Il rischio IT o informatico rappresenta una sfida nella gestione del rischio aziendale, infatti richiede l’integrazione tra diversi elementi, tra loro spesso distanti nella gestione aziendale:
- Identificazione la natura e la probabilità degli eventi di rischio IT, di competenza delle funzioni di gestione ICT e di sicurezza informatica
- Valutazione delle conseguenze degli eventi sull’attività aziendale, di competenza delle funzioni operative e di business
- Misurazione e rappresentazione dei rischi rilevati, di competenza delle funzioni di risk management
L’integrazione di questi elementi deve essere sia di natura operativa – più semplice anche se di elevato impatto sulle organizzazioni, sia di natura metodologica, aspetto quest’ultimo che nasconde alcune insidie connesse alla definizione di rischio IT e alla sua collocazione nel panorama dei rischi aziendali.
Si può notare come, ad oggi, siano utilizzati molteplici approcci operativi e metodologici al tema, talvolta non del tutto coerenti tra loro seppure tutti autorevoli, quali ad esempio il framework NIST SP 800-30, il COBIT 5 for Risk, la ISO 27005.
Perché la gestione dell’IT risk è così insidiosa?
La definizione di rischio IT è in qualche modo “fluida”, nel senso che ciò che rientra nel perimetro dei rischi IT dipende fortemente dal contesto e dalle scelte delle singole aziende. Infatti, la definizione di rischio informatico cambia leggermente a seconda dello standard di riferimento, tuttavia, volendo trovare una definizione più generale possibile, si può dire che il rischio informatico sia il rischio derivante dall’utilizzo della tecnologia dell’informazione.
Facciamo un esempio concreto: il phishing è una tipologia di attacco che consiste nell’invio di email o altre comunicazioni via internet al fine di indurre la vittima, per esempio tramite un link, a fornire informazioni o scaricare contenuto dannoso inconsapevolmente, spesso per perpetrare una frode. Secondo la definizione data, il phishing rientra tra i rischi IT, eppure in molti contesti, come quello bancario, il phishing non è ricompreso sotto la gestione dei rischi IT ma ricade nella gestione dei rischi di frode.
Vediamo, quindi, come alcune criticità nell’approccio alla valutazione dei rischi IT siano insite nella natura stessa di tali rischi ed è spesso preferibile approcciare il tema tramite una definizione operativa del rischio informatico che consenta di cogliere le specificità del contesto e adattare il perimetro dei rischi IT pur conservando una corrispondenza alla definizione generale di rischio informatico.
La definizione operativa del rischio IT in un determinato contesto aziendale deve chiarire la natura del rischio informatico, gli eventi in perimetro, gli owner dei rischi, gli stakeholder coinvolti nella loro gestione, e come tali rischi si collocano nel complessivo modello di gestione dei rischi aziendali.
Una definizione con questi elementi indirizza i principali elementi operativi e metodologici del risk assessment e definisce naturalmente quali siano le principali responsabilità.
Quali sono i principali passi operativi nella gestione del IT risk assessment?
Vogliamo qui identificare alcuni elementi critici nelle diverse fasi del IT risk assessment, che possono essere gestiti tramite una corretta “definizione operativa” e che possono fornire degli spunti utili a definire o evolvere il proprio modello di assessment.
Identificare gli stakeholder e gli owner del rischio informatico
L’ownership del rischio determina le responsabilità nel caso di incidenti e nelle scelte fatte per gestire i rischi. Spesso l’owner dei rischi IT identificato nella funzione ICT o Sicurezza, tuttavia se da un punto di vista della gestione operativa tale funzione abbia le competenze per attuare le misure più efficaci, d’altra parte potrebbe non avere completa visibilità delle conseguenze degli eventi e le implicazioni sul business della azioni di gestione del rischio. È preferibile, ove possibile, attribuire la responsabilità finale dei rischi IT alle funzioni che usufruiscono della tecnologia. D’altra parte, il contributo delle funzioni tecniche è essenziale per garantire la necessaria competenza tecnica e sensibilità.
Definire il perimetro dell’assessment sul rischio informatico
Il perimetro deve essere definito in funzione delle finalità dell’assessment. Per esempio, nel caso di assessment integrato con il risk assessment aziendale può aver senso definire il perimetro in termini di processi aziendali e quindi identificare gli elementi tecnologici (ad esempio le applicazioni) a supporto di tali processi. In altri casi invece può essere necessario un focus specifico su alcune tecnologie, che magari supportano diversi processi (gli strumenti per lo Smartworking).
