Al Clusit Security Summit è stato presentato il nuovo sforzo editoriale della Community: “Rischio Digitale, innovazione e resilienza”. Il libro, solitamente in sola versione digitale e scaricabile gratuitamente, è stato per la prima volta stampato per i nostalgici delle versioni sfogliabili ed è il tredicesimo di una collezione di produzioni. Segue in ordine l’e-book dall’titolo “Intelligenza artificiale e sicurezza”.
La pubblicazione è un’opera collettiva di 72 professionisti e 8 intervistati, tutti esperti in ambiti eterogenei quali quello legale e della compliance normativa, del risk management e della sicurezza informatica.
Il libro parla di rischio in generale e di rischio digitale in particolare, sono descritte le metodologie di analisi del rischio, i framework utilizzabili nell’analisi del rischio digitale, così come le norme di settore e della compliance, che sempre più sono risk thinking based e si chiude con l’articolazione delle misure di sicurezza da porre in essere per garantire la mitigazione del rischio.
Vediamo più in dettaglio perché potrebbe essere utile scaricarne una versione digitale gratuita anche per i non addetti ai lavori.
Indice degli argomenti
Rischio e rischio digitale
Il libro si apre con una prima sezione introduttiva, dove viene offerta una panoramica generale sul tema del rischio, e su come i rischi siano cambiati nel tempo.
Per individuare quali siano i rischi cui le organizzazioni sono più soggette gli autori hanno analizzato alcuni fra i report internazionali più quotati (Global Risk Report, Allianz risk barometer, Emerging Risk Initiative).
Da questo paniere globale dei rischi, il focus è stato affinato sul rischio digitale.
Durante la presentazione del libro in diretta dall’annuale Clusit Security Summit, ho letto un breve passaggio dell’executive summary Global Risk Report che dice:
“La crescente dipendenza dai sistemi digitali, intensificata dal COVID-19, ha alterato le società. Negli ultimi 18 mesi, le industrie hanno subito una rapida digitalizzazione, i lavoratori sono passati al remote working e le piattaforme e i dispositivi che facilitano questo cambiamento sono proliferati.
Allo stesso tempo, le minacce alla sicurezza informatica stanno aumentando e stanno superando la capacità delle società di prevenirli o rispondere efficacemente”.
D’altro canto, che questa digitalizzazione accelerata porti con sé elementi critici lo possiamo riscontrare nelle quotidiane notizie di cronaca.
Il rischio se pur digitale, comporta conseguenze fisiche e concrete con ricaduta a cascata nel mondo reale e offline, arrivando ad avere ricadute geopolitiche sugli stati stessi. Ma anche senza toccare scenari apocalittici di cyberwar, il rischio digitale ha impatti su occupazione, produttività, cambiamento tecnologico, competenze.
Impatta sulla filiera distributiva a monte e a valle fino al consumatore finale.
Impatta sull’ambiente e sui consumi energetici.
Impatta sui diritti fondamentali e i fenomeni di manipolazione di massa.
La valutazione dei rischi
Dopo una carrellata introduttiva relativa ai rischi, nel libro è tracciata una road map delle attività più significative da svolgere per effettuare una corretta analisi del rischio, offrendo una panoramica generale, spunti e link per approfondirne i diversi aspetti.
Vi sono approfondimenti ai temi della formazione, dell’analisi del contesto, della mappatura dei processi. Un sotto-capitolo curioso ed estremamente interessante, dal titolo “Il rischio dell’analisi del rischio”, descrive le incognite e le criticità sia nel fare l’analisi dei rischi sia nelle conclusioni cui perviene.
Vi sono descritti i principali errori in cui si può cadere, siano essi operativi siano essi psicologici e legati a pregiudizi (bias) nella percezione del rischio.
In una sezione si approfondisce il tema della misurazione del rischio, evidenziando i vantaggi e gli svantaggi delle diverse tipologie di misurazione qualitativa oppure quantitativa.
Ampio spazio è dedicato alla valutazione, che ad esempio può essere per processi oppure per asset, così come al tema delle vulnerabilità e della loro identificazione.
Altri argomenti verticali e che potrebbero rivelarsi utili anche agli addetti ai lavori sono il tema degli indicatori di performance per l’analisi dei rischi, KPI, Kei Risk Indicator e Key Impact Indicator.
Infine, si approfondiscono tematiche strategiche come la gestione integrata del rischio, l’importanza del reporting e soprattutto del “far tesoro delle lezioni apprese”.
I rischi secondo le leggi EU e italiane
“L’obbligatorietà dell’analisi del rischio, presente oggi in diverse discipline e ambiti giuridici, ha origine nell’adozione del “principio di precauzione”, emerso per la prima volta negli anni ’70 nel diritto tedesco e presente in alcuni trattati internazionali come il Trattato di Maastricht del 1992 e il Trattato sul funzionamento dell’Unione europea (TFUE) sempre in riferimento alla materia ambientale.
