RISCHIO
Una definizione appropriata di cosa voglia dire rischio è quella data dal comitato di Basilea "the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events" [Bank for International Settlement, 2004].
Per rischio si può intendere: perdita di riservatezza, di fiducia, di disponibilità o perdita totale del bene.
Perché effettuare una Risk Analysis?
Gli Obiettivi che si prefigge una Risk Analysis sono i seguenti:
Individuazione e valutazione sono le prime due fasi cruciali per la successiva fase di gestione: è infatti necessario individuare correttamente i rischi e la causa che li ha scatenati.
Una volta individuati i rischi potenziali, si potrà misurare e valutare la propria vulnerabilità, riconoscere il proprio profilo di rischio e decidere come allocare in maniera efficiente le risorse per la gestione dei rischi. Una previsione più coerente della frequenza/impatto degli eventi dannosi garantisce una migliore gestione dei rischi e conseguentemente una minore esposizione, minori costi e maggior valore per l´azienda.
Di fondamentale importanza non solo per la fase di valutazione ma anche per il monitoraggio e controllo è la costruzione di appositi indicatori, misure sintetiche dell´esposizione al rischio associato alle varie attività e processi, in grado di quantificare il rischio, permettendone sia una classificazione in base a specifici modelli di rating, sia il controllo nel lungo periodo con l´obiettivo di valutare costantemente il profilo di rischio, anticipare l´incremento del rischio di danni futuri, verificare gli effetti di eventuali politiche di mitigazione e riduzione dei rischi.
Le metodologie da utilizzare per una risk analysis possono essere di due tipi :
Quantitative
Qualitative
Si possono quindi indicare in una risk analysis i seguenti passi da effettuare
Passo 1:
Identificare gli Assets: I beni (asset) rappresentano qualunque cosa di valore che necessita di essere protetto o salvaguardato;
Determinare il valore
Verificare se condivisi con altre risorse
Determinare se critici per l’organizzazione o la funzione
Passo 2:
Identificare le minacce applicabili e la loro frequenza di accadimento : Le minacce sono eventi o azioni che possono potenzialmente avere impatto sugli asset. Queste possono essere: errori umani, fallimenti di sistemi informativi gestionali sia hardware che software, procedure e controlli inadeguati, eventi esterni quali incendi, furti, alimentazione elettrica
Passo 3: Contromisure esistenti
Identificare le contromisure attualmente esistenti: Le contromisure sono apparati, processi, azioni e/o procedure in grado di ridurre le vulnerabilità:
o Procedure organizzative
o Supporto del Management
o Contingencyplan
o Metal Detector
o Antivirus software
o Difese perimetrali
o Training
o UPS
o Condizionamento
o Procedure di backup
o Controllo accessi
o CCTV
o Guardie
Valgono solo se opportunamente installate!
Passo 4:
Vulnerabilità: intesa come debolezza che può consentire alle minacce di avere impatto sugli asset Occorre quindi determinare le vulnerabilità ossia le condizioni di debolezza.
Esempi di vulnerabilità: Accessi non autorizzati; Eventi naturali; Instabilità dell’alimentazione elettrica; Attività terroristica; Dipendenza da una sola persona; Errori degli utenti o degli operatori; Incendio;Furto di risorse
Quantificare le vulnerabilità: I livelli di vulnerabilità sono calcolati basandosi sulle contromisure attualmente esistenti. Il processo di risk nalysis deve identificare le aree di vulnerabilità e i loro livelli
Passo 5:
Calcolo delle perdite: La perdita (loss) è una misura dell’impatto su un bene da parte di una o più minacce L’impatto è un ben preciso valore,calcolato e determinato
Passo 6:
Raccomandazioni Ogni azione correttiva è una contromisura , è necessario quindi raccomandare le opportune azioni correttive.
Esistono molti modi per ridurre la perdita attesa dovuta a una contromisura Sono necessarie negoziazioni economiche in fase operativa e di acquisizione. Alcune contromisure sono imposte da norme e regolamenti. Contingencyplan. Securitytraining. Alcune contromisure sono discrezionali.
In ogni riskanalysis devono essere completati i medesimi passi:
E, come in ogni processo, il management deve decidere.
Nell´ambito del risk management e quantificazione del rischio, le principali aree di attività sono:
Obiettivi del Risk Management
Per rischio si può intendere: perdita di riservatezza, di fiducia, di disponibilità o perdita totale del bene.
Perché effettuare una Risk Analysis?
