Risk Assessment in ambito IT: un Caso di Studio

U

NIVERSITÀ DI

P

ISA

D

IPARTIMENTO

DI

I

NGEGNERIA DELL’

E

NERGIA DEI

S

ISTEMI,

DEL

T

ERRITORIO E DELLE

C

OSTRUZIONI

RELAZIONE PER IL CONSEGUIMENTO DELLA LAUREA MAGISTRALE IN INGEGNERIA GESTIONALE

RISK ASSESSMENT IN AMBITO IT:

UN CASO DI STUDIO

RELATORE CANDIDATO Prof. Ing. Riccardo Dulmin Luigi Gobbi Dipartimento di Ingegneria dell’Energia, luigigobbi88@gmail.com

dei Sistemi, del Territorio e delle Costruzioni

Sessione di Laurea 19/07/2017 Anno Accademico 2016/2017

1

Indice

Introduzione ... 5

I sistemi informativi aziendali ... 7

Sistemi informativi, dati e informazioni ... 7

Il valore dei dati ... 10

Sistemi informativi operativi ... 12

Sistemi informativi direzionali ... 13

Information Technology e Information Systems ... 15

L’evoluzione dei sistemi informativi in ambito aziendale ... 16

Il Chief Information Officer (CIO) ... 18

Risk Assessment in ambito IT ... 20

Il Risk Management ... 20

La crescente importanza del Risk Management in ambito IT nel corso

degli ultimi anni ... 21

Risk Assessment in ambito IT ... 22

Pianificazione dell’IT Risk Assessment ... 23

Identificazione dei rischi ... 25

Identificazione e classificazione degli eventi indesiderati ... 25

Attacchi deliberati a livello fisico ... 25

Attacchi deliberati a livello logico ... 26

Eventi accidentali ... 27

Scomposizione dell’ambiente IT ... 28

2

Il livello organizzativo ... 28

Il livello interorganizzativo ... 29

Analisi del rischio ... 30

Trattamento dei rischi ... 32

Misure per la riduzione delle perdite da disastri naturali ... 35

Misure per la riduzione dei rischi per la sicurezza dei dati ... 35

Misure per ridurre i rischi da virus informatici ... 36

Misure per ridurre i rischi strategici ... 36

Misure per ridurre i rischi legali ... 37

Monitoraggio dei rischi ... 37

Comunicazione dei rischi e delle strategie di Risk Management ... 38

IT Risk Assessment di terze parti ... 38

Il Cloud Computing ... 40

I modelli di servizio ... 42

I principali vantaggi e svantaggi delle soluzioni cloud ... 44

UNI EN ISO 9001:2015: un nuovo approccio al concetto di

valutazione e gestione del rischio

...

46

Premessa ... 46

Risk Based Thinking ... 47

Il Caso di Studio Assirecre Group

...

49

Premessa ... 49

La storia di Assirecre Group ... 49

Analisi del Caso Assirecre Group ... 53

3 Piano di Progetto 1 ... 54 Piano di Progetto 2 ... 57 Piano di Progetto 3 ... 58

Risk Register ... 60

Risk Assessment ... 64

Questionari ... 65

Conclusioni ... 72

Spunti e riflessioni per la ricerca futura

... 73

Il problema della sicurezza e della privacy nel cloud computing:

soluzioni e direzioni future ... 73

Sfide per la sicurezza e la privacy nel cloud computing ... 73

Tassonomia delle soluzioni esistenti ... 79

Le relazioni tra sfide e soluzioni per la sicurezza del cloud ... 81

Direzioni future ... 82

I nuovi principi per la sicurezza informativa ... 84

Il problema dell’integrazione nei sistemi informativi ... 87

Bibliografia

...

90

Sitografia

...

94

5

Introduzione

Questo lavoro nasce dalla mia esperienza professionale maturata all’interno dell’azienda Assirecre Group S.r.l., operante nel settore dei servizi di consulenza in ambito assicurativo e certificata UNI EN ISO 9001:2015.

Le attività principali che ho svolto durate il tirocinio riguardano la predisposizione e la descrizione dei processi gestionali, nonché l’implementazione dei software gestionali necessari per l’attività di convenzionamento di strutture sanitarie in Italia e più in generale per la creazione e gestione di una rete convenzionata. Inoltre sono stato coinvolto dal Responsabile IT dell’azienda nell’attività di revisione ed aggiornamento, al fine di perseguire il miglioramento continuo, dei documenti Business Continuity Plan e Disaster Ricovery Plan, attività che mi hanno permesso di entrare in contatto con il complesso e delicato mondo della gestione dei rischi e della sicurezza relativa ai sistemi informativi aziendali.

L’obiettivo di questa Tesi è quindi quello di illustrare, a partire dall’analisi di uno scenario applicativo concreto, il ruolo del Risk Assessment in ambito IT, definirne le attuali problematiche ed individuarne i possibili scenari futuri. A tal fine, ho articolato il lavoro in 5 sezioni principali i cui obiettivi, input e output sono riportati nella seguente tabella:

Sezioni della Tesi e relativi obiettivi, input e output

SEZIONE

OBIETTIVI

INPUT

OUTPUT

I sistemi informativi aziendali

Descrivere le caratteristiche fondamentali dei sistemi informativi, le principali tipologie, la loro evoluzione in ambito aziendale e la figura del Chief Information Officer (CIO)

- Analisi della letteratura scientifica

- Quadro di riferimento sui sistemi informativi da utilizzare come input per le sezioni successive

Risk Assessment in ambito IT

Definire il ruolo del Risk Assessment in ambito IT e la

- Analisi della letteratura scientifica

- Metodologia tradizionale di Risk Assessment che

6

sua crescente importanza nel corso degli ultimi anni. Presentare la metodologia tradizionale di Risk Assessment in ambito IT - I sistemi informativi aziendali - Documenti, schede e questionari di Assirecre Group S.r.l.

sarà presa come riferimento per l’analisi del Caso di Studio e i successivi spunti per la ricerca futura

UNI EN ISO 9001:2015: un nuovo approccio al concetto

di valutazione e gestione del rischio

Introdurre e descrivere la normativa UNI EN ISO 9001:2015 ed approfondire il ruolo che l’analisi del rischio assume nella sua ultima revisione, nonché i cambiamenti che apporta all’organizzazione interna delle aziende informatiche certificate

- Analisi della letteratura scientifica

- Risk Assessment in ambito IT

- Risk Based Thinking

Il Caso di Studio Assirecre Group

Analisi di uno scenario applicativo concreto di Risk Assessment in ambito IT, relativo all’azienda Assirecre Group S.r.l. - Risk Register di Assirecre Group S.r.l. - Risk Assessment di Assirecre Group S.r.l. - Piani di Progetto di Assirecre Group S.r.l. - Questionari di Assirecre Group S.r.l. - Metodologia di Risk Assessment di Assirecre Group S.r.l. - Spunti e riflessioni da approfondire nella successiva sezione Spunti e riflessioni per la ricerca futura

Partire dal lavoro svolto e documentato nelle precedenti sezioni per definire le

problematiche e le tendenze principali su cui focalizzare la ricerca futura

- Analisi della letteratura scientifica - I sistemi informativi aziendali - Risk Assessment in ambito IT - UNI EN ISO 9001:2015 e il nuovo approccio al rischio - Il Caso di Studio Assirecre Group

- Spunti e riflessioni per la ricerca futura

7

I sistemi informativi aziendali

Sistemi informativi, dati ed informazioni

Un sistema informativo può essere definito come l’insieme dei sistemi, delle persone, dei processi e delle tecnologie progettate per creare, memorizzare, manipolare, distribuire e diffondere informazioni nel momento e nel luogo adatto alle persone che in azienda ne hanno bisogno. Un sistema informativo è quindi un sistema aperto, cioè interagente con l’ambiente aziendale e con l’ambiente esterno all’azienda, dai quali riceve gli input e ai quali fornisce un output: il Sistema delle Informazioni.

