La scorsa primavera, nei mesi di aprile e maggio, ZeroUno, in collaborazione con Symantec e NetConsulting ha svolto un’indagine online sul tema del risk management con l’obiettivo di verificare il livello di percezione del rischio It nelle imprese italiane e comprendere quali sono i principali strumenti e misure che queste hanno scelto per gestirlo. Situazione che ZeroUno ha voluto analizzare insieme alle aziende utenti nel corso di uno dei consueti appuntamenti del ciclo “Incontri con gli utenti” che si è tenuto a Milano lo scorso 25 settembre.
Per una visione dettagliata dei risultati dell’indagine svolta da ZeroUno vi rimandiamo all’articolo “Il rischio informatico: quali contromisure”, pubblicato nel numero di settembre di ZeroUno.
Qui, vogliamo mettere l’accento sulla crescita di attenzione che le aziende stanno ponendo verso l’It risk management perché, sostiene Patrizia Fabbri, caporedattore di ZeroUno, “A nostro avviso, questo è un segno decisamente positivo che dimostra la consapevolezza del fatto che le tecnologie sono ormai un forte supporto al business ma che, allo stesso tempo, impone una particolare attenzione alla gestione delle problematiche ad esse connesse”.
“Dall’indagine emerge che l’adozione di policy di sicurezza legate all’analisi dei rischi It coinvolge il 62,7% delle aziende – dice Riccardo Zanchi, partner di NetConsulting -, anche se il rimanente 37,3% deve far riflettere su come in molti casi manchi ancora una strategia di gestione specifica relativa proprio al rischio It”.
Metodologie: ce ne sono troppe!
Le metodologie per la gestione del rischio It sono state oggetto anche dell’intervento di Fabio Battelli, Practice Manager, CISSP, CISA Advisory Practice di Symantec Consulting che ha dapprima enfatizzato il valore connesso al risk management in generale. “La gestione del rischio è importante in un’azienda perché aiuta a valutare correttamente il valore degli asset da proteggere, a definire le contromisure da adottare per garantire la protezione di questi asset, nonché a definire le regole necessarie anche per l’It Governance”, dice il manager di Symantec. “Altro aspetto fondamentale e strettamente legato al rischio It e alla sua gestione è la Compliance. La conformità ed i rischi It sono strettamente legati fra loro in maniera inversamente proporzionale: all’aumentare della conformità It diminuisce il rischio It. Fondamentale, a mio avviso, è che una qualsiasi strategia di gestione del rischio, di business o It, abbia nelle sue fondamenta ben radicato il concetto di governo”.
Di fatto, oggi, esistono ancora molte difficoltà legate alla gestione dei rischi e assistiamo al proliferare di una moltitudine di metodologie che non facilitano certo l’orientamento di chi deve prendere una decisione in merito. Quelle per l’analisi del rischio possono variare nel dettaglio a seconda della tipologia di rischio, dello scopo dell’analisi e del livello di protezione richiesto per gli asset aziendali. Fondamentalmente però si possono classificare in tre aree: analisi qualitativa, quantitativa e ibrida (un mix tra le due precedenti).
A tal proposito, Riccardo Zanchi, citando i dati emersi dall’indagine, ha sottolineato come, nelle aziende dove l’It risk management ha già avuto la giusta attenzione, ben l’83,7% dichiari che nella propria azienda “Esiste una metodologia definita per l’analisi e la gestione del rischio informatico. Analisi che però è prevalentemente di tipo misto (qualitativa e quantitativa)”.
Determinazione del rischio it: quale criterio?
Battelli, nella sua presentazione e successivamente durante il dibattito nato nel corso della tavola rotonda, ha poi voluto porre l’accento sull’importanza dell’analisi dei controlli sottolineando come “Se l’analisi delle minacce è importante, quella dei controlli è di assoluta necessità”.
L’analisi del rischio It, infatti, può essere visto da due differenti prospettive. “L’It risk management fatto attraverso l’analisi delle minacce e delle vulnerabilità implica la prevalenza del metodo quantitativo e impone la disponibilità di una base di dati e informazioni molto ampia, necessaria al calcolo delle probabilità di accadimento”, spiega Battelli. “La gestione effettuata tramite l’analisi dei controlli, invece, implica l’impiego di una metodologia di tipo qualitativo e consente di ottenere risultati rapidi anche in termini di conformità”.
