La valutazione dei rischi relativi alla sicurezza delle informazioni richiede che le organizzazioni trattino questo tema così come avviene in contesti tipicamente più noti al management, al fine di agire in modo consapevole, proporzionato, significativo ed efficace
In generale, la valutazione oggettiva del rischio è qualcosa che l’uomo non riesce a fare molto bene. Questo è particolarmente vero per i rischi per la sicurezza delle informazioni. Il management di un’azienda è in genere più familiare con il rischio di progetto, il rischio finanziario, il rischio per la salute sul posto di lavoro e così via. I rischi relativi alla sicurezza delle informazioni devono essere inseriti in un contesto simile, affinché i manager possano agire su di essi in modo consapevole, proporzionato, significativo ed efficace. Diverse metodologie di analisi del rischio della sicurezza delle informazioni, basate su valutazioni qualitative o quantitative, peccano indistintamente nella comunicazione verso l’interlocutore più rilevante: il top management. È quest’ultimo che ha la responsabilità, oltre alle leve economiche, per la valutazione e approvazione finale delle opzioni di trattamento del rischio che i manager riportano alla loro attenzione ed è sempre il top management che definisce la propensione al rischio dell’organizzazione.
Tutte le decisioni assunte dalla direzione aziendale devono scaturire da una base informativa solida, che ne sostenga nel tempo la validità e permetta di prevedere le ripercussioni dell’evolversi dei fattori che principalmente agiscono nella valutazione del rischio. Vulnerabilità degli asset, minacce, controlli di sicurezza. Il top management, spesso, non può entrare nel dettaglio dell’analisi, nei suoi tecnicismi, né può sopportare livelli di astrazione in contrasto con l’esigenza di una descrizione puntuale del target. Un motore di reporting di grande effetto grafico non è la risposta corretta per questo gap, eppure una rappresentazione grafica ha degli indubbi vantaggi anche per gli addetti ai lavori. L’immediatezza della comunicazione grafica non è paragonabile alle spesso lunghe e incomprensibili tabelle colme di numeri e testo. In strutture semplici e, a maggior ragione, in quelle più articolate, poter graficamente rappresentare sia la struttura organizzativa, comprendendo sia i processi di business, con la relativa business relevance, sia le relazioni fra processi, sistemi informativi, le applicazioni e le informazioni strutturate, offre diversi e notevoli vantaggi.
Si ha la possibilità di suddividere la fase di modellazione fra più soggetti che congiuntamente concorrono, ognuno per propria competenza, alla rappresentazione complessiva dell’organizzazione, raggiungendo livelli di profondità e dettaglio crescente. Questo permette di raggiungere il livello di astrazione desiderato con la cura del dettaglio che è possibile ottenere senza incorrere in descrizioni approssimative e al tempo stesso consente di individuare in modo ugualmente pertinente, per esempio, le vulnerabilità tecniche derivanti dal security assessment e le vulnerabilità di controllo inversamente legate all’efficacia dei controlli di sicurezza, insistenti su un dato asset. Un discorso analogo può essere fatto per le minacce. Il potere della rappresentazione è amplificato dalla capacità che si ha nel descrivere gli asset dell’organizzazione, siano essi legal entity, dipartimenti, fornitori di prodotti/servizi, hardware, software, supporti di memorizzazione, personale dipendente o collaboratori esterni. L’impiego di strumenti di analisi semplici e intuitivi sopporta il crescente amplificarsi delle attività di analisi del rischio relativo alla sicurezza delle informazioni e consente ai vari livelli dell’organizzazione di avere la propria prospettiva sulla valutazione del rischio, permettendo – al top management – di assumere decisioni consapevoli, proporzionate, significative e realmente efficaci e al tempo stesso – ai livelli operativi – di indagare il dettaglio tecnologico dei singoli rischi.
Luciano Quartarone, docente CLUSIT