I sistemi informativi trattano dati e producono informazioni, per cui è importante definire con chiarezza questi due concetti.

- Un dato è una rappresentazione oggettiva e non interpretata della realtà, ciò che è immediatamente presente alla conoscenza. Ad esempio, sono dati il numero di una fattura, il suo importo, la data di emissione, ecc.

- Una informazione è una visione della realtà derivante dall’elaborazione e interpretazione dei dati, il significato che associamo ai dati. Ad esempio, dopo aver analizzato la fattura possiamo concludere che la transazione è andata bene o male.

Il processo di produzione delle informazioni si articola in tre fasi: acquisizione dei dati, elaborazione dei dati ed emissione dell’informazione. Prima che i dati possano essere utilizzati da parte di chi necessita delle informazioni è necessario che siano

8 opportunamente trattati al fine di convertirli in informazioni significative e comprensibili per i destinatari. In un certo senso, si può dire che tra i dati e le informazioni esiste lo stesso rapporto che intercorre tra le materie prime e i prodotti finiti: le materie prime sono il punto di partenza del processo produttivo, la cui trasformazione darà vita a dei semilavorati che, ulteriormente trattati, diverranno infine i prodotti finiti. Per le informazioni accade lo stesso: partendo dai dati elementari si ottengono dei dati sintetici, ovvero delle aggregazioni di dati elementari che, ulteriormente trattate, porteranno infine alle informazioni.

I dati elementari sono quindi la rappresentazione più oggettiva possibile della realtà, o meglio dei fenomeni che interessano l’azienda, mentre i dati sintetici sono ottenuti elaborando e aggregando dati elementari. Il problema connesso ai dati elementari è che il loro volume è molto elevato e quindi l’impresa dovrebbe prevedere archivi giganteschi per conservarli. Per tale motivo la sintesi diventa inevitabile ma, al contempo, riduce il potenziale informativo dei dati elementari perché se è vero che dagli stessi dati elementari è sempre possibile ottenere gli stessi dati sintetici, il processo inverso non è sempre consentito. In definitiva l’impresa deve valutare il trade-off tra il costo di archiviazione e il costo di riduzione del potenziale informativo dei dati per stabilire quali dati conservare nel suo patrimonio1-2_.

La classificazione tra dati elementari e sintetici è in funzione del potere informativo dei dati. Esiste tuttavia un’ulteriore classificazione dei dati, in funzione della loro

organizzazione, in dati formattati e dati non formattati. I dati formattati sono dati che

possono essere memorizzati in modo strutturato, mentre i dati non formattati hanno un formato non facilmente strutturabile. Un esempio di dati non formattati sono le registrazioni in formato digitale di suoni, musica o filmati. Generalmente i dati formattati e non formattati vengono memorizzati separatamente, ma può anche accadere che i dati non formattati vengano “agganciati” a dei dati formattati, come ad esempio nel caso dei reclami ricevuti da un call center. In questo caso generalmente viene creata una scheda per il reclamo sporto dal cliente con all’interno tutte le

1 _{cfr. Prof.ssa S. NICOLOSO, Sistemi Informativi Aziendali, Metodi e Modelli per l’Organizzazione e la Gestione,}

Università degli Studi di Roma “Tor Vergata”, 2006, p. 6

2 _{V. in argomento T. CORNFORD – M. SHAIKH, Introduction to information systems, University of London, 2013; R. J.}

9 informazioni relative e, al contempo, avremo la registrazione della telefonata: la scheda è tipicamente un dato formattato, mentre la telefonata è un esempio di dato non formattato, e il file contenente la registrazione digitale della telefonata verrà mantenuto "agganciato" al dato formattato, nel senso che potrà essere immediatamente richiamato a partire dalla semplice consultazione della scheda del cliente3_.

Le informazioni, inoltre, sono destinate ad utenti specifici ed è pertanto necessario definire i seguenti ulteriori aspetti fondamentali: modi, tempi e luoghi di produzione e presentazione delle informazioni:

- Con il termine modi si indica il supporto con cui le informazioni vengono fornite, le modalità con cui esse vengono create e diffuse oppure il formato in cui verranno presentate.

- Il termine tempi sta ad indicare la tempificazione con cui le informazioni vengono elaborate

- il termine luoghi si riferisce luoghi in cui l’informazione viene fornita assieme alla posizione delle sorgenti dei dati.

Per quanto riguarda infine il tipo di logica alla base dell’impostazione dei sistemi informativi, possiamo distinguere due approcci differenti:

- Approccio pull: il punto di partenza degli analisti per l’impostazione del sistema sono le richieste di chi fa uso delle informazioni. Un approccio di questo tipo è definito pull perché si parte dalle finalità del sistema, cioè dalle specifiche richieste dagli utenti e, in base ad esse, si definiscono le caratteristiche che deve avere il sistema informativo, che sono “tirate” dagli utenti. L’approccio pull è più logico quando la tecnologia è ben conosciuta e saranno quindi gli utenti a richiedere determinati requisiti in funzione dei quali gli analisti svilupperanno le soluzioni.

- Approccio push: il punto di partenza non è più rappresentato dalle necessità aziendali ma dalla tecnologia. Questo approccio prevede che siano gli analisti a

3 _{cfr. Prof.ssa S. NICOLOSO, Sistemi Informativi Aziendali, Metodi e Modelli per l’Organizzazione e la Gestione,}

10 predisporre sistemi che producono informazioni e poi li sottopongano al giudizio degli utenti. L’approccio push è consigliabile nei casi in cui debbano essere introdotte in azienda per la prima volta delle tecnologie molto innovative, ed è quindi preferibile che i tecnici anticipino le soluzioni dato che gli utenti difficilmente sarebbero in grado di indicarle.

IL VALORE DEI DATI

Il valore che i dati rivestono per un’azienda è dato dalla loro capacità di soddisfare, in modo tempestivo ed efficace, le esigenze informative di chi vi fa ricorso. In tal senso, è fondamentale prestare un’adeguata attenzione alla qualità dei dati, che è funzione di quattro caratteristiche principali:

- Completezza - Omogeneità - Aspetti temporali - Fruibilità

COMPLETEZZA

La completezza si esplica su due dimensioni:

- Completezza quantitativa: i dati rappresentano il totale dei fenomeni d’interesse per l’azienda, quindi la completezza quantitativa si riferisce al possesso di tutti i dati d’interesse.

- Completezza qualitativa: si riferisce alla disponibilità di informazioni aggiuntive che forniscono una visione completa e univoca della realtà.

OMOGENEITA’

Anche l’omogeneità ha due dimensioni:

- Omogeneità Spaziale: si riferisce al fatto che in un sistema distribuito, quale un’azienda, i fenomeni simili debbano essere rappresentati nello stesso modo.

11 Ad esempio, gli ordini devono essere rilevati in tutte le filiali di un’azienda con gli stessi criteri altrimenti non è possibile confrontarli.

- Omogeneità Temporale: si riferisce all’omogeneità di rappresentazione di fenomeni analoghi che si verificano in istanti temporali diversi. I criteri di rappresentazione dei fenomeni non devono essere considerati degli invarianti assoluti (anche perché variano notevolmente al progredire della tecnologia) ma occorre fare attenzione ad ogni cambiamento perché c’è il rischio di non poter confrontare i dati contenuti nei diversi archivi. Ad esempio questo problema è connesso ai cosiddetti legacy systems, data base di vecchia data, i cui dati potrebbero non essere coerenti, in merito al formato, con quelli presenti nel data base aziendale.

ASPETTI TEMPORALI

Gli aspetti temporali sono rappresentati da:

- Fasatura: si riferisce al fatto che fenomeni dinamici, tra loro correlati, debbano essere rilevati nello stesso istante per garantire la coerenza dei dati immessi nel patrimonio aziendale. Ad esempio, in una banca in cui si gestiscono diversi conti correnti e in cui i flussi finanziari sono in continuo movimento tra essi, il saldo dei conti deve essere rilevato in un certo istante, ad esempio a fine giornata, per ciascuno di essi.

