Risk IT Framework di Isaca, le componenti essenziali di un IT risk assessment - Riskmanagement

Risk analysis

Risk IT Framework di Isaca, le componenti essenziali di un IT risk assessment

In questa nuova edizione, pubblicata lo scorso giugno, è diffusamente evidenziato come a occuparsi di valutazione, direzione e controllo debbano essere le strutture aziendali di governance, mentre spettino a quelle di management le attività di pianificazione, esecuzione e monitoraggio

24 Mag 2021

Alberto Elia Martin

La responsabilità delle attività di pianificazione, implementazione e monitoraggio sono affidate al management e nel perseguimento della strategia di raggiungimento degli obiettivi aziendali devono essere condotte in allineamento con la direzione impostata dal governance body. Questa distinzione fondamentale è chiaramente esplicitata all’interno del “Risk IT Framework” di Isaca, associazione indipendente senza fini di lucro nata nel 1969 e fornitore mondiale di competenze, certificazioni, community, patrocinio e percorsi formativi in ambito Assurance e Audit, Security, Cybersecurity, Risk e Governance ICT.

Durante l’intero ciclo vita di cui si compone la best practice definita in questa nuova edizione, pubblicata lo scorso giugno, è diffusamente evidenziato come a occuparsi di valutazione, direzione e controllo debbano essere le strutture aziendali di governance, mentre spettino a quelle di management le attività di pianificazione, esecuzione e monitoraggio, in modo che, se ben allineate tra di loro, sia possibile ottenere una creazione di valore particolarmente efficace.

Questa la premessa essenziale e laddove questo allineamento trovi esplicamento insieme a una adozione enterprise delle practice di risk management, quindi diffuse su tutte le funzioni aziendali con particolare attenzione a quelle di business, sarà possibile accrescere il valore sul medio e lungo termine verso tutti gli stakeholder perché i rischi si posizioneranno nel contesto della mission, delle strategie e degli obiettivi.

La guideline del Risk IT Framework

La guideline che compendia il sopracitato framework è il documento che descrive il “How-to” e si articola in primis attraverso la spiegazione su come debba essere impostato (i.e. setting) il contesto, affrontando poi la parte di risk governance, dove sono elencate le attività che consentono di determinare il risk appetite e la risk tolerance oltre ai Key Risk Indicators (KRIs). Dopo di che, la guideline si concentra sulla pratica di Risk Assessment nei confronti della quale si precisa quali debbano essere gli elementi essenziali di una valutazione del rischio.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery

Risk IT Framework

Risk criteria: espressione degli impatti in termini di “business”

In assenza di un approccio strutturato il rischio potrebbe essere misurato in modo differente tra le diverse funzioni organizzative creando confusione e favorendo una gestione individuale “a silos” anziché una gestione trasversalmente estesa a tutta l’organizzazione in modo uniforme.

Per sopperire a questa eventualità, la guideline evidenzia come sia opportuno procedere con lo sviluppo ad-hoc di adeguati criteri basati sugli impatti in modo da fornire un significativo supporto in fase di impostazione di un risk appetite e delle risk tolerance specifiche per i casi sviluppati, inoltre, nel fare questo sarebbe importante che i range fossero di tipo quantitativo in modo che tali criteri possano anche essere sfruttati come double-check, oppure come input, per gli statement (i.e. enunciati) che costituiscono il risk appetite e la risk tolerance. Tali criteri dovrebbe infine essere applicati a tutto l’environment aziendale e non solo a specifici asset di appartenenza IT.

Un buon punto di partenza dovrebbe essere quello di includere interruzioni di business, tolleranze sulla availability dei sistemi, perdite, sicurezza fisica, salute, sicurezza sul lavoro e penali legali.

Una buona prassi è quella di creare una matrice in cui per ciascuna delle “Impact Area” via siano delle definizioni per “Low”, “Moderate” e “High” di tipo quali-quantitativo in grado di supportare la classificazione con un grado di confidenza sufficientemente ragionevole.

