Evitare il rischio: si modifica l’attività per far scomparire il particolare rischio in questione Per esempio, nel corso di una valutazione del rischio si scopre che

il sito web lascia visualizzare le fatture dei fornitori ad utenti non autorizzati. In questo caso il Management potrebbe decidere ad esempio di evitare il rischio rimuovendo le pagine web vulnerabili e fornendo le fatture ai fornitori attraverso un meccanismo alternativo.

L’approccio più comune è la mitigazione del rischio che prevede la creazione di meccanismi di controllo che riducano le possibili perdite accoppiati a sistemi di monitoraggio e analisi dei rischi. La gravità del rischio influenza direttamente la complessità e la quantità dei meccanismi di controllo. Gli altri approcci hanno costi e impatti spesso insostenibili (ad esempio per evitare il rischio) o proteggono solo parzialmente dal rischio di perdita, come nel caso di trasferimento del rischio.

34 La rappresentazione grafica dei concetti esposti si concretizza nella cosiddetta matrice di gestione del rischio, riportata di seguito:

IMPATTO

ALTO MODERATO BASSO

PROBABILITA’

ALTO ALTO ALTO MODERATO

MODERATO ALTO MODERATO BASSO

BASSO MODERATO BASSO BASSO

Matrice di gestione del rischio

Le principali e più diffuse misure di sicurezza che possono essere attuate per attenuare i diversi tipi di rischi informatici sono riepilogate nella seguente tabella, e saranno discusse nel dettaglio nei prossimi paragrafi.

Rischio Misura di sicurezza

Disastri naturali Disaster Ricovery Plan

Sicurezza dei dati Backup; codice di accesso; controllo password; impronta digitale; stampa palmare; scansione della retina; riconoscimento vocale

Virus Monitoraggio dell’utilizzo dei computer;

procedure di revisione straordinaria; utilizzo esclusivo di software forniti dall’azienda; scansione anti-virus e rimozione virus

Rischi strategici Brevetti; ricerca innovativa di nuove modalità per competere con i concorrenti; pianificazione formale e controllo delle procedure

35 Misure per la riduzione delle perdite da disastri naturali

sia a livello applicativo che a livello interorganizzativo, i CIO considerano i disastri naturali le minacce con il livello più elevato di rischio. Di conseguenza, la redazione del

Disaster Recovery Plan assume un’importanza fondamentale, grazie alla correlazione

positiva tra la probabilità di un completo recupero di un'organizzazione da un disastro e l'esistenza di un piano di ripristino di emergenza. La redazione del Disaster Recovery è stata definita come "il processo di sviluppo e mantenimento di un efficace piano scritto

di come le organizzazioni continueranno ad operare in caso di interruzioni delle funzioni aziendali”.

Un DRP può aiutare un'organizzazione ad evitare le notevoli perdite di business dovute alle interruzioni aziendali, quali la perdita di entrate, i clienti persi e la perdita di quote di mercato. La redazione del Disaster Recovery può anche ridurre le perdite che influenzano indirettamente le prestazioni di un'organizzazione in caso di disastro, come ad esempio quelle derivanti dallo stress degli impiegati, dall’esposizione legale, dai premi assicurativi e dall’insoddisfazione dei clienti, aiutando quindi a generare consapevolezza tra i dipendenti circa gli effetti secondari di un disastro.

Misure per la riduzione dei rischi per la sicurezza dei dati

I rischi per la sicurezza dei dati possono derivare dall'accesso non autorizzato alle risorse IT in un ambiente autonomo o in rete. Anche l'accesso autorizzato può rappresentare un rischio potenziale sotto forma di sabotaggio. Per un sistema autonomo, la sicurezza dei dati può essere migliorata generando file di backup e introducendo codici di accesso e password di accesso. Altri metodi per limitare l'accesso ai soli utenti autorizzati sono l'impronta digitale, la stampa palmare, l'analisi della firma, lo screening retinico e il riconoscimento vocale. Il metodo dell'impronta digitale richiede l'abbinamento dell’impronta digitale al momento di effettuare un accesso IT con quella del modello dell’impronta stessa pre-immagazzinato. La stampa palmare richiede la scansione del palmo della mano per l'identificazione. Lo screening della retina comporta la scansione del reticolo dei vasi sanguigni nella retina dell'occhio per confrontarli anche in questo caso con un'immagine pre-memorizzata. Il

36 riconoscimento vocale confronta la voce dell'utente con il relativo modello vocale pre- memorizzato. In caso di sabotaggio da parte di un utente autorizzato, queste misure sono assolutamente efficaci.

In un ambiente in rete, invece, la crittografia dei dati offre una misura di sicurezza efficace. La crittografia comporta la codifica del testo normale in un testo non leggibile durante la trasmissione. Molte aziende si servono della protezione crittografica per proteggere i dati che passano attraverso le reti.

