel quale risiedeva in forma stabile o provvisoria una legione romana. Le rigide geometrie del castrum contenevano un mondo straordinariamente ordinato, organizzato, efficiente e funzionale al cui interno tutti gli elementi erano connessi tra loro e rispondevano a un preciso scopo sia in tempo di guerra sia in tempo di pace. Il centro amministrativo risiedeva nei Principia, edifici collocati (non a caso) di fronte a quelli dove era alloggiato il comandante della legione, il Praetorium. Accanto a questi sorgevano quelli dei tribuni militari e i baraccamenti dei legionari e dei loro centurioni. Ogni struttura era atta a ospitare un certo numero di legionari e ciascuno di essi aveva a sua disposizione un pre-definito numero di metri quadrati. E poi ancora gli immancabili: ospedale militare (Valetudinarium), granai (Horrea), fabbriche di armi (Fabricae). In alcuni casi anche le terme, la prigione e, rigorosamente fuori delle mura del campo, l’anfiteatro.

Il castrum rappresenta idealmente la nostra Azienda. Supponiamo, ora, di identificare – nell’ambito dei tre domini di sicurezza – vari elementi organici tra loro (in grado, cioè, di poter costituire degli insiemi) e diamo loro un nome (componenti: C1, C2, C3… Cn).

Cristhian Re

Fonte: C. Re, “La misura della sicurezza” 

Terminata questa operazione, procediamo all’aggregazione in insiemi (sotto-perimetri):

Cristhian Re

 

Tra la fase iniziale di individuazione e quella ultima di aggregazione, vi è una intermedia: la  classificazione dei componenti in funzione della loro criticità. Essi devono essere presi in esame allo scopo di determinare la loro rilevanza per l’azienda e quanto gli stessi contribuiscano, direttamente o indirettamente, al conseguimento della mission aziendale e dell’efficienza di gestione. In sostanza, si deve valutare il loro contributo al raggiungimento del successo/competitività dell’azienda e il loro posizionamento rispetto alla mission aziendale. Nella tavola che segue si presenta come una matrice i cui elementi sono in un piano cartesiano. In ascisse è riportata una scala finalizzata ad esprimere il posizionamento dei componenti in relazione alla loro prossimità alla mission aziendale. I suoi valori indicano non solo la collocazione nel contesto aziendale ma anche il peso che rivestono:

Cristhian Re

In ordinate è espressa un’analoga scala, crescente verso l’alto, finalizzata alla classificazione del componente mediante la valutazione del contributo al successo/competitività raggiunta dall’azienda in termini di: marginale, poco influente, rilevante o determinante. La determinazione della criticità si realizza stabilendo per ciascun componente prima il posizionamento rispetto alla mission e, successivamente, il contributo al successo/competitività raggiunta dall’azienda. Il valore del componente (Vc) risulta funzione dei valori del parametro1 (posizionamento rispetto alla mission aziendale – Pm) e del parametro2 (contribuzione al successo/competitività dell’azienda – Cs) secondo la relazione:

Vc = Pm * Cs

I componenti censiti (in questo esempio: 37 di natura fisica e 18 di natura logica) saranno collocati all’interno delle celle della matrice e verrà loro assegnato un valore, come nell’esempio:

Cristhian ReOgnuno dei componenti (fisici e logici), come già anticipato, fa parte di un insieme che ne aggrega altri tra loro omogenei. Pertanto, la tavola precedente sarà così riordinata:

Cristhian Re

Cristhian Re

Graficamente gli insiemi si collocheranno così:

Cristhian Re

 

Sugli assi cartesiani sono stati riportati i valori degli insiemi distinti per fasce in relazione al numero dei componenti. Immediate le considerazioni circa la rilevanza di ciascuno.

Nel domino della sicurezza fisica, quanto descritto non necessita di ulteriori spiegazioni; ogni insieme costituisce un potenziale PI su cui effettuare un’analisi del rischio procedendo direttamente dalla classificazione. Sarà compito dell’analista escludere, eventualmente, quei componenti caratterizzati da un alto livello di copertura, da bassa criticità o da ridotta significatività.