- Tempestività: si riferisce alla rapidità con cui un fenomeno viene rappresentato nel patrimonio dei dati, rispetto al momento in cui si è verificato. Se i dati sono dinamici la tempestività è un requisito fondamentale: ad esempio la rilevazione di temperatura e pressione negli impianti industriali deve essere tempestiva per evitare eventuali guasti o danni.

- Frequenza d’Aggiornamento: si riferisce alla cadenza degli interventi di aggiornamento del patrimonio dei dati ed è correlata alla tempestività perché vi sono alcuni fenomeni che vanno seguiti nel loro svolgimento ed altri, a dinamica più lenta, che possono essere inseriti nel patrimonio con tempestività minore.

12 FRUIBILITA’

La fruibilità si riferisce alla facilità di accesso e di utilizzo del patrimonio dei dati. Ad esempio un archivio di tipo cartaceo, per quanto completo, ha un valore inferiore rispetto ad un archivio di tipo elettronico, che è facilmente consultabile e in grado di rispondere alle esigenze informative degli utenti in modo più tempestivo4-5_.

SISTEMI INFORMATIVI OPERATIVI

Il sistema informativo operativo è il sistema informativo per il supporto alle attività operative ed è costituito da un insieme di sottosistemi eterogenei finalizzati al supporto delle diverse attività operative svolte dalle funzioni aziendali, che possono essere distinte nelle tre grandi aree di riferimento evidenziate in figura:

I sottosistemi informativi individuati sono particolarmente interessanti in relazione agli aspetti di automazione che possono presentare, e per come tale automazione può

4 _{cfr. Prof.ssa S. NICOLOSO, Sistemi Informativi Aziendali, Metodi e Modelli per l’Organizzazione e la Gestione,}

Università degli Sstudi di Roma “Tor Vergata”, p. 6.

5 _{V. in argomento T. CORNFORD – M. SHAIKH, Introduction to information systems, University of London, 2013; R. J.}

13 riflettersi sullo svolgimento delle attività aziendali. Un’importante distinzione da fare è tra i sistemi informativi che vengono realizzati in modo abbastanza invariante rispetto alla tipologia dell'impresa in cui vengono installati, da quelli che vengono sviluppati ad hoc per una singola impresa e che di conseguenza possono differire anche molto da un’impresa all’altra. Nella prima categoria rientrano tutti quei sistemi informativi impostati su basi monetarie (SI del Personale, SI per l'amministrazione e il controllo, SI finanziario, ...; si noti che i sistemi informativi direzionali, essendo anch'essi impostati su basi monetarie presentano forti analogie indipendentemente dal tipo di impresa). Al contrario, i sistemi informativi legati alla produzione sono generalmente molto diversi a seconda che l'impresa produca beni materiali (e quali beni materiali, in particolare), o servizi. Nella prima categoria rientrano le imprese che si occupano di costruzione di infrastrutture ed impianti, le imprese manifatturiere e le imprese che producono materie prime, mentre nella seconda rientrano le imprese che forniscono servizi di tipo finanziario, servizi di trasporto, di comunicazione e servizi sanitari. In linea generale, i software per SI standardizzati sono molto accurati in quanto sperimentati in moltissime imprese, e molto conosciuti in quanto molto diffusi. Al contrario, i software per SI legati alla produzione sono molto personalizzati e poco standardizzati, e sebbene siano utilizzati da molte imprese risultano in definitiva meno conosciuti6-7_.

SISTEMI INFORMATIVI DIREZIONALI

Per sistema informativo direzionale si intende l'insieme di tutti quei supporti informativi che agevolano lo svolgimento dell’attività direzionale, ovvero che supportano i processi decisionali e di supervisione. Tipicamente le attività direzionali si distinguono in attività con orizzonte temporale medio/breve, ovvero attività di

6 _{cfr. Prof.ssa S. NICOLOSO, Sistemi Informativi Aziendali, Metodi e Modelli per l’Organizzazione e la Gestione,}

Università degli Sstudi di Roma “Tor Vergata”, p. 27

7 _{V. in argomento Y. H. AL-MAMARY – A. SHAMSUDDIN – N. AZIATI, The role of different types of information systems}

14 programmazione e controllo, e attività con orizzonte temporale medio/lungo, ovvero attività di pianificazione e controllo strategico.

Negli ultimi decenni c’è stata una grossa evoluzione nello sviluppo di sistemi informativi direzionali fino ad arrivare, grazie a tecnologie sempre più sofisticate, all’integrazione dei sistemi cosiddetti DSS (Decision Support System) con gli ES (Expert System), la cui risultante è definita Knowledge-based DSS (Sistemi di Supporto alle Decisioni basati sulla Conoscenza). Questi sistemi non solo possono elaborare dati attraverso modelli matematici, ma trasformano i risultati di tale elaborazione in opinioni, valutazioni e consigli, attraverso un processo di ragionamento simbolico. Le soluzioni informatiche che caratterizzano un DSS sono caratterizzate da tre componenti fondamentali:

- OLAP (On Line Analytical Proccessing): Gli OLAP sono sistemi che supportano analisi e calcoli sofisticati, organizzati su diverse dimensioni e gerarchie. I dati vengono analizzati con criteri multidimensionali e con vari livelli di aggregazione. Si possono distinguere operazioni cosiddette di roll-up, che aumentano il livello di aggregazione dei dati, e operazioni dette di drill-down, che aumentano il livello di dettaglio dei dati.

- Data warehouse: è un database ottimizzato per contenere i dati utili ai processi decisionali. Si tratta di un database separato da quello gestionale che serve per gestire il quotidiano. Un data warehouse gestisce dati provenienti da sorgenti diverse e diventa una sorta di raccolta dei dati storici, che sono elementi fondamentali per un decisore.

- Data mining: è un sistema in grado di trasformare dati grezzi in conoscenza utile, individuando relazioni e percorsi. Il processo di scoperta di conoscenza, fondamentale per qualsiasi attività di Knowledge Management, parte dall’individuazione dei dati grezzi, da una loro selezione, pre-elaborazione, trasformazione ed interpretazione. Il data mining si colloca tra la trasformazione dei dati e la loro interpretazione, che è quella che crea le basi per una nuova conoscenza.

Attualmente risulta indispensabile avere strumenti di gestione che supportino i processi decisionali. I processi organizzativi sono sempre più orientati su logiche di

15 efficienza ed efficacia, richiedendo supporti di gestione in grado di raccogliere dati di varia natura, elaborarli, metterli a confronto, per poterli periodicamente interpretare e potersi assumere, di conseguenza, responsabilità decisionali.8

Dal punto di vista informatico, la realizzazione di un SI direzionale può seguire i seguenti due approcci:

- Approccio marketing (o customer) oriented, così definito perché si basa sull’idea che il punto di partenza per lo studio e la realizzazione del sistema siano le esigenze informative di coloro che dovranno utilizzarlo.

- Approccio product oriented, basato sull’idea che gli utenti del sistema, in realtà, ignorino le potenzialità della tecnologia e che sia compito di specialisti dell’informatica riuscire a soddisfare le loro esigenze latenti, cioè quelle che non sanno di avere perché ignorano gli strumenti in grado di soddisfarle.9-10

Information Technology e Information Systems

Prima entrare nel cuore della presente trattazione è necessario fare chiarezza sul significato dei termini Information Technology (Tecnologia dell’Informazione, o IT) e

Information Systems (Sistemi Informativi, o IS), che sono spesso ed erroneamente

utilizzati in modo intercambiabile causando confusione ed incomprensioni. L’Information Technology deve essere infatti considerata come un sottoinsieme dei Sistemi Informativi, ed anzi si può affermare che il grande progresso che sta caratterizzando i Sistemi Informativi è dovuto proprio allo sviluppo dell’Information Technology e all'introduzione dei computer. Un Sistema Informativo può essere infatti anche molto semplice, come ad esempio costituito da una matita ed un pezzo di carta che presi singolarmente sono solo strumenti, ma che se utilizzati insieme creano a tutti

8 _{cfr. G. SOLINAS, I sistemi di supporto alle decisioni – Nuovi strumenti per una gestione efficace dell’informazione,}

2004

9 _{cfr. Prof.ssa S. NICOLOSO, Sistemi Informativi Aziendali, Metodi e Modelli per l’Organizzazione e la Gestione,}

Università degli Sstudi di Roma “Tor Vergata”, p. 39

10 _{V. in argomento Y. H. AL-MAMARY – A. SHAMSUDDIN – N. AZIATI, The role of different types of information systems}

16 gli effetti un sistema per la registrazione delle informazioni. Sebbene oggi i sistemi informativi siano fortemente dipendenti da computer e da altri strumenti basati sulla tecnologia, il termine in sé risale a prima della nascita di tali tecnologie e può includere di fatto anche sistemi non tecnologici.