Sebbene l’analisi delle minacce sia particolarmente indicata in settori come quello bancario, risulta essere il parametro maggiormente preferito dalle aziende che hanno partecipato all’indagine di ZeroUno (il 60,6% dei rispondenti ha risposto che il criterio prevalente utilizzato nella determinazione del rischio It è la valutazione delle minacce e delle vulnerabilità; il restante 39,4% ricorre all’analisi dei controlli e delle contromisure).
Non mancano comunque le realtà, anche del segmento Finance, che hanno percepito l’importanza della valutazione delle contromisure, dando quindi preferenza ad una metodologia di tipo qualitativo. Ne è una testimonianza Sia-Ssb, azienda il cui core business è proprio l’It, dato che fornisce servizi informatici per il segmento Finance. “Operando nel settore interbancario la nostra azienda deve necessariamente dare il giusto peso alla gestione del rischio, per noi fondamentale. Nel 2000 ci siamo resi conto che tale gestione “peccava” un po’ di una visione sistemica e di un governo strutturato delle procedure di gestione del rischio stesso”, dice Claudio Pedrotti, direttore risk and security management della società. “Abbiamo quindi avviato un progetto che è partito dalla Compliance e che ha seguito la metodologia della normativa ISO 27001 scegliendo un’analisi di tipo qualitativo delle contromisure che ci ha portato a definire un piano dei rischi ben strutturato. I metodi quantitativi, a mio avviso, sono troppo complessi e onerosi. L’analisi dei controlli ci permette di avere risposte efficaci anche per quanto riguarda la business continuity e il disaster recovery, per noi aree di sicurezza It assolutamente fondamentali. Attraverso l’analisi degli impatti, in caso di discontinuità del servizio o di incidente riusciamo a impostare le corrette misure di prevenzione”.
Francesca Gatti, responsabile sistema qualità e sicurezza di Bticino riporta l’esperienza della sua azienda che, grazie a due distinti progetti, ha permesso di dare un nuovo senso al tema della sicurezza. “Il primo progetto è stato imposto dalla capogruppo ed è relativo all’adeguamento alla Sarbanes Oxley che ci ha “costretti” a ragionare secondo un vero e proprio modello strutturato, imposto dalla normativa stessa -dice la manager di Bticino -. La seconda iniziativa aveva invece ad oggetto i servizi diretti agli utenti per l’erogazione dei quali la sicurezza e l’adeguata gestione dei rischi It diventano un motore importante nella definizione delle metodologie e dei processi”.
Il disaster recovery ha imposto un approccio strutturato e la ricerca di una metodologia finalizzata alla gestione del rischio anche in casa Media Market . Tuttavia, Maurizio Besurga, direttore sistemi informativi della società italiana, sottolinea come “La sicurezza, almeno nel segmento dell’elettronica retail per quella che può essere la mia esperienza, è ancora lasciata alla sensibilità dell’It che fatica a dare quella sistematicità necessaria alla sua gestione. Questo non esclude però che ci siano degli asset strategici che richiedono quindi una certa attenzione verso l’adeguata gestione dei rischi (il disaster recovery, infatti, ha imposto l’adozione di una strategia di gestione del rischio)”.
Sensibilità dei Cio e fornitori It
Agganciandosi alle dichiarazioni di Besurga, Patrizia Fabbri ha posto l’accento sulle difficoltà legate alla consapevolezza in tema di sicurezza e all’approccio metodologico, chiedendo ai partecipanti alla tavola rotonda un parere sul panorama dell’offerta It, soprattutto in ambito consulenziale.
Secondo Sergio Martina, responsabile sistemi informativi di Bmw Italia, “Non esistono fornitori realmente capaci di offrire la giusta consulenza; dalla mia esperienza, i fornitori sono certo preparatissimi dal punto di vista tecnologico ma hanno una scarsa conoscenza delle singole realtà aziendali e hanno quindi difficoltà a calarsi nelle loro problematiche, cosa che diventa di assoluta importanza se il progetto è dedicato alla sicurezza e alla gestione del rischio”. Dello stesso parere Silvio Sorrentino, responsabile It di Corepla che sottolinea una certa scarsità di competenze consulenziali nei fornitori It. “Fortunatamente al nostro interno abbiamo un Dps (documento programmatico sulla sicurezza) che ci permette di avere un approccio strutturato e di seguire una metodologia che ci aiuta anche nella scelta del fornitore, andando a collaborare quindi con quelle realtà che sono in grado di rispondere alle nostre esigenze (che conosciamo e abbiamo già definito in precedenza)”.
