Risk analysis e It governance. Una sinergia fondamentale

Una delle tante incombenze relative alla compliance con la legge Privacy (196/2003) è quella duplice degli inventari dei sistemi informativi, dove i dati sensibili e giudiziari risiedono, e la relativa analisi dei rischi. In questa seconda puntata (si …

Una delle tante incombenze relative alla compliance con la legge Privacy (196/2003) è quella duplice degli inventari dei sistemi informativi, dove i dati sensibili e giudiziari risiedono, e la relativa analisi dei rischi. In questa seconda puntata (si veda Linea Edp n°37) cercheremo di fare una carrellata sulle problematiche più comuni e una panoramica sui possibili approcci risolutivi al problema.

Un problema nascosto…


…verrebbe da dire “volutamente”. Durante i progetti a cui chi vi scrive ha partecipato, una delle costanti in azienda è la mancanza di inventario delle risorse ove i dati correlati alla legge 196 dovrebbero risiedere. I motivi fondamentali di questa lacuna risiedono fondamentalmente nel fatto che “mappare” le risorse informatiche all’interno dell’azienda può risultare frustrante e, allo stesso tempo, estremamente dispendioso. Chiunque abbia avuto a che fare con le tematiche di asset management sa di cosa stiamo parlando. Tuttavia, a causa della mancanza di visione strategica, molti It manager e Cio non capiscono che prendere l’obbligatorietà ex lege di alcune pratiche può essere utile per riordinare anche processi e ridurre drasticamente (e in maniera costruttiva) i costi di gestione It, oltre che il peso di incidenti informatici e frodi di vario tipo. Tuttavia, che lo si voglia ammettere o meno, l’inventario delle risorse informatiche dove i dati oggetto di protezione sono custoditi è obbligatorio. Conoscere gli oggetti ove i dati sono conservati è, infatti, propedeutico per la successiva protezione. Quest’ultima è, evidentemente, più efficace se preceduta da un’analisi strutturata del rischio. Alcuni operatori della consulenza ritengono che propedeutico all’analisi del rischio (ma in alcuni casi anche consequenziale) sia il processo Icp (Information Classification Program). Con questo termine si intende l’insieme di processi, basati su una metodologia, che pianificano, definiscono e gestiscono la classificazione delle informazioni aziendali. Tale principio, che di fatto è alla base dei dettami normativi della legge sulla privacy e viene più volte richiamato da normative internazionali quali la Sarbanes-Oxley, vede generalmente l’applicazione di “coefficienti di importanza” alle varie categorie di informazioni, che vegono generalmente organizzate in gruppi omogenei. L’Information Classification Program è un processo di fatto obbligatorio ma, altrettanto di fatto, non eseguito dalla maggior parte delle aziende italiane. Ciò significa che moltissime organizzazioni operano potenzialmente in violazione della legge Privacy. L’attuale situazione delle aziende relativamente a questo tipo di tematica fa pensare che, nonostante i propositi di ogni responsabile It, l’approccio alla tutela dei dati sia concentrato soprattutto sulla protezione delle macchine dove le stesse informazioni sono conservate. Fatto sta che dette risorse non sono del tutto note, persino all’interno dell’azienda stessa.

Le possibili soluzioni


Ma allora cosa fare? Premesso che siamo i primi a ritenere che un’analisi del rischio su tutto lo spettro informativo aziendale sia decisamente irrealizzabile, questa impossibilità di fatto rappresenta per molti un paravento, dietro al quale nascondersi per poi tirar fuori dal “cilindro” il “coniglio” del template. Chi non ha mai ascoltato domande del tipo “non avrebbe un template sul quale basarsi?” che tutti i clienti fanno, prima o poi. Forse con gli strumenti che stiamo per presentarvi è possibile dare una risposta. A ogni modo, al fine di mera panoramica sulle varie metodologie esistenti, ricordiamo che di base esistono quattro approcci all’analisi del rischio.


L’analisi del rischio “qualitativa”, si verifica quando l’attività di valutazione di asset, informazioni, fattori di rischio ed esposizione viene calcolata in maniera maggiormente bilanciata verso la “percezione”, piuttosto che nel rispetto della statistica vera e propria. I vantaggi di un approccio di questo tipo sono principalmente l’accuratezza dell’output, basato su parametri di vita reale. Di contro, sussiste una eccessiva difficoltà nella fase di acquisizione delle informazioni e nella loro valutazione, basata su coefficiente di tipo rischio/esposizione. Si utilizza, invece, un’analisi del rischio “quantitativa” quando è la statistica ad avere un peso maggiore nel calcolo dei fattori di rischio. In questo caso, viene utilizzato un criterio di tipo numerico anche nell’attribuzione dei coefficienti di importanza degli asset da proteggere. Si tratta di un metodo molto utilizzato nel mondo assicurativo. Il vantaggio più evidente è l’accuratezza della valutazione dei fattori di rischio, basata su formule e modelli matematici. Per contro, cambiando un numero o un parametro, il risultato può essere seriamente compromesso.

Gli approcci di sintesi


Esistono, poi, altri due approcci differenziati, basati su metodi alternativi come il Frap (Facilitated Risk analysis Process) e Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation). Tali metodi sono stati sviluppati rispettivamente dal Computer Security Institute (gruppo Peltier) e dal Cert (Computer Emergency Response Team) della Carnegie Mellon. Rappresentano una sintesi delle due soluzioni sopra citate e hanno il vantaggio di avere una maggiore flessibiltà. Dall’altro lato, però, non godono ancora di un consenso tale da poter essere definiti standard. Nella pratica, infine, aumentano i casi di approccio misto. Tali metodiche utilizzano una valutazione di tipo quantitativo comunque bilanciata da aspetti percettivi e di confronto, che è possibile valutare soprattutto nella fase di reporting. È chiaro che, nonostante vi sia una certa flessibilità e conformità allo stato dell’arte aziendale, il contro è che, senza uno strumento a supporto, si farà poca strada.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome