Il rischio

Ci è sembrato opportuno, prima di parlare del vero e proprio processo di analisi, dedicare un intero paragrafo alla descrizione del rischio, dandone una definizione che ben si presta ad

essere utilizzata in questo contesto. Inoltre, abbiamo voluto riportare anche le varie accezioni di rischio, secondo cui diverse metodologie di analisi vengono applicate, appoggiandoci alla letteratura esistente.

Secondo il NIST(National Institute of Standards and Technology), il rischio può essere definito come una funzione della probabilità che un dato insieme di minacce, che esercitano una potenziale vulnerabilità, riescano ad apportare un qualche impatto, dovuto al relativo evento avverso, sull’organizzazione. Più semplicemente, possiamo riscrivere il concetto nella seguente maniera: il rischio è la probabilità che un asset vulnerabile a un certo insieme minacce, venga attaccato da un evento, relativo alle stesse, che possa o meno creargli un danno di una qualsiasi natura. Dove per asset intendiamo un sistema, un’applicazione o anche solo semplicemente una componente di una certa infrastruttura.

Figura 3.1.1: schema logico che mette in luce le relzioni esistenti tra rischio e contromisure. Fonte: materiale didattico sul corso di “analisi dei rischi”, prof. Baiardi

In letteratura, come accennavamo sopra, si usa distinguere fra due tipi di rischio: rischio quantitativo e rischio qualitativo.

Il rischio quantitativo è più propriamente un processo di misurazione del rischio, in termini di denaro e frequenza di eventi dannosi. Si usa questo tipo di misura per confrontare i costi

dell’impatto del rischio con quelli di un’ipotetica implementazione della soluzione atto a prevenirlo e, nel caso, evitarlo. In poche parole si tratta di fornire una misura di quello che in

materia economica viene chiamato ROI2 (Return On Investment).

Matematicamente, il rischio quantitativo è espresso come un’aspettativa annuale di perdita (ALE, Annualized Loss Expectancy), calcolata secondo la seguente formula:

ALE = Valore Asset x Fattore di Esposizione x Frequenza(annuale);

Scendendo nel dettaglio, l’asset value, è il valore totale di un bene, considerato in termini economici. Il fattore di esposizione è la percentuale di esposizione al rischio del valore del bene stesso. Prendiamo dunque in considerazione il caso di una compagnia di assicurazioni e supponiamo che essa possegga una disponibilità di cassa, per la copertura in caso di sinistri, pari a un certo ammontare, di cui non ci interessa sapere nel dettaglio la cifra. Se il totale dei danni, valido per tutti i clienti, è calcolato per un massimale di copertura pari al 50% della cassa, è chiaro che la compagnia potrà perdere soltanto la metà del valore posseduto in cassa. Dunque il suo fattore di esposizione è pari al 50%.

Per quanto riguarda la frequenza, questa viene intesa come la media delle perdite in un arco temporale di un anno. Se, infatti, in un anno si hanno dieci perdite, la frequenza sarà di 10. Come dunque si può notare, l’ALE non è altro che una misura monetaria del rischio per un certo bene, data una potenziale esposizione di quest’ultimo a delle date minacce.

In generale, il rischio quantitativo, come misura, è usato soprattutto in ambienti come quelli delle compagnie assicurative. Viene invece difficilmente utilizzato nell’ambito dei sistemi informativi, perché è molto difficile, in questi ambiti, misurare il valore di business degli asset . Per quanto riguarda il rischio qualitativo invece, questo mira a identificare e valutare i rischi

2

Il ROI indica la redditività e l'efficienza economica della gestione caratteristica a prescindere dalle fonti utilizzate: esprime, cioè, quanto rende 1€ di capitale investito in quell'azienda.

100 x e r i s t i c i e g h i C a r a t t T o t a l e I m p i r a t i v o R e d d i t o O p e R O I = ,

dove per Reddito Operativo si intende il risultato economico della sola Gestione Caratteristica, mentre per Totale degli Impieghi Caratteristici intendiamo il Capitale Investito, ossia l'Attivo Totale Netto meno gli Investimenti Extracaratteristici (investimenti non direttamente afferenti all'attività aziendale: es. immobili civili)

relativi secondo una data scala di priorità. Ad ogni tipo di rischio, viene affiancato un valore, che ne suggerisce la maggiore o minore criticità. In generale, la classificazione delle priorità viene data secondo usa scala di valori del tipo: basso, medio, alto o vitale, critico, importante. Anche il rischio qualitativo viene definito matematicamente, considerando tre tipi di variabili: asset value, vulnerabilità e minacce. Di sotto, viene data la formula, che non considera però un altro elemento chiave, determinante il valore di questo tipo di rischio, ovvero i controlli, che saranno più in là trattati.

Rischio = Asset Value x Vulnerabilità x Minaccia

Data la presente formulazione, la scala di rischio, viene calcolata in relazione al caso in esame e ai valori considerati. In generale, si definisce a partire dalle seguenti espressioni:

Asset Value (Alto) x Vulnerabilità (Alta) x Minaccia (Alta) = Alto rischio Asset Value (molto basso) x Vulnerabilità (Alta) x Minaccia (Alta) = Basso Rischio

La distinzione fra rischio qualitativo e rischio quantitativo risulta, per certi versi, connessa alla suddivisione esistente fra le diverse categorie di metodi per affrontare la nostra analisi. In effetti esistono due metodologie di risk analysis, ovvero quantitative e qualitative. Sarebbe quantomeno necessario, come attività preventiva all’analisi, capire quale scelta metodologica risulta più adeguata al caso trattato. Sicuramente, in un ambiente come quello dell’Information Tecnology e in un contesto come quello riguardante le attività da intraprendere per implementare un Disaster Recovery, il metodo qualitativo risulta il migliore. I vantaggi di una scelta simile sono evidenti soprattutto quando i beni, o i dati, non sono facilmente valutabili in termini economici, oppure quando la missione risulta particolarmente critica. Ancora, possiamo dire che si possono sfruttare queste tattiche, perché influenzano solo in misura minima la funzionalità della missione e hanno bassi costi di esecuzione. Al contrario, le metodologie quantitative, almeno inizialmente, risultano molto più costose, nonché più complesse, tuttavia

hanno il vantaggio che possono essere utilizzate a lungo termine, in quanto sono ripetibili, oltre che confrontabili. Questi strumenti permettono, nella pratica, di dare delle valutazioni economiche ai rischi, per cui sono utili quando si vogliono fare delle stime di perdita, sulla base del budget che si intende investire.