Risk Identification

In questa fase serve identificare ogni minaccia, condizione, area di preoccupazione o rischi già noti che possano compromettere il business e gli obiettivi della mission, tuttavia spesso questo tipo di attività non risulta essere effettuata con adeguata proattività mancando di tempestività nell’innalzamento di attenzione verso i decision maker (e.g. Governance Bodies, Committees) in quanto si è soliti pervenire a questo tipo di consapevolezza attraverso il processo di audit management.

Tale conoscenza è infatti molto più nelle more di chi gestisce gli incident o le emergenze e le crisi (i.e. Emergency e/o Crisis Management) in quanto derivante da attività svolte da esperti in grado di riconoscere tempestivamente quando un evento può realmente materializzarsi, tuttavia sono ancora poco diffusi i processi in grado di portare i possibili elementi di preoccupazione ai livelli aziendali appropriati in modo proattivo anziché a evento materializzato. In questo, la risk identification può apportare un netto miglioramento in quanto è una attività che può apportare un buon grado di confidenza nella conoscenza dei rischi potenzialmente in grado di compromettere gli obiettivi strategici.

La risk identification può avvenire medianti formali workshop oppure attraverso sessioni più informali in cui emergono delle problematiche “a freddo” sulle quali non si stava precipuamente discutendo.

La best practice delinea chiaramente quelle che dovrebbe essere le principali fonti da cui attingere, attraverso la seguente distinzione in categorie di appartenenza:

Evidenze e serie storiche

  • Audit e Incident Report;
  • Report esterni di società di consulenza e ricerca.

Approcci sistematici

  • Vulnerability Assessment;
  • Revisioni di Business Continuity Plan (BCP);
  • Revisioni di Disaster Recovery Plan (DRP);
  • Interviste e workshop con operational management, fornitori e auditors;
  • Metodi induttivi in cui un team esamina un processo per determinare un possibile punto di attacco o di compromissione, come può essere con un Penetration Test.

Risk Assessment e Risk Analysis

Il termine assessment è spesso utilizzato per descrivere ogni processo atto a identificare e analizzare determinati rischi, a prescindere che essi siano analizzati attraverso metodi qualitativi oppure quantitativi. In forma più generalizzata si può definire come la fase in cui si deve comprendere tutto ciò che può andare storto, la probabilità che un particolare evento accada ed il suo potenziale impatto per l’organizzazione.

Il risk assessment è più ampio della sola attività di risk analysis, in quanto esso include anche: (i) la parte relativa alle prioritizzazioni dei rischi identificati in accordo con le soglie definite nel risk appetite e nelle risk tolerances, (ii) il raggruppamento per categorie di rischio ai fini di organizzare le azioni di mitigazione in modo concertato, (iii) la documentazione dei controlli in essere sui quali fare leva nell’individuazione delle azioni di mitigazione per ciascuna categoria di rischio.

A prescindere dal tipo di metodo analitico utilizzato, il Risk Assessor (o Risk Practitioner) dovrà addivenire a un risultato quanto più significativo possibile attraverso la seguente serie di buone pratiche:

  • Effettuare la valutazione (tipicamente qualitativa) o l’analisi (tipicamente quantitativa) per decidere come procedere (i.e. course of action) sulle minaccie, condizioni o preoccupazioni le quali, oltre ad essere prese in considerazione perchè pertinenti in termini di potenziali impatti sul business, dovranno altresì essere valutate anche per la loro componente probabilistica.

In ambito quantitativo, fra i metodi di analisi che possono essere presi in considerazione vi sono:

  1. Maximum foreseeable loss (MFL) – la massima perdita prevedibile che può materializzarsi nel caso in cui un sistema di controllo fallisca;
  2. Probable maximun loss (PML) – la stima massima di perdita che può materializzarsi in occasione del pieno funzionamento di tutti i sistemi di controllo.
  • Includere il rischio identificato in un elenco, tipicamente chiamato Risk Register, e determinare il prossimo passo da compiere, sia di analisi che di risposta. Normalmente questo secondo step avviene mediante una analisi di dettaglio incentrata sui fattori di rischio in modo che sia possibile determinare nel modo più efficace possibile una course of action oppure una cost-justification relativamente ad un eventuale piano di rimedio.