L’Information Technology può essere definita come lo studio, la progettazione, l'implementazione, il supporto o la gestione dei sistemi informativi basati su computer. L’IT include quindi tipicamente hardware, software, database e reti, e spesso governa l'acquisizione, l'elaborazione, lo stoccaggio e la diffusione di informazioni digitalizzate o di dati generati attraverso le discipline del calcolo e delle telecomunicazioni. L’IT si concentra sulla gestione della tecnologia e sul miglioramento del suo utilizzo per promuovere gli obiettivi strategici aziendali. L’IT migliora le prestazioni economiche, fornisce un vantaggio nel risolvere i problemi sociali e rende il sistema informativo accessibile e facile da usare. Ogni giorno, consapevolmente o meno, tutti utilizziamo l’Information Technology, la cui rapida crescita è arrivata a coprire e cambiare molti settori della vita quotidiana quali l'istruzione, la vita di casa, il posto di lavoro, la comunicazione, e molti altri ancora.

L’evoluzione dei sistemi informativi in ambito aziendale

L’impiego di tecnologie informatiche si è diffuso ampiamente nelle aziende solo a partire dagli anni ’60. Immaginiamo un’azienda che negli anni ’60 si trovava a gestire quotidianamente il proprio magazzino, i prodotti, le attrezzature e i mezzi a propria disposizione. Il mantenimento di questi dati e di tutte le informazioni connesse era riservato esclusivamente ad archivi cartacei, gestiti e aggiornati dagli addetti aziendali. Le procedure di un sistema informativo erano all’epoca più umane ma anche più complesse, sensibili agli errori e come ultimo fattore, non di poco conto, difficili da gestire con l’aumento dei dati. Altro fattore discriminante di un sistema informativo non automatizzato era la poca confidenzialità che questo offriva ai clienti di un’azienda. Difatti i dati e le informazioni interessanti per un cliente erano anch’esse

17 racchiuse in raccoglitori e cartelle, accessibili tramite un addetto che magari non sempre ricordava la locazione fisica di quest’ultimi. Le prime soluzioni informatiche furono quindi a supporto di quelle attività operative che maggiormente erano esposte ad essere automatizzate in quanto caratterizzate dalla necessità di trattare enormi quantità di dati e di produrre velocemente e frequentemente informazioni attraverso procedure ripetitive, prevedibili e non variabili nel tempo. Si trattava tipicamente di attività di natura amministrativa quali ad esempio la gestione di paghe e stipendi, l’elaborazione ed emissione di fatture, la gestione del magazzino oppure le elaborazioni di tipo statistico degli uffici anagrafe. Tali sistemi di elaborazione elettronica dei dati vengono classificati col nome di TPS (Transaction Processing Systems) o con l’acronimo sempre meno diffuso di EDP (Electronic Data Processing). In seguito, intorno alla metà degli anni ’70, nacquero i primi sistemi informativi decisionali, i MIS (Management Information Systems), con l’obiettivo di fornire alla direzione informazioni tempestive, affidabili, standardizzate e routinarie (attraverso strumenti quali budget, report e statistiche) al fine di agevolare l’assunzione di decisioni ripetitive.

Nei primi anni ’80, la crescente esigenza da parte del top management di prendere decisioni tempestive consultando i dati esistenti e creando scenari complessi di simulazione, ha portato alla nascita dei primi sistemi di supporto alle decisioni, i DSS (Decision Support System), strumenti che non sostituiscono i decisori, ma li aiutano a prendere decisioni migliori in termini di programmazione e pianificazione strategica. Con l’avvento dei DDS il campo di applicazione dei sistemi informatici si amplia, passando dai soli dati (EDP) ed informazioni (MIS), alle decisioni.

Parallelamente ai DDS nascono i sistemi ERP (Enterprise Resource Planning). “l’ERP

rappresenta la maggiore espressione dell’inseparabilità tra Business e Information Technology: è un ‘mega-package di applicazioni’ che consente ad un’organizzazione di gestire l’intero processo di business. L’ERP permette di integrare le funzioni aziendali ottimizzandone le risorse a scopo di ottenere un vantaggio competitivo nel mercato

18

globale”11_{. Si tratta di un sistema informativo che integra tutti i processi di business}

rilevanti di un’azienda (vendite, acquisti, gestione del magazzino, contabilità, ecc.) Dai primi anni 2000, i maggiori vendor di soluzioni ERP iniziano a sviluppare le prime soluzioni informatiche verticali per i vari settori merceologici delle aziende, dando vita alle prime specializzazioni degli applicativi per il settore automobilistico, per il retail, per il settore logistico, meccanico o edile. I sistemi ERP hanno avuto tassi di crescita molto elevati alla fine degli anni ’90 e, ad oggi, secondo alcune fonti il 50% delle aziende europee ha installato uno o più moduli ERP.

Il Chief Information Officer (CIO)

L'importanza dei sistemi informativi è spesso sottostimata da chi non lavora direttamente a contatto con essi, ed è frequente che ci si accorga che se ne sta usando uno solo quando, a causa ad esempio di un cortocircuito, si realizza che si rischia di perdere tutto il proprio patrimonio aziendale (clienti, fatture, ordini, disegni tecnici, relazioni, posta, marketing, buste paga, ecc.), e che nessuno aveva predisposto dei backup quotidiani o preparato un piano per la ripresa delle operazioni (Piano di

Disaster Recovery).

Il Chief Information Officer, o CIO, è il Responsabile ICT della propria azienda, ovvero la figura di riferimento responsabile della gestione, manutenzione ed esercizio dei sistemi informativi dell’organizzazione all’interno della quale opera. È colui che, in estrema sintesi, si occupa di far funzionare il sistema informativo nel miglior modo possibile: identifica esigenze organizzative e di gestione delle informazioni, pianifica e controlla progetti di miglioramento dei sistemi ICT, garantisce una buona operatività del sistema informativo nel rispetto dei requisiti di legge e di qualità validi nel contesto in oggetto.

Essere un CIO, in realtà, va molto oltre tutto questo e richiede anche una serie di competenze manageriali di massimo livello. In particolare, oltre che una vasta

19 competenza in relazione alle tecnologie ICT, un CIO deve possedere anche competenze nella gestione di un budget economico e nella gestione del personale e degli aspetti organizzativi correlati ad un uso efficace delle informazioni nell'ambiente di lavoro, che gli consentano di rendere conto all’alta direzione sulla gestione economica dell'area sistemi informativi, di saper motivare i propri collaboratori e di predisporre le strategie a breve, medio e lungo termine per lo sviluppo dell'informatica in azienda. Il ruolo di CIO non si esaurisce quindi nel dipartimento IT ma ha connessioni con tutte le altre funzioni aziendali, e questo fa sì che le sue capacità relazionali nei confronti degli altri top manager (e spesso nel rapporto diretto con l’Amministratore Delegato) siano fondamentali.