Il principio nasce per garantire un adeguato livello di protezione dell’ambiente, grazie all’individuazione preventiva di azioni da intraprendere per la mitigazione degli scenari di rischio. Il suo campo di applicazione è oggi molto più vasto di quello per il quale era stato inizialmente ideato e si estende anche alla politica dei consumatori, alla legislazione europea sugli alimenti, alla salute umana, animale e vegetale.
Il principio di precauzione è strettamente legato alla gestione del rischio (valutazione e trattamento del rischio), poiché vanno applicate misure precauzionali a seguito di una decisione “politica”, per controllare e gestire le principali minacce al raggiungimento degli obiettivi, a seguito di una ponderata valutazione delle probabilità di accadimento e delle possibili conseguenze”.
Fra i principali artefici dell’avere reso popolare e diffuso il concetto di rischio vi è senza dubbio il concetto di Accountability fortemente promosso dal Regolamento europeo per la protezione dei dati e proprio il GDPR apre la carrellata di norme risk thinking based descritte nel volume.
Questa sezione non ha ovviamente la funzione di entrare nel merito della norma bensì di offrirne una rapida visione d’insieme, affinché per imprenditori e management sia immediatamente chiara la ricaduta a livello di compliance per la propria organizzazione.
Per ognuna delle norme si è adottato uno schema esplicativo su quattro punti, per renderne i contenuti fruibili anche a chi non avesse dimestichezza con i temi strettamente legali:
- a chi è rivolta;
- la sua rilevanza giuridica;
- gli adempimenti per l’analisi del rischio;
- il regime sanzionatorio.
Le norme prese in considerazione, oltre al GDPR, sono il Regolamento sulle comunicazioni elettroniche, la Direttiva NIS, il Perimetro di sicurezza nazionale cibernetica (PSNC), il Digital Service Act, la proposta di Regolamento sull’Intelligenza Artificiale, la PSD2 o Payment services directive 2, la proposta di regolamento DORA Digital operational resilience act relativo la resilienza operativa digitale, la circolare di Banca d’Italia 285, il Regolamento IVASS 38 per le imprese assicurative, il regolamento sui dispositivi medici, l’UNECE 1959 e Automotive relativo la sicurezza digitale e di connettività delle auto, il D.Lgs. 231/2001 in materia di responsabilità amministrativa, il Codice della crisi d’impresa e infine il regolamento eIDAS.
Approcci per la valutazione del rischio
Dopo aver passato in rassegna le norme cogenti, che impongono alle organizzazioni di strutturare una gestione del rischio, si passa ai framework, che suggeriscono modalità e approcci per poterla fare.
Il libro passa in rassegna diversi schemi per la gestione dei rischi, offrendone una carrellata non esaustiva ma ottimamente rappresentativa, dai più conosciuti e usati, fino a toccarne alcuni più settoriali o specifici.
Anche per i framework si utilizzano schede conoscitive omogene e articolate su elementi fissi, che sono: una sintetica descrizione; l’ambito di applicazione; l’architettura del framework; il trattamento del rischio; le eventuali evoluzioni e piccole case history o esperienze d’utilizzo.
Partendo dalla ISO 31000 Risk Management – Guidelines, lo standard internazionale appositamente pensato per fornire principi e linee guida generali per la gestione del rischio. Norma che ha avuto la sua prima pubblicazione nel 2009.
Il secondo contributo, la ISO 27005, è sempre dell’ambito ISO e fornisce un modello formale di analisi e gestione specifico per la famiglia ISO 27001dedicata alla sicurezza delle informazioni.
Si arriva poi al COSO ERM della statunitense Committee of Sponsoring Organization of the Treadway Commission (COSO), la cui missione è quella di fornire “leadership di pensiero attraverso lo sviluppo di framework e linee guida complete rispetto all’enterprise risk management (ERM), il controllo interno e la deterrenza contro le frodi”.
Rimanendo in ambito U.S.A. non poteva certo mancare il NIST e il suo Cyber security framework, su cui si basa il nostro Framework nazionale per la cyber security FNCS, ovviamente descritto all’interno del libro.
I CIS controls (CCSC), le linee guida ENISA, le Misure di sicurezza di AgID, il COBIT e il RiskIT di ISACA, lo IEC 62443-3-2 per la industrial automation, così come il GAMP 5 in ambito farmaceutico sono gli altri framework sono curati con attenzione.
In chiusura del capitolo dedicato abbiamo anche offerto una tabella riassuntiva con altri 13 framework settoriali messi a disposizione del lettore con i riferimenti per poter poi approfondire la comprensione degli stessi.
I rischi in ambienti e contesti specifici
Il rischio anche se spesso è gestito per un impulso cogente dettato dalla norma e spesso gestito attraverso le indicazioni del framework più idoneo, è qualcosa di estremamente concreto e pratico. E se pur la parola rischio è una sola dietro di essa si celano dinamiche, ambienti, settori e professionalità diverse e spesso lontane fra loro.