Uno degli approcci di modelling e simulazione più raccomandati è quello della simulazione Monte Carlo, come quello utilizzato nella metodologia Factor Analysis of Information Risk (FAIR), nel quale il rischio è visto come una funzione di una probabilità, intesa come la frequenza di accadimento di un evento che genera una perdita, e del suo impatto. In questo caso l’obiettivo è di determinare statiscamente il migliore (i.e best-case) e il peggiore (worst-case) scenario in modo da abilitare un incident triaging quanto più efficace possibile.

Si possono utilizzare diversi metodi di analisi, che possono spaziare dai livelli qualitativi, generalmente più di alto livello, sino a quelli molto più dettagliati, come quelli quantitativi, oppure anche dotarsi di metodi ibridi. Tuttavia, i metodo qualitativi dovrebbero trovare una loro migliore applicazione durante le fasi iniziali del risk assessment, quando serve effettuare un veloce triage dei rischi identificati, mentre i metodi quantitativi dovrebbero essere utilizzati quando nei successivi approfondimenti, serve individuare con rigore e accuratezza ogni data aggiuntivo.

Risk IT Framework: approcci qualitativi e quantitativi

L’approccio qualitativo si serve delle opinioni di esperti per stimare la frequenza degli impatti sul business e tipicamente sono classificati con scale “High”, “Medium” e “Low”. Questo tipo di classificazione tuttavia non dovrebbe essere utilizzata per le aggregazioni in quanto, seppure appartenenti alla stessa categoria di rischio, ogni evento, per quanto classificato ad esempio “High” non garantisce univocamente lo stesso valore di grandezza se confrontato con un altro rischio sempre “High” in quanto i fattori di rischio possono essere anche molto diversi tra di loro.

L’efficacia del loro utilizzo dovrebbe invece trovare la giusta sede durante la decisione relativa al trattamento del rischio, quando serve capire se determinati rischi, raggruppati per tipologie comuni, si debbano mitigare e meno con delle azioni di rimedio sinergiche tra di loro che possano garantire un valore per l’organizzazione. Questo porta ad un efficientamento delle procedure di ottimizzazione dei controlli in essere.

I metodi quantitativi sono invece meglio applicabili nelle situazioni in cui si deve utilizzare una misurazione che agevoli il decision making con una maggiore accuratezza informativa, priva, o almeno quanto più possibile esente, da soggettività interpretative. E per ottenerla serve utilizzare al meglio i modelli statistici e i dati storici a disposizione dato che le analisi che si poggiano solo su opinioni individuali possono risultare ambigue e alquanto incorrette.

Sebbene esistano anche ulteriori alcuni metodi avanzati per aumentare l’affidabilità delle valutazioni del rischio, questi richiedono forti conoscenze e abilità statistiche dunque, attualmente, il metodo migliore è quello della calibrazione il quale non si basa su metodi statistici ma migliora il processo di stima e l’affidabilità degli input quantitativi quando i dati sono scarsi. La calibrazione è il modo migliore per ottimizzare le proprie stime nel corso del tempo, di riconoscere i propri e altri pregiudizi e diminuire la soggettività nella fase di analisi.

Nel campo dell’Information Technology e della Information Security, l’analisi quantitativa del rischio si trova al momento nelle prime fasi di maturità, ed investire in metodi quantitativi avanzati non sempre si traduce con un valore o un ritorno sull’investimento adeguato.

I diversi metodi, quantitativi e qualitativi, hanno alcuni limiti comuni:

  • nessun metodo è completamente obiettivo e i risultati delle valutazioni e delle analisi possono essere soggetti a pregiudizi personali, conoscenza e abilità del valutatore e dati disponibili utilizzati nella valutazione.
  • le valutazioni solo quantitative sono soggette alla creazione di un’eccessiva fiducia in modelli complessi basati sull’insufficienza dati.
  • le valutazioni esclusivamente qualitative sono inoltre soggette a risultati inaffidabili a causa della natura eccessivamente semplificata dell’utilizzo una scala di misurazione basata su ordinali o tassonomie.