- Fornire informazioni critiche al Management
- E’un prerequisito per la Risk Management
- Rispettare leggi e regolamenti
- Ridurre le perdite provocate dalle minacce
Gli Obiettivi che si prefigge una Risk Analysis sono i seguenti:
- Determinare quali beni sono critici: individuazione
- Identificare e valutare le contromisure esistenti: valutazione
- Identificare le minacce possibili: monitorare
- Determinare le vulnerabilità
- Calcolare le perdite previste
- Raccomandare le azioni correttive: attenuare
Individuazione e valutazione sono le prime due fasi cruciali per la successiva fase di gestione: è infatti necessario individuare correttamente i rischi e la causa che li ha scatenati.
Una volta individuati i rischi potenziali, si potrà misurare e valutare la propria vulnerabilità, riconoscere il proprio profilo di rischio e decidere come allocare in maniera efficiente le risorse per la gestione dei rischi. Una previsione più coerente della frequenza/impatto degli eventi dannosi garantisce una migliore gestione dei rischi e conseguentemente una minore esposizione, minori costi e maggior valore per l´azienda.
Di fondamentale importanza non solo per la fase di valutazione ma anche per il monitoraggio e controllo è la costruzione di appositi indicatori, misure sintetiche dell´esposizione al rischio associato alle varie attività e processi, in grado di quantificare il rischio, permettendone sia una classificazione in base a specifici modelli di rating, sia il controllo nel lungo periodo con l´obiettivo di valutare costantemente il profilo di rischio, anticipare l´incremento del rischio di danni futuri, verificare gli effetti di eventuali politiche di mitigazione e riduzione dei rischi.
Le metodologie da utilizzare per una risk analysis possono essere di due tipi :
Quantitative
- assegnano una valutazione economica dei rischi
- Da considerarsi le più costose e complesse
- hanno il vantaggio a lungo termine in quanto ripetibili e confrontabili
Qualitative
- sono vantaggiose se:
- i beni o i dati non sono facilmente valutabili in termini economici
- la criticità della missione è importante
- Influenzano in misura minima la funzionalità della missione
- Hanno bassi costi di esecuzione
Si possono quindi indicare in una risk analysis i seguenti passi da effettuare
Passo 1:
Identificare gli Assets: I beni (asset) rappresentano qualunque cosa di valore che necessita di essere protetto o salvaguardato;
Determinare il valore
Verificare se condivisi con altre risorse
Determinare se critici per l’organizzazione o la funzione
Passo 2:
Identificare le minacce applicabili e la loro frequenza di accadimento : Le minacce sono eventi o azioni che possono potenzialmente avere impatto sugli asset. Queste possono essere: errori umani, fallimenti di sistemi informativi gestionali sia hardware che software, procedure e controlli inadeguati, eventi esterni quali incendi, furti, alimentazione elettrica
Passo 3: Contromisure esistenti
Identificare le contromisure attualmente esistenti: Le contromisure sono apparati, processi, azioni e/o procedure in grado di ridurre le vulnerabilità:
o Procedure organizzative
o Supporto del Management
o Contingencyplan
o Metal Detector
o Antivirus software
o Difese perimetrali
o Training
o UPS
o Condizionamento
o Procedure di backup
o Controllo accessi
o CCTV
o Guardie
Valgono solo se opportunamente installate!
Passo 4:
Vulnerabilità: intesa come debolezza che può consentire alle minacce di avere impatto sugli asset Occorre quindi determinare le vulnerabilità ossia le condizioni di debolezza.
Esempi di vulnerabilità: Accessi non autorizzati; Eventi naturali; Instabilità dell’alimentazione elettrica; Attività terroristica; Dipendenza da una sola persona; Errori degli utenti o degli operatori; Incendio;Furto di risorse
Quantificare le vulnerabilità: I livelli di vulnerabilità sono calcolati basandosi sulle contromisure attualmente esistenti. Il processo di risk nalysis deve identificare le aree di vulnerabilità e i loro livelli
Passo 5:
Calcolo delle perdite: La perdita (loss) è una misura dell’impatto su un bene da parte di una o più minacce L’impatto è un ben preciso valore,calcolato e determinato
Passo 6:
Raccomandazioni Ogni azione correttiva è una contromisura , è necessario quindi raccomandare le opportune azioni correttive.
Esistono molti modi per ridurre la perdita attesa dovuta a una contromisura Sono necessarie negoziazioni economiche in fase operativa e di acquisizione. Alcune contromisure sono imposte da norme e regolamenti. Contingencyplan. Securitytraining. Alcune contromisure sono discrezionali.
