Analisi del rischio: La metafora del pneumatico liscio

Per ognuno dei successivi quesiti, stima il rischio ad esso associato:

• Chiudi gli occhi e immagina un pneumatico per auto copletamente liscio, così liscio che il solo pensiero che vi sia mai stato un qualche battistrada su quella perfetta superficie levigata è remota e lontana.

Quanto è il rischio?

Basso (1), Medio (2), Medio-alto (3) oppure Alto (4)?

• Ora, immagina che la nostra ruota perfettamente liscia sia legata a una corda appesa al ramo di un magnifico albero.

Quanto è il rischio?

• E se la corda fosse sfilacciata, poco sotto il punto in cui è legata al ramo dell'albero.

Quanto è il rischio?

• E se il pneumatico fosse sospeso su un dirupo sul cui fondo scorre un torrente tumultuoso.

Quanto è il rischio?

Probabilmente, a conti fatti, avrai ritenuto che lo scenario a rischio maggiore sia quello descritto nell'ultima immagine proposta, quello con dirupo e fiume tumultoso.

Ma a chi importa se un vecchio pneumatico liscio cade nel dirupo?

Chiaramente la descrizione fatta richiama alla mente l'immagine di un altalena e il timore che qualcuno possa correre il pericolo di precipitare nel vuoto.

Il punto del giochino qui presentato è che è facile formulare ipotesi.

Prima abbiamo abbiamo pensato ad un autovettura che montasse gomme lisce immaginando un rischio alto, poi abbiamo tirato un sosprio di sollievo di fronte all'immagine bucolica dell'altalena. La corda sfilacciata ci ha allertato, mentre il nostro peggior timore si è manifestato in tutto il suo orrore con la comparsa nello scenario del burrone.

Alcune ipotesi in un'analisi del rischio sono inevitabili, perché è impossibile conoscere ogni fattore all'interno di uno scenario di rischio. Tuttavia, un eccesso di ipotesi possono indebolire seriamente l'analisi complessiva.

Quali sono i componenti del nostro scenario?

Quali sono asset, minacce, vulnerabilità e rischio?

• La risorsa è il pneumatico liscio

• La minaccia è la terra e la forza di gravità applicate al pneumatico e alla fune

• La potenziale vulnerabilità è la corda sfilacciata (trascurando il potenziale ramo marcio dell’albero, ecc.)

E il rischio?

Quale parte dello scenario rappresenta il rischio?

Non c'è un singolo componente all'interno dello scenario su cui possiamo puntare il nostro indice e dire: "Ecco il rischio".

Il rischio non è una cosa. Non possiamo vederlo, toccarlo o misurarlo direttamente.

Il rischio è paragonabile alla velocità, che è derivata dalla distanza divisa per il tempo, e allo stesso modo il rischio è un valore derivato.

Deriva dal prodotto di probabilità della minaccia, vulnerabilità e caratteristiche della risorsa.

Ricorda sempre che un rischio è significativo se comporta una perdita significativa. In altre parole, non importa quanto sia esposto ai danni una risorsa, se la risorsa non vale molto, il rischio non può essere alto, poichè il rischio include sempre una componente di valore. 

Una definizione ragionevole di minaccia è qualsiasi cosa (ad es. Oggetto, sostanza, essere umano, ecc.) in grado di agire contro una risorsa provocando un danno.

Un tornado è una minaccia, così come un'alluvione, così come un hacker. Rammenta sempre che le minacce applicano una forza (acqua, vento, codice di exploit, ecc.) contro una risorsa che può causare un evento di perdita.

Threat: potential cause of an unwanted incident, which can result in harm to a system or organization (ISO/IEC 27000)

Minaccia: potenziale causa di un incidente indesiderato, che può provocare danni a un sistema o un'organizzazione

La vulnerabilità è potenziale.

La corda sfilacciata non è una vulnerabilità di per sè.

Se la nostra fune pur sfilacciata continuasse ad avere una resistenza alla trazione da 1500÷1800 N/mm², la sua vulnerabilità al peso del pneumatico o di una persona sedutavi sopra sarebbe praticamente zero.

Se il nostro scenario avesse incluso uno scoiattolo che rosicchia la corda sfilacciata, anche lui sarebbe considerato una minaccia e la durezza della corda ne determinerebbe la vulnerabilità a quella minaccia. Un cavo d'acciaio - anche uno sfilacciato - non sarebbe particolarmente vulnerabile al nostro amico peloso. La vulnerabilità dipende sempre dal tipo e dal livello di forza applicata.

Vulnerability: weakness of an asset or control that can be exploited by one or more threats (ISO/IEC 27000).

Vulnerabilità: debolezza di una risorsa o di un controllo, che possa essere sfruttato da una o più minacce.

Nel contesto del rischio di informazioni, possiamo definire Asset qualsiasi dato, dispositivo o altro componente dell'ambiente che supporta attività relative alle informazioni, a cui è possibile accedere, utilizzare, divulgare, alterare, distruggere e / o rubare illecitamente.

Spesso ci si chiede se la reputazione aziendale sia una risorsa.

Chiaramente, la reputazione è una risorsa importante per un'organizzazione, ma non si qualifica come risorsa di informazioni secondo la nostra definizione.

La reputazione può essere danneggiata, ma questo è il risultato a valle di un evento, piuttosto che la risorsa all'interno dell'evento. 

La seguente definizione si applica indipendentemente dal fatto che si parli di rischio di investimento, rischio di mercato, rischio di credito, rischio di informazione o qualsiasi altro dominio di rischio a cui si fa comunemente riferimento:

Risk: effect of uncertainty on objectives (UNI EN ISO 31000)

Rischio: l'effetto dell'incertezza sugli obiettivi

In altre parole, quanto spesso è probabile che accada un evento, solitamente inteso come dannoso, e quanto è probabile che ne consegua una perdita.

Dove si inseriscono burrone e fiume tumultuoso nella nostra equazione di rischio?

Non sono agenti di minaccia perché non provocano un evento e, chiaramente, non sono vulnerabilità che consentono il verificarsi di un evento.

Queste componenti possono essere considerate fattori di perdita secondari perché la loro esistenza contribuisce all'entità della perdita dovuta all'evento.

Un esempio pratico sono multe e sanzioni imposte dalle agenzie di regolamentazione a seguito di un evento sulla sicurezza delle informazioni. Regolamenti e autorità non sono ne minacce ne vulnerabilità, tuttavia, giocano un ruolo nella quantità di perdita, che si verifica e quindi devono essere inclusi nella nostra analisi dei rischi.