Chi si occupa di sicurezza delle informazioni fatica a far percepire la rilevanza dei rischi e l’esigenza di mitigarli. La risk analysis aiuta ad aumentare la consapevolezza
Spesso, chi valuta le minacce alla sicurezza delle informazioni ha difficoltà a far percepire all’azienda la rilevanza dei rischi affrontati e l’esigenza di mitigarli. Proviamo a capire quali siano alcune delle cause di questa difficoltà. Un primo errore è focalizzarsi sul calcolo di impatto per probabilità, anziché cercare prima di tutto di capire l’azienda, a partire da quello di cui si occupa fino dove siano le sue risorse e i suoi servizi di valore, e di conseguenza da cosa possano derivare le minacce specifiche. Ogni organizzazione ha infatti particolarità proprie e tipiche in termini di valori e di rischi. Limitare l’osservazione alla sola infrastruttura IT non dà sufficiente visibilità di queste specificità, e generalmente neanche di dove i dati di valore si possano ritrovare all’interno dei sistemi informativi. Quali siano le cose a cui l’impresa tiene davvero e quali siano i dati di valore sono aspetti da chiarire con chi gestisce l’operatività dell’organizzazione nel suo complesso.
Molti problemi scaturiscono da voler fare un’analisi dei rischi senza confrontarsi con i referenti delle diverse funzioni aziendali. Questo è certamente un errore metodologico per almeno due motivi. Il primo è che chi gestisce il sistema informativo e la sua sicurezza ha comunque una visibilità parziale delle attività svolte in azienda, anche se conosce tutto del sistema. Il secondo è che molti processi aziendali hanno dei propri meccanismi di mitigazione del rischio, ad esempio per la rilevazione di errori o di operazioni non autorizzate, che solo chi svolge quei processi conosce.
Passiamo ora a un secondo errore che ricorre abbastanza spesso. Per essere efficaci nella raccolta delle valutazioni di impatto, è bene evitare di richiedere una precisione non necessaria che renderebbe complessa la risposta. È molto più utile concordare, ad esempio con il CFO, delle fasce di impatto di diversa criticità. Per fare un esempio, quello che andremo a chiedere non sarà quanto costa un’ora di fermo del processo, ma se un’ora di fermo costa più o meno di 20mila euro, e mezza giornata più o meno di 50mila euro, e dopo quanto il fermo arriva a costare 500mila euro. Naturalmente, i valori cambieranno drasticamente da azienda ad azienda, e non sempre saranno stimabili economicamente.
Nel raccogliere queste valutazioni di impatto è utile ragionare per scenari che i referenti possano comprendere, come un attacco ransomware, senza cercare scenari che verrebbero percepiti come irrealistici, magari nel tentativo di avvalorare una propria valutazione fatta a priori. Nello stesso tempo, non deve essere considerata la capacità delle misure di sicurezza in essere di mitigare gli impatti (inutile dire “impatto basso perché abbiamo i backup”): quello che stiamo facendo è proprio cercare di capire se le misure esistenti sono adeguate o se invece serve integrare altre misure di sicurezza. È valutando gli scenari insieme e in modo trasparente che, finalmente, si creano reciproca comprensione e comunione di intenti fra chi gestisce la sicurezza di dati e servizi e gli utilizzatori. Se l’identificazione dei dati di valore e come questi vadano protetti diventa un processo condiviso, lo saranno anche le esigenze di investimento. Naturalmente, la valutazione del rischio comprende anche un fattore di probabilità, che dipende anche, molto di più, da valutazioni tecnologiche su cui, al netto dei fattori di contesto, chi gestisce la sicurezza del sistema informativo è molto più autonomo.
Infine, un errore frequente è ritenere che l’obiettivo della sicurezza sia quello di minimizzare il rischio. Non è assolutamente così: assumere dei rischi è connaturato all’impresa, ciò che si dovrebbe cercare è piuttosto il miglior bilanciamento fra rischi e opportunità, che è un concetto ben diverso dal ridurre i rischi al minimo. Potrebbe sembrare un passaggio semplice, ma non lo è affatto, e richiede un’interazione che non si può certo ottenere mandando semplicemente dei questionari da compilare.
Claudio Telmon, comitato direttivo Clusit