Andrea Amato, coordinatore settore clinico sanitario dell’ Ospedale San Gerardo di Monza, aggiunge che “Nella gestione del rischio It hanno un ruolo fondamentale il top management e coloro che in azienda dovrebbero sostenere l’Ict facendo capire ai vertici il perché certi investimenti andrebbero fatti. Forse in questa “missione” il ruolo consulenziale dei fornitori può dare una mano ma mi associo a quanto detto nei precedenti interventi: deve trattarsi di consulenti che abbiano provate esperienze specifiche per il settore di riferimento. La pubblica amministrazione, sia a livello centrale che locale, è una realtà molto complessa. E la Sanità lo è ancor di più. Servono quindi consulenze efficaci, che non facciano perdere tempo”.
Outsourcing = maggiore attenzione alla governance It
Il rapporto con i fornitori è un tema che ha suscitato parecchio interesse durante l’incontro promosso da ZeroUno. Alla tavola rotonda hanno portato la loro esperienza anche Agostino Conte, security manager di Fiat Service e Guido Di Dario, responsabile sistemi informativi di DeAgostini Editore. Entrambe le realtà hanno fatto una scelta di outsourcing che, pur avendo semplificato certi processi, ha imposto alle due aziende una maggiore attenzione alla Governance Ict, inclusa quindi la sicurezza It.
“Noi abbiamo fatto una scelta strategica di outsourcing che ci ha portato ad esternalizzare l’intera struttura Ict. È rimasto al nostro interno il governo dell’It, inteso come gestione del business demand e dei processi organizzativi, tra cui la sicurezza It”, interviene Conte. “Esperienza che ci ha portato quindi a dover dare un nuovo assetto organizzativo alla nostra struttura, sicuramente guidato anche dalle esigenze di conformità alle normative internazionali e all’adeguamento ad alcuni framework che abbiamo deciso di seguire (per esempio Cobit), ma comunque necessario per garantire il raggiungimento degli obiettivi posti attraverso la scelta di outsourcing. Ci siamo quindi dotati di un Comitato di sicurezza composto da un gruppo di persone molto “skillato” in grado, prima di tutto, di gestire e controllare la sicurezza e gestire i rischi secondo un approccio metodologico ormai ben strutturato e consolidato (approccio che oggi facilita anche la gestione di nuovi progetti)”.
Esperienza simile quella raccontata da Di Dario che sottolinea come “la sicurezza assume un ruolo ancor più rilevante quando si fa una scelta di outsourcing perché se da un lato ci si “libera” di alcuni problemi, dall’altro ne sorgono altri non di minore importanza o impatto, come la governance della security e, con essa, l’analisi e la gestione dei rischi It che con l’outsourcing assume una rilevanza, a mio avviso, ancora maggiore”.
Sicurezza e risk management: e la struttura?
Banca Popolare di Sondrio è una di quelle realtà che, pur non avendo al proprio interno un vero e proprio dipartimento preposto alla sicurezza informatica, sta dotandosi di una struttura e una metodologia finalizzata proprio alla gestione del rischio It. “Anni fa l’attenzione era rivolta alla sicurezza fisica ma la parte logica ha preso sempre più piede fino alla decisione di inserire all’interno del team It una figura con responsabilità e competenze legate all’It security governance”, spiega Sergio Bormetti, referente sicurezza Ict dell’istituto italiano. “Oggi la gestione del rischio It ha trovato il giusto peso all’interno delle strategie della banca e ci stiamo quindi dotando di una struttura e un approccio adeguato. I primi “tentativi” li abbiamo affrontati seguendo la metodologia Cramm [metodologia specifica di risk analysis ndr] ma il risultato non è stato soddisfacente e siamo quindi più orientati verso una metodologia che privilegia l’analisi qualitativa”.