Le aziende stanno prendendo sempre più coscienza del fatto che la crescita del business è strettamente legata all’interazione con la funzione IT e con questo nuovo ruolo del CIO, tecnologo ma allo stesso tempo organizzatore. Negli ultimi anni, di conseguenza, tempo, risorse ed energie del Chief Information Officer sono rivolte sempre più alla gestione dei processi aziendali. I suoi poteri e di conseguenza le sue responsabilità sono sempre più estesi: le nuove sfide della direzione ICT riguardano la riduzione dei costi operativi e l’incremento della competitività̀, l'infrastruttura deve essere sempre più innovativa, cercando però di incidere il meno possibile sul bilancio. In altre parole: i processi devono essere più efficienti e, in quest'ottica, sono sempre più utili le collaborazioni con partner tecnologici capaci di comprendere il business e migliorarne i processi. Ed ecco l'altro ruolo nuovo del CIO: fare da punto di intersezione tra l'azienda e i suoi partner. L'outsourcing, un tempo visto solo come un modo per tagliare i costi in attività non core, è oggi diventata a tutti gli effetti un'opportunità12_.

12 _{La collocazione organizzativa e il ruolo del Chief Information Officer cambiano a seconda del settore di attività, della}

dimensione delle aziende e del ruolo che la IT ha nel business. Una ricerca del Politecnico di Milano,ha esplorato la ampia gamma dei ruoli della ICT e del CIO nella PMI (Politecnico 2004). Una simile ricerca sul CIO ha esplorato l’orizzonte della grande azienda (Politecnico 2005).

20

Risk Management in ambito IT

Il Risk Management

È noto da sempre come lo svolgimento di qualsiasi tipo di attività economica comporti dei rischi. Negli ultimi anni, tuttavia, si è assistito ad una costante crescita della necessità di gestire il rischio in modo sempre più strutturato e rigoroso, integrato nella governance complessiva, nella pianificazione, nelle strategie, nelle politiche, nei valori e nella cultura dell’impresa. Questo perché oggi l’ambiente in cui le imprese operano e i processi che si svolgono internamente ad esse comportano dei rischi in continua evoluzione, sempre più articolati e complessi, tali da compromettere il conseguimento degli obiettivi strategici, economici e finanziari, nonché la creazione di valore e il successo durevole nel tempo. Molti amministratori e dirigenti mostrano quindi un interesse sempre maggiore verso i vantaggi offerti dall’implementazione di un processo di Risk Management, uno strumento fondamentale per gestire e coordinare l’individuazione, la valutazione, il trattamento e il monitoraggio dei rischi aziendali in un’ottica sistematica.

Il Risk Management, o processo di gestione del rischio, è definito come “l’insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un’organizzazione con riferimento ai rischi” (UNI 11230 – Gestione del Rischio, vocabolario). Ci si riferisce quindi, più che ad un singolo processo, all’insieme articolato di processi attraverso cui le aziende definiscono e danno priorità ai rischi più significativi, individuano le criticità, riconoscono le debolezze dei controlli, valutando dapprima la probabilità che si verifichi un determinato evento e successivamente le azioni per evitarlo, ridurne gli effetti, trasferirlo a terzi o in alcuni casi accettarne in parte o totalmente le conseguenze, cercando di minimizzare gli impatti sulle proprie attività.

L’obiettivo ultimo del Risk Management è quindi quello di definire una strategia a tutti i livelli dell’azienda che consenta di gestirne i relativi rischi in maniera tempestiva ed

21 efficace, fornendo al contempo ragionevoli garanzie sul conseguimento degli obiettivi aziendali13_.

La crescente importanza del Risk Management in ambito IT nel

corso degli ultimi anni

L’universo dei rischi di business è ampio e variegato. Possiamo distinguere rischi di credito, strategici, informatici, di mercato, legati ai competitor, alla conformità a normative e leggi, eccetera. Tra questi, i rischi relativi all’Information Technology (IT) rappresentano oggi una delle minacce più ostili e complicate da affrontare, in grado di generare ricadute economiche e di immagine estremamente negative per le imprese. Al giorno d’oggi, infatti, le organizzazioni imprenditoriali investono annualmente centinaia di migliaia di euro in Information Technology, che rappresenta in media la voce di costo maggiore all’interno dei budget aziendali. Questo perché, grazie al continuo progresso tecnologico, le organizzazioni hanno ormai compreso i vantaggi innegabili derivanti dall’utilizzo delle tecnologie dell’informazione e della comunicazione (ICT), in grado di assicurare una comunicazione ed un trasferimento dati in tempo reale con soggetti localizzati in ogni parte del mondo, di aumentare la precisione e la velocità del business, l'efficienza, l’efficacia e la soddisfazione dei clienti. Contemporaneamente, le organizzazioni che sono diventate sempre più dipendenti dalla tecnologia si sono anche ritrovate ad essere altamente vulnerabili ai relativi rischi IT, e ciò ha portato alla necessità di adottare adeguati strumenti di gestione del rischio e alla conseguente diffusione dell’IT Risk Management come una delle questioni più importanti che i responsabili dei sistemi informativi si trovano a dover affrontare.

L'obiettivo dell’IT Risk Management è quello di proteggere le risorse IT quali dati, hardware, software, personale e strutture da tutte le minacce esterne, come ad esempio catastrofi naturali, ed interne, come ad esempio guasti tecnici, sabotaggio o accesso non autorizzato, in modo che i costi delle perdite derivanti dalla realizzazione

22 di tali minacce siano minimizzate. Lo scopo è quello di evitare o ridurre le perdite selezionando e attuando la migliore combinazione delle misure di sicurezza.

Risk Assessment in ambito IT

L’IT Risk Assessment è la metodologia la cui applicazione consente l’identificazione, la valutazione e le decisioni in merito al trattamento dei rischi in ambito IT. Apparentemente può sembrare tutto semplice, ma non lo è. La valutazione del rischio in ambito IT è infatti un’impresa complessa, solitamente basata su informazioni imperfette, ed è per questo motivo che nel tempo sono state proposte molte metodologie volte a consentire una gestione del rischio ripetibile ed in grado di produrre risultati coerenti.

Nonostante i vari metodi si differenzino per scopo, completezza ed utilizzo, generalmente presentano tutti la stessa sequenza di passaggi logici, articolandosi nelle seguenti fasi fondamentali:

- Pianificazione dell’IT Risk Assessment - Identificazione dei rischi

- Analisi dei rischi - Trattamento dei rischi - Monitoraggio dei rischi - Comunicazione dei rischi

L’integrazione delle quattro fasi fondamentali è rappresentata graficamente in figura, mentre nei prossimi paragrafi ne viene presentata una discussione sequenziale ed approfondita degli elementi specifici. 14-15

14 _{cfr. K. BANDYOPADHYAY – P.P. MYKYTYN – K. MYKYTYN, A framework for integrated risk management in}

information technology, 1999, p. 437-438

15 _{V. in argomento G. DHILLOM – G. TORKZADEH, Value-focused assessment of information system security in}

23 Le fasi principali dell’IT Risk Assessment

Pianificazione dell’IT Risk Assessment

Il processo di IT Risk Assessment deve essere opportunamente pianificato e formalizzato dal CIO al fine di garantire l’identificazione, la valutazione ed il trattamento dei rischi in ambito IT. Un programma di gestione del rischio ben bilanciato ed in grado di garantire benefici durevoli deve essere integrato e coerente con tutta la strategia aziendale e la sua implementazione. In particolare, nella fase di pianificazione dell’IT Risk Management, è importante che siano svolte almeno le seguenti attività:

- Definizione degli obiettivi dell’IT Risk Assessment - Definizione dei criteri di accettazione del rischio

24 Definizione degli obiettivi dell’IT Risk Assessment

Il Responsabile IT deve fissare preliminarmente gli obiettivi dell’IT Risk Assessment in modo tale che siano coerenti con la mission e con gli obiettivi strategici dell’azienda. Alcuni tra i principali obiettivi dell’IT Risk Assessment sono i seguenti:

- Salvaguardia della reputazione e dell’immagine aziendale

- Contenimento delle perdite attraverso un processo di gestione strutturato degli eventi che le possono determinare in ambito IT

- Riduzione dei costi di assicurazione attraverso una più chiara identificazione dell’esposizione al rischio IT e conseguente ottimizzazione delle coperture

- Responsabilizzazione a tutti i livelli aziendali sul governo dei rischi in ambito IT attraverso la creazione di maggiore consapevolezza del management e dei dipendenti sull’esposizione ai rischi IT e sulle relative opportunità da cogliere - Rafforzamento dei processi di pianificazione strategica mediante l’utilizzo di

informativa sui rischi IT in grado di indirizzare le scelte di business

Definizione dei criteri di accettazione del rischio

Il Responsabile IT deve definire i criteri di accettabilità del rischio, ovvero deve stabilire il livello al di sotto del quale non si ritiene che sia necessario predisporre attività per il trattamento dei rischi. Tutti i rischi in ambito IT che otterranno una valutazione superiore a dato livello, quindi, costituiranno un rischio non accettabile per l’azienda e necessiteranno di opportuno trattamento per essere ricondotti al di sotto della soglia di accettabilità.