Misure per ridurre i rischi da virus informatici

Sono disponibili diverse misure per prevenire l'infezione da virus informatici. Questi includono l'utilizzo di password, procedure di backup, istruzione dei dipendenti, politiche di sicurezza coerenti, utilizzo esclusivo di software forniti dall'azienda, utilizzo di software per la scansione di virus e rimozione virus, procedure di controllo rigorose e monitoraggio dell'utilizzo dei computer.

Misure per ridurre i rischi strategici

I rischi strategici derivano principalmente dall'incapacità di un'organizzazione di sostenere il suo vantaggio competitivo dall'uso dell'IT. In tal senso, il primo passo verso la gestione dei rischi strategici è quello di comprenderli, la cui chiave risiede nella capacità dell'organizzazione di prevedere i vantaggi a lungo termine di un nuovo sistema, di valutare le risorse e le capacità dei suoi potenziali concorrenti, valutare il proprio potenziale finanziario e tecnico ed allineare la propria strategia IT alla strategia di business globale dell’azienda. Solo dopo aver valutato con attenzione i propri rischi strategici, un’organizzazione può adottare le misure più idonee a gesterli. Le misure più comuni sono due: la prima è la protezione con brevetto, che impedisce alle imprese concorrenti di copiare il sistema, offrendo quindi un vantaggio competitivo; la seconda è quella di indulgere in un'innovativa ricerca di nuovi modi per competere. Inoltre, anche le tecniche di pianificazione e controllo formali, l'utilizzo

37 di consulenti esterni o di un apposito comitato direttivo possono aiutare un'impresa a mitigare i rischi strategici.

Misure per ridurre i rischi legali

Le organizzazioni che utilizzano l'IT per un vantaggio competitivo possono anche affrontare rischi legali a causa di possibili violazioni delle leggi anti-trust e violazioni della privacy. Occorre creare politiche e procedure per promuovere la comprensione dei potenziali rischi legali. Questa comprensione incoraggerà le organizzazioni a richiedere l’aiuto di esperti legali per progettare i controlli finalizzati alla sottomissione di tali rischi.

Monitoraggio dei rischi

La fase di monitoraggio dei rischi rappresenta un ulteriore livello per salvaguardare l'ambiente IT. L'attuazione delle misure di trattamento del rischio viene valutata per determinarne l’efficacia, e nel caso in cui i risultati non dovessero essere conformi alle aspettative dovranno essere apportati tutti gli adeguamenti necessari per far si che l'organizzazione non sia colta impreparata all’eventuale manifestarsi dei rischi. Pertanto, il monitoraggio del rischio non solo valuta le prestazioni delle misure di trattamento del rischio, ma funge anche da funzione di revisione continua.

Alcuni utili strumenti che possono essere utilizzati in questa fase sono audit, strumenti e tecniche di controllo assistito da computer (CAATT) e strumenti di misura per il monitoraggio dei siti Web20-21_.

20 _{cfr. K. BANDYOPADHYAY – P.P. MYKYTYN – K. MYKYTYN, A framework for integrated risk management in}

information technology, 1999, p. 440-443

21 _{V. in argomento N. AHITUV – S. NEUMANN – H. N. RILEY, Principles fo information systems for management, 1994;}

A. BARUA – C. H. KRIEBEL – T. MUKHOPADHYAY, Information technologies and business value: an analytical and empirical investigation, 1995; M. E. WHITMAN, Enemy at the gate: threats of information security, 2003; T. MIZOGUCHI, Information technology risks in today’s environment, 2012.

38

Comunicazione dei rischi e delle strategie di Risk Management

Una volta che il rischio è stato individuato, valutato e gestito, i rischi e le relative strategie di gestione devono essere chiaramente comunicate, in termini facilmente comprensibili, all’alta direzione. Più chiaramente saranno presentati i risultati, e più sarà facile per l’alta direzione comprenderli ed accettarne i suggerimenti e le raccomandazioni. In tal senso è importante presentare i rischi in termini di probabilità ed impatto, cercando di evitare termini quali “paura, incertezza e dubbio”. Una strategia efficacie consiste nell’includere nella presentazione del rischio una descrizione management-friendly dell'impatto e della probabilità di ogni rischio e di ogni strategia di gestione del rischio. Molto utile può essere anche mostrare il rischio residuo che rimarrebbe effettivo dopo l’implementazione di una determinata strategia di gestione del rischio.

Inoltre, le decisioni di gestione dei rischi si basano tipicamente sul confronto tra i costi relativi all’accettazione del rischio rispetto ai costi della strategia di gestione del rischio. In quest’ottica, un’analisi del ritorno sugli investimenti (ROI – Return On Investiment) è un potente strumento da includere nel Rapporto di Valutazione dei Rischi. I manager hanno generalmente grande familiarità con l’utilizzo del ROI, dato che è lo strumento comunemente utilizzato nel mondo del business per giustificare se intraprendere o meno una determinata azione.