Per quanto riguarda, invece, l’ambito logico si rende opportuna una chiosa. Chi ha dimestichezza con l’analisi del rischio può ritenere si tratti di eresia in quanto – come metodologia insegna – è il componente a ereditare la classe di criticità del macrodato e non viceversa. Tuttavia, sul piano teorico possiamo affermare che il rapporto tra componenti e macrodati sia 1:n, cioè su un componente di natura logica (ad esempio: server, lap top, workstation, ecc.) potrebbero risiedere indifferentemente tutte le tipologie di macrodati (come quelli del personale dipendente, di marketing, commerciali, finanziari, tecnici, ecc.).

Pertanto, definiti aprioristicamente dei PI standard verso cui orientarsi, l’analista può concentrarsi in seconda battuta sull’attività di associazione del macrodato al componente e di successiva classificazione, con un notevole risparmio di tempo. I valori assegnati ab origine ai vari componenti logici vengono attribuiti tenendo presente l’assunto sopra enunciato. In altri termini, l’analista procederà a ritroso come raffigurato nello schema:

Cristhian Re

Fonte: C. Re, “La misura della sicurezza”

Tale operazione semplifica e indirizza le decisioni e le azioni dell’analista. Da ora in poi si procede nell’analisi del rischio secondo una modalità meccanicistica (grazie all’immancabile ausilio di un applicativo di analisi del rischio), dove i passaggi sono guidati e ben definiti e le maggiori difficoltà derivano unicamente dalla capacità di coinvolgimento dei process owner (detentori delle informazioni) i soli in grado di fornire le informazioni richieste rispondendo al questionario di classificazione.

Di lì al termine dell’attività il passo è breve come per il saltatore d’asta durante la fase di discesa. 

di Cristhian Re

Per leggere l'introduzione dell'Analisi del rischio cliccare qui
Per leggere la prima parte dell'Analisi del rischio cliccare qui
Per leggere la seconda parte dell'Analisi del rischio cliccare qui

Condividi questo articolo su:
Articoli correlati
ELAN - Antonio M. Sciarrillo Brancalassi
Attualità

ELAN: quando il business è in primo luogo relazione

S News incontra Antonio M. Sciarrillo Brancalassi, da fine 2024 nuovo Direttore Commerciale di ELAN. ELAN è un’azienda molto dinamica e con una lunga storia. Com’è lavorare in ELAN? Sono...
24 Giugno 2025 - Monica Bertolo
Salvatore Lamaestra - Evento NEXTtec
Attualità

Lamaestra e le novità della CEI 79-3 all’evento per i 20 anni di NEXTtec

Tra i relatori all’evento per celebrare i vent’anni di NEXTtec, nella raffinata cornice del Rivoli Hotel, a Rivoli città sede dell’azienda, nei pressi di Torino,  il dottor Salvatore Lamaestra, che...
23 Giugno 2025 - Redazione
CEI Corso di alta formazione
Smart Buildings

Corso di Alta Formazione CEI: progettazione degli impianti elettrici

Il CEI, Comitato Elettrotecnico Italiano, organizza la quarta edizione del Corso di Alta Formazione “Progettazione degli impianti elettrici”, a seguito del successo ottenuto dalle prime tre edizioni, iniziate nel 2022...
23 Giugno 2025 - Redazione
Altre news da: Attualità
Paola Barzaghi Benessere al Lavoro
Attualità

Qui e ora. Come fare il punto sulla propria situazione lavorativa, in modo sincero e attento

Paola Barzaghi, psicologa, esperta di psicologia del lavoro, counselling e coaching, per la rubrica di S News Ben-Essere al Lavoro si cimenta su un tema importante: “Come fare il punto sulla propria situazione...
23 Giugno 2025 - Redazione
Lorenzo Spadoni Motorola Solutions
Attualità

Motorola Solutions: chi è oggi e chi vuole diventare. Intervista a Spadoni

S News presente al CCW 2025 (Critical Communications World) tenutosi a Bruxelles dal 17 al 19 giugno, incontra nello stand di Motorola Solutions Lorenzo Spadoni, Direttore Vendite Southern and Western...
20 Giugno 2025 - Monica Bertolo
ANIE studio
Attualità

ANIE e lo studio “Verso una nuova competitività industriale europea: il ruolo strategico dell’Elettrotecnica e dell’Elettronica”

ANIE ha celebrato i suoi 80 anni di storia, innovazione e sviluppo al fianco delle imprese socie, protagoniste della crescita tecnologica e industriale del Paese con l’evento “Da 80 anni...
19 Giugno 2025 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.