Il libro annovera diversi ambiti, tutti afferenti al rischio digitale. Si parte dall’infrastruttura informatica sottolineando l’importanza di un’analisi completa degli elementi, che rappresentano una minaccia per l’erogazione dei servizi IT, attraverso un’analisi dei componenti (o strati) di cui essi sono costituiti e dei momenti che ne caratterizzano il ciclo di vita.
Il libro tocca poi il cloud computing segnalando le criticità emergenti da una scelta troppo affrettata o evidenziando le più comuni vulnerabilità, con cui un utilizzatore di servizi cloud potrebbe trovarsi a fare i conti.
Sul tema dell’Internet of thing e dei rischi ad esso associati, oltre ad una sezione nella presente pubblicazione, va rammentato che la Clusit Security Summit ha pubblicato un libro dedicato e scaricabile gratuitamente.
Vengono toccati i temi dell’Edge computing e dell’intelligenza artificiale.
In ambito più strettamente operativo, sono descritti i rischi legati alla nuova normalità dello smart working, o a quelli relativi la catena di fornitura, la continuità operativa, i social network, i rischi di operational technologies (OT), Big data e analytics.
Gli edifici diventano sempre intelligenti introducendo nuove vulnerabilità, la nostra quotidianità è sempre più online attraverso strumenti mobile e applicazioni, tutti elementi di grande vantaggio, che però introducono nelle nostre routine nuovi elementi di rischio, che abbiamo descritto in specifiche sezioni.
Approfondimenti specifici sui rischi digitali sono svolti per il settore sanitario e in tema di 5G.
Raccomandazioni
Il libro si chiude con le raccomandazioni alle organizzazioni la cui preparazione è stata lungamente messa alle prove in questi ultimi anni, vuoi per il conteso pandemico che per la crescita degli attacchi informatici.
“Il contesto in cui ci troviamo, cosiddetto VUCA World, ossia un mondo caratterizzato da volatilità (volatility), incertezza (uncertainty), complessità (complexity) e ambiguità (ambiguity) costringe le organizzazioni, quanto prima, a prendere in considerazione una riprogettazione del proprio modello organizzativo, riconfigurando strategie, strutture e processi, oltre a sostituire le tradizionali strutture gerarchiche per silos, le logiche di potere decisionale nelle mani del vertice e dei flussi top-down, con strutture tra loro interrelate e flussi bottom-up.
Il processo di digitalizzazione in atto comporta, inoltre, una inevitabile ed urgente riqualificazione della forza lavoro, sia in termini di aumento o cambiamento delle competenze (upskilling e reskilling), sia in termini di adozione di nuovi modelli organizzativi che facilitino la diffusione di una cultura digitale unitamente alle competenze adeguate all’interno dell’organizzazione.
Ne consegue che diventa sempre più urgente e necessario attuare un efficace ed efficiente sistema di gestione dei rischi per garantire la resilienza dell’organizzazione, considerando che la resilienza è una priorità di tutte le organizzazioni. Essa implica:
- anticipare il rischio;
- collegare la gestione del rischio alla strategia aziendale;
- evitare lacune nella percezione del rischio;
- misurare e monitorare costantemente i dati rilevanti.
Il supporto di professionisti di gestione del rischio e di continuità operativa diventa, in questo momento, strategico e fondamentale in quanto è necessario condividere i piani di trattamento del rischio, i piani di continuità e di gestione dell’emergenza e della crisi e comunicare ciò che ogni piano comporta e come si evolverà, cercando allo stesso tempo il coinvolgimento e il contributo di tutti gli attori (interni ed esterni all’organizzazione).
L’organizzazione, concepita come una rete, fatta di connessioni, vasi comunicanti ed estremamente fluida, è in grado di avviare processi di innovazione inter-funzionali e che coinvolgono altre organizzazioni. Le idee “fluiscono” all’interno della cosiddetta “bionic organization” che fa leva su tecnologia e persone per potenziare la crescita, l’innovazione, l’efficienza, la resilienza e la competitività.
Un’organizzazione “agile” e “adaptive” che presuppone la capacità di “fluttuare” come una farfalla ma, al tempo stesso, dotata delle “forze” necessarie per risultare vincente e competitiva.
Conclusioni
Concludendo, è tempo per una transizione o, meglio, una metamorfosi. Siamo di fronte a una trasformazione necessaria e profonda che investe tutta la società a livello globale. Nuovi paradigmi sono necessari. La gestione del rischio e la pianificazione della continuità aziendale sono destinate a confrontarsi con il nuovo approccio “agile & adaptive” che scaturirà in una calibrata sintesi di lessons learned dalla pandemia e di predisposizione o revisione di piani flessibili in modo da aiutare le organizzazioni a prepararsi per il prossimo evento “disruptive”, indipendentemente dalla tipologia di interruzione.
Non ci resta che metterci all’O.P.E.R.A. (schema ideato dalla società di consulenza strategica Roland Berger GMBH): O-pen up operations, P-erfect your value chain, E-mbrace digital, R-eorchestrate value generation, A-ccelerate the learning game.”[1]
@RIPRODUZIONE RISERVATA