25

Identificazione dei rischi

Il Risk Assessment in ambito IT inizia con il processo di identificazione dei rischi, di cui il primo passo consiste nella definizione dell’ambiente IT. L’insieme degli eventi indesiderati che possono determinarne un degrado nelle caratteristiche di integrità, disponibilità e riservatezza delle informazioni e, quindi, compromettere la sicurezza del sistema informativo, è molto esteso. Di seguito verranno presentati due approcci per affrontare il problema in modo sistematico:

1) identificazione e classificazione degli eventi indesiderati a seconda che siano accidentali, conseguenza di un attacco deliberato a livello fisico o conseguenza di un attacco deliberato a livello logico.

2) Scomposizione dell’ambiente IT in tre livelli distinti quali il livello applicativo, il livello organizzativo ed il livello interorganizzativo, e per ognuno di questi identificazione dei potenziali rischi relativi.

Identificazione e classificazione degli eventi indesiderati

Attacchi deliberati a livello fisico

I principali attacchi a livello fisico, volti principalmente a sottrarre o danneggiare risorse critiche, sono:

 Furto: prevedibile per nastri di backup, dischi o interi server. È un attacco alla disponibilità ed alla riservatezza

 Danneggiamento: attacco tipicamente condotto contro apparecchiature e cavi di rete, è un attacco alla disponibilità ed alla integrità.

26 Attacchi deliberati a livello logico

Gli attacchi a livello logico sono principalmente volti a sottrarre informazioni o a compromettere l’operatività del sistema. Un attacco a livello logico, in relazione al suo scopo, può essere classificato come di intercettazione e deduzione (attacco alla riservatezza), intrusione (attacco alla integrità ed alla riservatezza) o disturbo (attacco alla disponibilità).

 Attacchi di intercettazione: gli attacchi di intercettazione possono richiedere un attacco preventivo a livello fisico per installare dispositivi pirata o per agganciarsi alla rete, oppure a livello logico, ad esempio un attacco di intrusione, per installare software di supporto alla intercettazione. Gli attacchi di intercettazione possono sfruttare debolezze intrinseche di protocolli e software di rete, poco accorte configurazioni del sistema operativo, oppure il fatto che un utente abbia disatteso qualche norma comportamentale imposta dalla politica di sicurezza, ad esempio scrivendo la password su un post-it oppure utilizzando come password il proprio nome di battesimo.

 Attacchi di deduzione: gli attacchi basati sulla deduzione sono condotti incrociando informazioni tratte dall’osservazione del sistema con informazioni ottenute per altre vie.

 Attacchi di intrusione: quando il sistema non prevede strumenti evoluti per il riconoscimento dell’utente (ad esempio chiave hardware, lettore di impronte digitali, etc.), l’accesso al sistema tramite password illegale è uno degli attacchi di intrusione più frequenti. Tralasciando il caso in cui la password sia stata rubata al legittimo proprietario tramite intercettazione o deduzione, è comunque possibile che essa venga individuata utilizzando programmi appositamente progettati per generare sistematicamente combinazioni di caratteri semi-casuali e verificarle come password tentando l’accesso al sistema in modo automatico. Attacchi di questo tipo devono il loro successo al fatto che gli utenti scelgono come password parole di uso comune e quindi, in definitiva, ad una debolezza nella politica di sicurezza o in una relativa errata attuazione da parte del personale. Altri tipi di intrusione possono essere basati su tecniche più

27 sofisticate, generalmente tese a sfruttare debolezze nei protocolli di rete e nel software di rete.

 Attacchi di disturbo: gli attacchi di disturbo non mirano ad accedere a servizi ed informazioni, ma semplicemente a degradare l’operatività del sistema. Sono considerabili come atti di sabotaggio, e minacciano tipicamente l’integrità e la disponibilità dei dati e più raramente, e indirettamente, la riservatezza. Tra le svariate tecniche di disturbo le più diffuse sono virus, worm, ovvero particolari virus che si limitano a degradare le prestazioni del sistema, e denial of service, ovvero tecniche volte a fare in modo che il sistema neghi l’accesso a servizi ed informazioni anche ad utenti regolarmente autorizzati.

Eventi accidentali

Parallelamente a quanto fatto per gli attacchi deliberati, un evento accidentale può essere caratterizzato in funzione della componente che ne subisce gli effetti e del fattore ambientale che lo scatena. Un approccio sistematico individua, per ciascuna componente fisica o logica del sistema, tutti i fattori potenzialmente pericolosi per quella componente. Il risultato di questo approccio può essere convenientemente riassunto in una matrice avente su un asse i componenti, e sull’altro i fattori ambientali. Una cella di tale matrice permetterebbe infatti di descrivere se e come un determinato fattore possa accidentalmente provocare danno ad un determinato. Stando alle statistiche, il fattore umano (per esempio cancellazione accidentale di file, installazione di componenti incompatibili o infettati che corrompono il software di base) resta la principale causa di perdita accidentale di dati. Per quanto riguarda gli eventi accidentali di altra origine, accanto ai guasti più frequenti (dischi, alimentatori, memoria, etc.) occorre valutare anche i guasti a dispositivi di supporto come condizionatori d’aria o trasformatori di potenza, ed eventi disastrosi come incendi o allagamenti della sala CED (Centro Elaborazione Dati)16_.

16 _{V. in argomento M. JOUINI – L. BEN ARFA RABAI – A. BEN AISSA, Classification of security threats in information}

28

Scomposizione dell’ambiente IT

Il livello applicativo

Il livello applicativo si concentra sui rischi di insuccesso tecnico o di implementazione delle applicazioni IT. Tali rischi possono derivare sia da minacce interne, come ad esempio un accesso fisico non autorizzato che porta ad abusi del sistema, che da minacce esterne, come ad esempio attacchi hacker, virus, azioni della concorrenza o disastri naturali, e possono danneggiare o distruggere le risorse IT quali hardware, software, dati, personale e strutture. Uno studio empirico sulla sicurezza informatica ha rivelato che, a livello applicativo, i CIO considerano le catastrofi naturali e le azioni accidentali le minacce con il livello più elevato di rischio.

Il livello organizzativo

A livello organizzativo, l'attenzione è rivolta all'impatto dell'IT sulle aree funzionali dell'organizzazione piuttosto che sulle singole applicazioni. Le organizzazioni, per ottenere un vantaggio competitivo, impiegano sempre più frequentemente l’IT anche a livello strategico, ma l’adozione di sistemi informativi strategici può esporle a vari tipi di rischi aggiuntivi. Un primo problema fondamentale è che se un'organizzazione decidesse di investire pesantemente in IT, potrebbe poi essere costretta a continuare a farlo per aggiornare la relativa tecnologia in rapida evoluzione, e se ne fosse impossibilitata diventerebbe estremamente vulnerabile ad eventuali concorrenti con più risorse.

Un altro problema è che molte organizzazioni forniscono strumenti e competenze IT ai propri fornitori e clienti come parte integrante del piano strategico di sviluppo del business. In questi casi, tuttavia, c’è il rischio che fornitori e clienti possono acquisire abbastanza competenze per incrementare il loro potere contrattuale e ciò, in definitiva, si ripercuoterebbe contro le organizzazioni stesse.