In ogni riskanalysis devono essere completati i medesimi passi:
- Devono essere allocate delle risorse
- Deve essere speso del tempo
E, come in ogni processo, il management deve decidere.
Nell´ambito del risk management e quantificazione del rischio, le principali aree di attività sono:
- mappatura dei rischi, intesa come classificazione delle business line, delle funzioni organizzative dei flussi di processi in base alla tipologia di rischio alle quali ricondurre le perdite registrate, identificazione degli indicatori di esposizione al rischio;
- definizione di uno schema di rilevazione che registri frequenza, impatto e rilevabilità degli eventi considerati;
- definizione di un modello di quantificazione del RO/rischio clinico (in termini di probabilità dell´evento e di danno in caso di accadimento) e stima del capitale assorbito dalla tipologia di rischio;
- analisi delle correlazioni e dei possibili effetti di diversificazione;
- analisi degli effetti dell´assicurazione, backtesting del modello individuato ed (eventualmente) inclusione degli aspetti qualitativi (scorecards, risk indicator, ecc...).
Obiettivi del Risk Management
- Identificare aree specifiche dove le protezioni sono necessarie per prevenire deliberate o accidentali divulgazioni non autorizzate, modifiche, uso non autorizzato delle informazioni, o negazione del servizio
- Utilizzo dell’approccio basato sul rischio
- Conduzione di risk assessment: in ogni caso almeno ogni tre anni
QUADRO RIASSUNTIVO DI UN RISK MANAGEMENT
METODOLOGIE ALLA BASE DI UN RISK MANAGEMENT
Studio della riduzione del rischio
L’obiettivo è di presentare al management le contromisure necessarie alla riduzione del rischio e comprende:
- Risultati della RiskAnalysis
- Raffigurazioni degli ipotetici scenari minaccia/vulnerabilità
- Risultati dell’analisi costi/benefici
- Configurazioni alternative delle contromisure
Selezionare le contromisure:
- Necessità reali di protezione per l’organizzazione
- Valore delle informazioni vs. rischio di perdita
- Determinazione del livello di accettazione del rischio
- Identificazione delle vulnerabilità da eliminare
- Valutazione del ritorno dell’investimento
- Determinazione delle contromisure cost-effective da implementare
- Allocazione delle risorse economiche
Opzioni da considerare quando si selezionano le contromisure
- Riduzione dei rischi
- Prevenzione da perdita
- Limitazione delle perdite
- Trasferimento delle perdite
- Rischio accettabile
Revisione dell’efficacia
Occorre una valutazione periodica delle contromisure adottate a seguito di
- Modifiche nei processi operativi
- Tipi di applicazioni
- Modifica degli obiettivi del Management
- Nuove tecnologie
I risultati della gestione dei rischi devono essere documentati.
Il report finale dovrebbe almeno comprendere:
- Breve descrizione del sistema analizzato
- Descrizione dettagliata della metodologia utilizzata, delle eventuali assunzioni fatte e dei problemi operativi rilevati
- Il diagramma a blocchi che descrive i componenti nei quali è stato
- suddiviso il sistema
- La lista dei componenti del team di lavoro
- La lista del materiale informativo utilizzato
- Le tabelle di raccolta dati
- I risultai ottenuti
I risultati ottenuti possono essere riportati sulla documentazione in modo:
- COMPLETO: Si riportano tutti i risultati in modo da rendere evidente lo svolgimento dell’intera analisi
- PER ECCEZIONI: Vengono registrati i soli problemi evidenziati così da ridurre la documentazione prodotta
Conclusioni
Indipendentemente dal metodo di analisi adottato, la gestione del rischio permette di valutare a priori i probabili rischi cui si può incorrere all’atto dell’implementazione di un processo, un installazione, l’utilizzo di attrezzature.
Essenziale nell’approccio della Risk Analysis è il lavoro di team in cui ogni componente deve essere esperto del proprio settore per una corretta valutazione delle problematiche e dei rischi e per suggerire quali strategie adottare per riportare il Rischio ad un livello accettabile. Una corretta gestione dell’analisi del rischio permette in definitiva di migliorare il processo globale ottenendo prodotti di elevata qualità, e di ridurre i costi di controlli (si andranno a valutare esclusivamente i punti critici del processo), di minori rese ( a causa di un elevato numero di scarti).