RISK ANALISYS

Esso ha costituito un elemento dello studio delle probabilità fino alla metà del secolo scorso, quando è stato introdotto nella più generale teoria dell’organizzazione aziendale. Infatti, nel corso della fine del 1800 e della prima metà del 1900 i vari pionieri del management burocratico, amministrativo, scientifico, umanistico non si erano preoccupati più di tanto di analizzare le componenti del rischio nell’organizzazione. E’ solo con l’introduzione, intorno al 1950, successivamente alla conclusione e anche tramite l’esperienza della Seconda Guerra Mondiale, dei principi di indeterminazione e di contingenza, della teoria del caso e dei sistemi complessi nella teorizzazione dell’organizzazione aziendale, che la trattazione dell’analisi e della gestione dei rischi cominciano a trovare spazio.

L’analisi del rischio identifica un insieme di tecniche che utilizzano dati scientifici e calcoli statistici per produrre stime affidabili sulla comparsa di pericoli specifici in determinati scenari. La risk analysis è un processo che consente di descrivere qualitativamente e quantitativamente la probabilità e l’impatto potenziale di alcuni rischi, di formulare decisioni o proporre alternative/opzioni di controllo degli stessi e di comunicare a tutti i soggetti interessati i risultati della valutazione del rischio e le decisioni che si suggerisce di prendere.

L’analisi che si effettua è quindi un processo costituito da queste tre componenti nodali:  GESTIONE del rischio, VALUTAZIONE del rischio e COMUNICAZIONE del rischio. Ne emerge che il “rischio” è l’elemento che guida le scelte progettuali di un prodotto o di un servizio.

Il termine più corretto col quale chiamare la tecnica di analisi e valutazione di possibili pericoli è in realtà risk assessment. Si svolge attraverso i passi seguenti:

1. Individuazione del sistema da esaminare
2. Identificazione dei rischi
3. Stima dei rischi (risk estimation)
4. Valutazione dei rischi (risk evaluation)
5. Eventuali azioni per la riduzione del rischio
6. Raggiunto il rischio tollerabile, predisposizione di informazioni per gli utenti su incognite residue e, se del caso, sulle misure appropriate per ridurle.

Il “Risk Assessment” è la determinazione del valore “qualitativo” o “quantitativo” del rischio correlato ad una situazione concreta e ad una “minaccia” specificata. Può essere applicato in vari contesti, come ad esempio nel settore informatico (sicurezza delle informazioni) oppure per la valutazione dei rischi per la salute e sicurezza nel lavoro o, in ambito bancario, per la valutazione di quelli correlati ai sistemi di pagamento.

Il “Risk Assessment” contribuisce a definire:

• Cosa e da chi proteggere, mediante l’analisi dei processi critici, l’identificazione degli asset e l’analisi delle minacce effettivamente temute
• Quanto proteggere e come proteggere, mediante la stima degli impatti e l’attuazione di adeguate contromisure, in funzione delle effettive esigenze ovvero dei livelli di rischio rilevati.

Applicando in modo sistematico la corretta metodologia si otterranno i seguenti vantaggi:

• ripetibilità dell’analisi e dei risultati
• maggior efficienza nella conduzione dell’analisi
• maggior completezza e copertura delle minacce
• maggior indipendenza dalle funzioni aziendali.

La metodologia da seguire per una corretta gestione della sicurezza delle informazioni deve rispettare i seguenti passaggi:

• analizzare i rischi;
• identificare le misure di sicurezza e predisporre un piano di implementazione delle stesse;
• creare consapevolezza e diffondere la cultura della sicurezza;
• formare il personale ed informarlo con continuità;
• verificare le misure di sicurezza in essere ed adeguarle;
• eseguire attività di reporting, monitoraggio e auditing.

Per concludere, la corretta Risk Analysis viene applicata dunque, perseguendo i seguenti obiettivi: conoscenza del rischio, valutando ed intervenendo prontamente sulle aree riconosciute come le più critiche, affidare tale valutazione ad esperti in grado di progettare e realizzare sistemi sicuri che forniscano rapide soluzioni, sviluppare programmi di manutenzione, utilizzare il rischio come uno dei parametri comparativi per valutare sistemi alternativi.