Inoltre, mantenere e documentare le applicazioni strategiche IT può richiedere più tempo e sforzo rispetto ai relativi vantaggi acquisiti, e ciò potrebbe infine rendere

29 un'organizzazione talmente impegnata e concentrata sull'IT da arrivare a trascurare il proprio core business.

I tre tipi principali di rischi a livello organizzativo sono:

1. Rischio di sostenibilità: si riferisce al rischio associato alla sostenibilità del vantaggio competitivo dal dispiegamento delle applicazioni IT a lungo termine. All'inizio, i vantaggi derivanti dalle applicazioni IT consentono alle imprese di superare i loro rivali. Tuttavia, il vantaggio competitivo sarà di breve durata se la concorrenza potrà imitare tali applicazioni.

2. Rischio di sicurezza dei dati: deriva dall'utilizzo strategico dei dati all'interno di un'organizzazione. Le organizzazioni sono divenute in gran parte dipendenti dai dati per sopravvivere ed avere successo nell’ambito di una concorrenza sempre più intensa. Essi corrono quindi il rischio di perdite sostanziali in caso di negazione dell'accesso o di distruzione dei loro dati.

3. Rischio legale: si riferisce alla probabilità di perdita dovuta alla violazione dei diritti dei concorrenti e dei clienti attraverso l'utilizzo dell'IT.

Il livello interorganizzativo

A livello interorganizzativo l'attenzione è rivolta ai rischi IT che devono essere fronteggiati dalle organizzazioni che operano in rete. Gli usi più potenti e suggestivi dell’IT, infatti, implicano reti che superano i confini organizzativi. Si tratta fondamentalmente di sistemi informativi automatizzati condivisi da due o più organizzazioni, la cui crescente diffusione ha contribuito ad aumentare la produttività, la flessibilità e la competitività. Alcuni esempi sono i sistemi di posta elettronica inter-corporate, oppure i sistemi di scambio elettronico di dati (EDI) che consentono agli acquirenti e ai fornitori di scambiare elettronicamente documenti di business standardizzati. Tali sistemi hanno un enorme impatto sull'ambiente concorrenziale, consentendo ad esempio di migliorare le efficienze e le economie di scala nella produzione e nella distribuzione attraverso il collegamento tra EDI e la gestione delle scorte just-in-time (JIT). Allo stesso tempo, le organizzazioni che operano in un ambiente in rete sono esposte a determinati rischi informatici aggiuntivi.

30 Le prime tre minacce per l'ambiente in rete sono:

1. Catastrofi naturali 2. Intrusioni di hacker

3. Inefficacia e debolezza dei controlli.

La scarsa ricerca empirica sulla gestione dei rischi IT ne ha consentito una risoluzione efficace solo a livello applicativo. Questa considerazione solo parziale dell'impatto dell'IT, che ha limitato la ricerca solo all'interno di un dominio specifico per la valutazione dei rischi connessi all’IT, è da considerarsi al giorno d’oggi surreale. È necessario adottare una visione olistica e valutare le potenziali minacce IT considerando l'intero spettro dell'ambiente IT. A seguito della definizione dell'ambiente IT e dell’identificazione dei relativi rischi, sarà quindi necessario valutare questi ultimi in termini di impatto, probabilità e rilevabilità, per poi stabilire le varie azioni da intraprendere per fronteggiarli e gestirli al meglio17-18_.

Analisi del rischio

In termini analitici, il Rischio (R) viene sempre definito come funzione della probabilità di accadimento (P) e della magnitudo (M), ovvero il valore o l’impatto dell’effetto, relativi alla singola minaccia attraverso l’espressione:

R = f (M, P)

In relazione alla tipologia di rischio da analizzare R è esprimibile in forma quantitativa o qualitativa. In particolare, in ambito IT, è preferibile la seconda. Cerchiamo di capire il perché.

 La valutazione quantitativa del rischio rappresenta il metodo standard di valutazione del rischio in molti campi, come ad esempio quello assicurativo o delle istituzioni finanziarie. I relativi risultati sono tipicamente espressi in forma

17 _{cfr. K. BANDYOPADHYAY – P.P. MYKYTYN – K. MYKYTYN, A framework for integrated risk management in}

information technology, 1999, p. 438-440

18 _{V. in argomento A. BEHNIA – R. A. RASHID – J. A. CHAUDHRY, A survey of information security risk analysis methods,}

2012; V. AGRAWAL, A comparative study on information security risk analysis methods, 2015; N. SHUKLA – S. KUMAR, A comparative study on information security risk analysis practice, 2012

31 numerica, e si basano fondamentalmente sull’espressione analitica R = f (M, P), dove la funzione f può assumere una forma anche complessa, che tenga conto della maggior parte dei parametri che intervengono nella nascita e nello sviluppo del rischio, quali: fattore umano, materiali, macchina, processo, ambiente, ecc. Tale tipologia di valutazione viene effettuata quando si vuole valutare il rischio in modo molto dettagliato e analitico, lasciando poco spazio alla soggettività del valutatore.

Se in generale una valutazione quantitativa può sembrare semplice e logica, utilizzare un approccio del genere con i sistemi informativi può essere molto complicato. Considerando ad esempio il parametro impatto, la grande difficoltà sta nel definire con precisione i costi indiretti quali ad esempio il valore delle informazioni, le perdite in termini di produttività o i costi di recupero. Se poi consideriamo il parametro probabilità le difficoltà sono ancora maggiori. Per esempio, come stimare con precisione la probabilità di attività illecita sul sistema informativo da parte di un dipendente dell’azienda?

Al momento, quindi, una valutazione quantitativa del rischio in ambito IT è generalmente sconsigliabile anche se in futuro, quando saranno disponibili evidenze statistiche che consentiranno di estrapolare trend e indici affidabili sulla base delle esperienze pregresse, lo scenario potrebbe cambiare.

 La valutazione qualitativa del rischio non utilizza espressioni matematiche del tipo R = f (M, P) per valutare i diversi rischi, effettuando piuttosto un’analisi qualitativa, intuitiva, di verifica di conformità alle norme vigenti (leggi, decreti, regolamenti, norme di buona tecnica ecc.). Il punto di arrivo è un giudizio qualitativo della situazione che si sta valutando.

I risultati delle valutazioni qualitative del rischio sono tipicamente espressi in parole, ad esempio definendo un rischio come “Alto”, “Medio” o “Basso”, e per tale ragione sono intrinsecamente più complicati da comunicare in modo conciso al management. Tuttavia, fornendo le tabelle di definizione di impatto e probabilità con le relative descrizioni, è possibile comunicare in modo adeguato la valutazione dei rischi alla Direzione dell'organizzazione.

32 Ad oggi, in definitiva, la valutazione quantitativa dei rischi per i sistemi informativi è ancora troppo spesso caratterizzata da un ampio margine di errore e, per questo motivo, sono generalmente preferiti strumenti di valutazione del rischio di tipo qualitativo19_.

Trattamento del rischio

La fase di trattamento dei rischi IT consiste nel determinare le opportune azioni da intraprendere per un corretto trattamento dei rischi. Infatti, una volta individuate le risorse informatiche e le molteplici minacce cui sono esposte e valutate le relative vulnerabilità, è necessario adottare misure necessarie per garantire che l'intero ambiente IT sia protetto da tutte le fonti di minacce nella massima misura possibile. Per ogni rischio individuato e riportato in un apposito Report di Valutazione del Rischio deve essere definita un’appropriata strategia di gestione del rischio, che riduca il rischio ad un livello accettabile. Per ogni strategia di gestione del rischio si dovranno definire sia i relativi costi che gli step di base per l’implementazione della stessa.

La crescita di un’azienda è sempre legata all’accettazione di livelli di rischio ragionevoli. Il livello di rischio accettabile dipende da molti fattori, fra cui il potenziale impatto di un evento, la probabilità di accadimento, il grado di tolleranza aziendale complessivo, le conseguenze per la crescita del business e lo scenario competitivo, e molti altri ancora.