Identificare i rischi informatici
La fase di identificazione richiede una conoscenza, sia degli aspetti metodologici del settore IT, quali ad esempio minacce e vulnerabilità, sia di aspetti contestuali specifici dell’azienda quali ad esempio i processi di business adottati piuttosto che le scelte tecnologiche e di sicurezza effettuate. È quindi importante coinvolgere in questa fase sia le funzioni di business, sia le funzioni ICT e di sicurezza. Infine, occorre sempre un adeguato presidio della funzione di risk management per garantire che siano correttamente identificati tutti gli eventi di rischio compatibili con la definizione data.
Misurare i rischi informatici
La misurazione dei rischi prevede la stima di probabilità e impatto potenziali e residui per ciascuno degli eventi identificati sugli elementi tecnologici in perimetro. Ci sono diversi elementi critici da presidiare, citiamo in particolare:
- la valutazione degli impatti che deve garantire la coerenza della stima delle conseguenze rispetto alle valutazioni svolte su eventi analoghi in altri ambiti (es. incident management) ma tenendo conto anche delle informazioni provenienti dal contesto esterno (es. eventi simili in altre aziende).
- la valutazione della probabilità che dovrebbe consentire una stima realistica della frequenza attesa di un evento di rischio, attività questa resa molto complessa per il fatto che la base dati (lo storico degli incidenti o lo stato dei controlli) è spesso di scarsa qualità e le informazioni non sono sempre coerenti tra loro. Perciò è preferibile, almeno all’inizio, un approccio di tipo qualitativo volto misurare i rischi privilegiando l’informazione relativa allo stato dei controlli.
Valutare i rischi informatici
La valutazione dei rischi consiste nella comparazione tra i risultati ottenuti nella misurazione con la propensione al rischio definita. Quest’ultimo elemento costituisce la principale criticità perché risulta di difficile identificazione. Anche in questo caso, può rivelarsi più efficace un approccio di tipo qualitativo che consenta di prendere decisioni in maniera semplice.
Gestire i rischi informatici
La gestione dei rischi informatici consiste nelle scelte in merito alle azioni di risposta ad un rischio che eccede la propensione al rischio definita (tralasciando il caso di rischi già entro la propensione). Le possibili scelte sono:
- mitigazione, tramite il rafforzamento dei controlli che ne riducono l’impatto o la probabilità
- trasferimento, per esempio tramite l’adozione di una polizza cyber risk
- accettazione, ovvero la scelta del management di sopportare consapevolmente tale rischio in deroga alla propensione definita
- eliminazione, tramite il blocco dell’attività (ad esempio un progetto IT) che genera il rischio
In questa fase è cruciale il ruolo del top management perché le scelte effettuate possono avere conseguenze significative sia sulla strategia ICT, sia su quella aziendale.
Rappresentare i rischi informatici
Rappresentare i rischi informatici significa renderli intelligibili al management e agli eventuali stakeholder esterni; ciò richiede di rappresentare tutte le caratteristiche rilevanti degli eventi di rischio con un linguaggio non (troppo) tecnico e prioritizzare i rischi informatici rispetto agli altri rischi in modo tale da consentire al management di assumere decisioni sugli stessi in maniera consapevole.
Monitorare i rischi informatici
Il monitoraggio richiede prima di tutto un presidio organizzativo e operativo che consenta di raccogliere le informazioni necessarie a misurare lo stato di rischio nel continuo, quindi la capacità di tradurre le informazioni in indicatori significativi e misurabili e di qualità. Spesso anche nelle realtà più mature seppure vi sia un certo livello di definizione e formalizzazione degli indicatori, manca un effettivo presidio operativo per cui gli indicatori rimangono un target teorico ma non trovano un’implementazione effettiva.
E quindi?
La gestione del rischio IT presenta peculiarità e criticità che devono necessariamente essere gestite caso per caso nel modo più opportuno, con un approccio pragmatico volto a prevenire e gestire effettivamente le potenziali problematiche, talvolta anche a discapito dell’eleganza sul piano metodologico.