Risk Map

Come affermato in precedenza, le mappe del rischio, o mappe di colore, sono diventate il metodo comune per visualizzare il rischio, il contesto e l’ambito. Su queste mappe, il rischio è tracciato su un diagramma bidimensionale, con frequenza e impatto quali dimensioni di rappresentazione.

La mappa del rischio diventa più utile quando viene combinata con le diverse area di propensione al rischio le quali sono raffigurate attraverso delle bande colorate, come riportato nell’esempio sottostante.

Questa versione della mappa dei rischi identifica immediatamente il rischio che è veramente inaccettabile e richiede una risposta immediata, così come definito negli enunciati del risk appetite.

All’altro estremo dello spettro, la mappa del rischio potrebbe anche consentire l’identificazione di opportunità per allentare i controlli o assumersi maggiori rischi, come rappresentato dalla zona blu nella figura sottostante:

Risk IT Framework

Essa diventa molto utile quando i criteri di misurazione e le scale di impatto sottostanti sono ben definiti e il linguaggio è ben compreso dall’organizzazione. Con il progredire del grado di maturity dei processi di risk management e di decision making spesso c’è una divergenza sul calcolo della probabilità che si verifichi un rischio e una maggiore attenzione all’impatto finanziario che il rischio realizzato potrebbe avere sull’impresa. Ciò si verifica quando il board e il top management hanno come obbligo quello di quantificare il rischio in termini finanziari; le tecniche più comuni per questo sono di spostare l’attenzione sul calcolo del PML o del MFL. L’utilizzo di PML o del MFL consente di analizzare il rischio in relazione all’impatto finanziario in modo da garantire che l’organizzazione disponga di adeguate protezioni finanziarie nel caso in cui il rischio si materializzi.

Un’ultima considerazione quando si stima l’impatto durante la valutazione e l’analisi del rischio è che il modo migliore per ottenere stime affidabili e accettate deve passare attraverso il coinvolgimento di tutte le parti interessate negli esercizi di analisi degli scenari. Questo può essere fatto attraverso valutazioni separate o workshop, seguite da discussioni di gruppo per raggiungere il consenso. Gli staff che eseguono le attività operative sono ottime fonti di scenari plausibili o possono avere informazioni rilevanti sugli incidenti che si sono verificati.

Risk Register

Si tratta di un elenco di aree di rischio che sono state identificate, analizzate e classificate in ordine di priorità. Esso dovrebbe quantomeno contenere i potenziali eventi avversi che sono stati identificati e analizzati per comprendere il potenziale impatto nel caso in cui il rischio si dovesse materializzare. Il registro dei rischi non è un elenco in cui inserire le carenze dei controlli (come le patch software mancanti da un server), tale registro dovrebbe inoltre essere visto come un’estensione della mappa dei rischi in grado di fornire una serie di informazioni dettagliate su ciascun rischio identificato, tra cui: Risk identification

  • Risk owner;
  • Dettagli sullo scenario di rischio;
  • Business unit;
  • Data di avvenuta identificazione;
  • Fonte (se nota);
  • Nome del Risk owner;
  • Titolo del rischio;
  • Enunciato del rischio;
  • Heat map score (qualitativo);
  • Informazioni sui risultati della analisi di dettaglio o score quantitativi;
  • Informazioni di dettaglio sulla risposta al rischio;
  • Attuale stato della risposta al rischio;
  • Informazioni sui relativi controlli;
  • Categoria di rischio primaria;
  • Stato della azione di rimedio;
  • Data attuale;
  • Data ultimo follow-up;
  • Commenti.

Conclusioni

Il risk management è un’attività aziendale che beneficia di un approccio strutturato e standardizzato che può essere applicato all’intera organizzazione favorendo l’aumento della consapevolezza che l’incertezza, o rischio, è parte integrante del business. Con lo sviluppo delle pratice di risk management, i professionisti della disciplina hanno iniziato a distinguere tra condizioni (fattori di rischio) e la misura in cui tali fattori influenzano le attività di creazione di valore del organizzazione (impatto) in modo molto più consapevole ed efficace.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza
@RIPRODUZIONE RISERVATA
M
Alberto Elia Martin
Argomenti trattati

Approfondimenti

R
risk assessment
R
risk management

Articolo 1 di 5