Esistono quattro approcci metodologici alla gestione dei rischi:

1. Mitigazione del rischio: si interviene predisponendo controlli e verifiche tali da ridurre la probabilità che il rischio si concretizzi e comunque si minimizza la gravità dell’eventuale perdita (es. duplicare i server gestionali, applicare politiche di backup dei dati critici ecc.). La Mitigazione è la strategia di gestione del rischio più comunemente utilizzata in ambito IT.

33 2. Trasferimento del rischio: il rischio viene trasferito tutto o in parte ad altri soggetti, come ad esempio assicurazioni, partner, outsourcing, ecc. Quest’approccio non punta a far diminuire la probabilità che si manifesti il rischio o a correggere eventuali difetti, ma piuttosto a ridurne l'impatto complessivo (in primo luogo finanziario) sull'organizzazione. Tra le diverse possibili azioni previste nella gestione di un rischio, trasferire il rischio è quella che tradizionalmente crea maggiori incertezze quando si parla di sicurezza delle informazioni. Assicurare i beni del magazzino o un edificio da rischi quali furto o incendio è una delle azioni che le aziende compiono da ben prima dell’apparizione degli strumenti informatici. Tuttavia, stimare l’impatto che questi avvenimenti possono avere sulla gestione delle informazioni è cosa ben diversa.

3. Accettazione del rischio: il rischio viene ritenuto accettabile, e l’azienda decide di assumersi le conseguenze ed i costi ad esso associati. Generalmente si accettano molti dei rischi valutati come “Bassi”, ma anche i rischi che per essere attenuati comportano costi estremamente elevati. L’aspetto delicato è evitare di accettare rischi che non dovrebbero essere accettati.

4. Evitare il rischio: si modifica l’attività per far scomparire il particolare rischio in questione. Per esempio, nel corso di una valutazione del rischio si scopre che il sito web lascia visualizzare le fatture dei fornitori ad utenti non autorizzati. In questo caso il Management potrebbe decidere ad esempio di evitare il rischio rimuovendo le pagine web vulnerabili e fornendo le fatture ai fornitori attraverso un meccanismo alternativo.

L’approccio più comune è la mitigazione del rischio che prevede la creazione di meccanismi di controllo che riducano le possibili perdite accoppiati a sistemi di monitoraggio e analisi dei rischi. La gravità del rischio influenza direttamente la complessità e la quantità dei meccanismi di controllo. Gli altri approcci hanno costi e impatti spesso insostenibili (ad esempio per evitare il rischio) o proteggono solo parzialmente dal rischio di perdita, come nel caso di trasferimento del rischio.

34 La rappresentazione grafica dei concetti esposti si concretizza nella cosiddetta matrice di gestione del rischio, riportata di seguito:

IMPATTO

ALTO MODERATO BASSO

PROBABILITA’

ALTO ALTO ALTO MODERATO

MODERATO ALTO MODERATO BASSO

BASSO MODERATO BASSO BASSO

Matrice di gestione del rischio

Le principali e più diffuse misure di sicurezza che possono essere attuate per attenuare i diversi tipi di rischi informatici sono riepilogate nella seguente tabella, e saranno discusse nel dettaglio nei prossimi paragrafi.

Rischio Misura di sicurezza

Disastri naturali Disaster Ricovery Plan

Sicurezza dei dati Backup; codice di accesso; controllo password; impronta digitale; stampa palmare; scansione della retina; riconoscimento vocale

Virus Monitoraggio dell’utilizzo dei computer;

procedure di revisione straordinaria; utilizzo esclusivo di software forniti dall’azienda; scansione anti-virus e rimozione virus

Rischi strategici Brevetti; ricerca innovativa di nuove modalità per competere con i concorrenti; pianificazione formale e controllo delle procedure

35 Misure per la riduzione delle perdite da disastri naturali

sia a livello applicativo che a livello interorganizzativo, i CIO considerano i disastri naturali le minacce con il livello più elevato di rischio. Di conseguenza, la redazione del

Disaster Recovery Plan assume un’importanza fondamentale, grazie alla correlazione

positiva tra la probabilità di un completo recupero di un'organizzazione da un disastro e l'esistenza di un piano di ripristino di emergenza. La redazione del Disaster Recovery è stata definita come "il processo di sviluppo e mantenimento di un efficace piano scritto

di come le organizzazioni continueranno ad operare in caso di interruzioni delle funzioni aziendali”.

Un DRP può aiutare un'organizzazione ad evitare le notevoli perdite di business dovute alle interruzioni aziendali, quali la perdita di entrate, i clienti persi e la perdita di quote di mercato. La redazione del Disaster Recovery può anche ridurre le perdite che influenzano indirettamente le prestazioni di un'organizzazione in caso di disastro, come ad esempio quelle derivanti dallo stress degli impiegati, dall’esposizione legale, dai premi assicurativi e dall’insoddisfazione dei clienti, aiutando quindi a generare consapevolezza tra i dipendenti circa gli effetti secondari di un disastro.

Misure per la riduzione dei rischi per la sicurezza dei dati

I rischi per la sicurezza dei dati possono derivare dall'accesso non autorizzato alle risorse IT in un ambiente autonomo o in rete. Anche l'accesso autorizzato può rappresentare un rischio potenziale sotto forma di sabotaggio. Per un sistema autonomo, la sicurezza dei dati può essere migliorata generando file di backup e introducendo codici di accesso e password di accesso. Altri metodi per limitare l'accesso ai soli utenti autorizzati sono l'impronta digitale, la stampa palmare, l'analisi della firma, lo screening retinico e il riconoscimento vocale. Il metodo dell'impronta digitale richiede l'abbinamento dell’impronta digitale al momento di effettuare un accesso IT con quella del modello dell’impronta stessa pre-immagazzinato. La stampa palmare richiede la scansione del palmo della mano per l'identificazione. Lo screening della retina comporta la scansione del reticolo dei vasi sanguigni nella retina dell'occhio per confrontarli anche in questo caso con un'immagine pre-memorizzata. Il

36 riconoscimento vocale confronta la voce dell'utente con il relativo modello vocale pre-memorizzato. In caso di sabotaggio da parte di un utente autorizzato, queste misure sono assolutamente efficaci.

In un ambiente in rete, invece, la crittografia dei dati offre una misura di sicurezza efficace. La crittografia comporta la codifica del testo normale in un testo non leggibile durante la trasmissione. Molte aziende si servono della protezione crittografica per proteggere i dati che passano attraverso le reti.

Misure per ridurre i rischi da virus informatici

Sono disponibili diverse misure per prevenire l'infezione da virus informatici. Questi includono l'utilizzo di password, procedure di backup, istruzione dei dipendenti, politiche di sicurezza coerenti, utilizzo esclusivo di software forniti dall'azienda, utilizzo di software per la scansione di virus e rimozione virus, procedure di controllo rigorose e monitoraggio dell'utilizzo dei computer.

Misure per ridurre i rischi strategici

I rischi strategici derivano principalmente dall'incapacità di un'organizzazione di sostenere il suo vantaggio competitivo dall'uso dell'IT. In tal senso, il primo passo verso la gestione dei rischi strategici è quello di comprenderli, la cui chiave risiede nella capacità dell'organizzazione di prevedere i vantaggi a lungo termine di un nuovo sistema, di valutare le risorse e le capacità dei suoi potenziali concorrenti, valutare il proprio potenziale finanziario e tecnico ed allineare la propria strategia IT alla strategia di business globale dell’azienda. Solo dopo aver valutato con attenzione i propri rischi strategici, un’organizzazione può adottare le misure più idonee a gesterli. Le misure più comuni sono due: la prima è la protezione con brevetto, che impedisce alle imprese concorrenti di copiare il sistema, offrendo quindi un vantaggio competitivo; la seconda è quella di indulgere in un'innovativa ricerca di nuovi modi per competere. Inoltre, anche le tecniche di pianificazione e controllo formali, l'utilizzo