Succede anche, a volte, che la struttura preposta alla gestione del rischio nasca in seguito al verificarsi di un “incidente” che, per forza maggiore, impone alle aziende di “correre ai ripari” e di impostare una strategia che eviti il riverificarsi del problema in futuro. “Nel 2006 si è verificato un incidente di sicurezza al Comune di Milano che ha obbligato l’organizzazione It e i vertici della struttura a predisporre un sistema efficace per la prevenzione dei rischi”, racconta Alessandro Musumeci, Cio del Comune di Milano quando ha partecipato all’evento e oggi Cio di Ferrovie dello Stato. “Prevenzione che impone un metodico sistema di analisi sia delle minacce che delle soluzioni possibili per prevenirle. Ed è su questo ultimo aspetto che vorrei porre l’attenzione dato che tra le soluzioni possibili c’è la definizione di policy la cui applicazione e rispetto vanno sistematicamente controllate”.
Il rispetto delle regole e l’adeguamento alle policy sono aspetti importanti anche per Domenico Finucci, security manager di Fiditalia, che, raccontando come gli incidenti travolgano anche gruppi che sul piano sicurezza hanno adottato adeguate strutture e modelli procedurali, sottolinea quanto sia più che mai necessario “analizzare a fondo ogni minimo rischio, dando particolare attenzione anche agli aspetti culturali e di formazione delle persone, dato che dal punto di vista tecnologico oggi le soluzioni facilitano molto le cose”.
Eppure, in alcune aziende la tecnologia è ancora il driver principale delle scelte di sicurezza: “Nella nostra realtà la gestione del rischio è una tematica ancora “sotto osservazione” e la sicurezza è fortemente orientata alla tecnologia più che alla definizione di un metodo”, dice Sergio Errigo, responsabile It di Sint.
“In questi casi risulta di grande valore effettuare un assessment”, interviene Battelli. “In aziende come Sint, l’analisi dei rischi potrebbe rappresentare non il risultato di un approccio metodologico, ma il punto di partenza per arrivarci perché potrebbe dimostrare all’azienda il perché varrebbe la pena investire in questa direzione”.
Gli ostacoli
Un It non ancora percepito come valore di business e una ancora scarsa attenzione al mondo della sicurezza informatica possono essere alcuni degli ostacoli verso l’implementazione di un corretto modello di It risk management. “Le difficoltà con cui devo fare i conti personalmente, per esempio – dice Giorgio Neri, security manager di Actv -, sono da ricondurre ai rapporti tra dipartimenti e tra persone che agiscono in modo passivo solo sulla base delle effettive necessità, senza una visione strategica. Nella nostra realtà non esiste alcun tipo di analisi del rischio perché non è ancora sentita come esigenza dal business e finché questo non avverrà, l’unica soluzione per intraprendere tale strada è che questa arrivi dalla sensibilità di alcuni rappresentanti dell’It”.
Concorda su questo punto Franco Ranzani, security manager di Gesiass che sottolinea: “Anche nel nostro caso la sensibilità del top management sul tema della gestione del rischio It è ancora debole per dare avvio a iniziative concrete. Lo sforzo è guidato in modo proattivo dalla struttura cui sono a capo”. Va comunque sottolineato che, seppur realtà di piccole dimensioni, Gesiass può contare su un ruolo interno dedicato alla sicurezza. E sulla stessa linea c’è anche la visione di Franco Marengo, responsabile sistemi informativi di Teksid che precisa come nel settore industriale “le difficoltà sono da ricondurre ad una mancata percezione del reale valore dell’It per il business, nonché da una problematica oggettiva degli sforzi di investimento in questa direzione. Tuttavia va sottolineato che le normative hanno dato un certo vigore in proposito, costringendo le aziende a dare la giusta attenzione anche agli aspetti di sicurezza e, conseguentemente, anche all’apporto che l’It può dare (ci si è resi conto che per essere in linea con le direttive era necessario l’intervento dell’It)”.
E c’è anche chi degli ostacoli non deve preoccuparsi particolarmente: “Nella nostra realtà la gestione del rischio è centralizzata, ossia ad opera della casa madre”, dice Riccardo Bonalumi, security manager di Astrazeneca. “In Italia la gestione che ci compete è quella relativa al controllo delle “persone” inteso come controllo del rispetto delle policy secondo però una metodologia che viene imposta dalla Corporation. Gli ostacoli quindi sono minimi e possono essere di ordine culturale ma, per fortuna, sempre gestibili e risolvibili”.
