In un recente convegno è stata sottolineata l’importanza di una corretta e condivisa valutazione del rischio Ict, tramite una collaborazione fra risk manager, process owner e responsabili dei sistemi informativi. La loss prevention per migliorare la protezione e limitare i costi assicurativi
Il risk manager non è solo l’esperto di coperture assicurative, ma un
manager che opera in logica di squadra e con approccio consulenziale,
aiutando i responsabili dei processi aziendali e la direzione
d’azienda a identificare e valutare i rischi, definendo i limiti di
tolleranza, le alternative di copertura e gestendo il sistema
informativo aziendale dedicato al Risk management, con informazioni
sui rischi, sui contratti assicurativi, sui danni, sulle azioni di
loss prevention, e così via.
Tutte queste problematiche sono state oggetto di discussione durante
un convegno dell’Iri sul “Risk management”.
Luca Berta, senior manager di Arthur Andersen, ha osservato che i
rischi sono classificabili in tre insiemi: rischi connessi al
contesto esterno, rischi connessi ai processi e rischi di informativa
del processo decisionale, che devono essere misurati valutandone la
rilevanza economica e di immagine, e la probabilità di accadimento.
Secondo Marco Terzago, risk manager di Skf, è importante sviluppare
una risk management policy, curando in particolare le problematiche
di comunicazione, mentre per Emanuele Bonino, responsabile sicurezza
e verifica&validazione della Società italiana Avionica, i rischi
possono riguardare prodotti e processi, e sono di norma attribuiti a
quattro categorie di pericolo: catastrofico, critico, marginale,
trascurabile. Relativamente al funzionamento impianti (caso
assimilabile all’interruzione di servizi Ict) il disservizio è
valutato catastrofico nel caso di fermi superiori ai due giorni,
critico nel caso di fermi superiori alle tre ore, marginale nel caso
di fermi inferiori alle tre ore. Il rischio può, poi, essere
“frequente, probabile, occasionale, remoto, improbabile,
incredibile“, classificazioni che trovano anche un riferimento
quantitativo nello standard Defstan del ministero della Difesa del
Regno Unito (frequente se la probabilità di accadimento è superiore a
1/10, probabile fra 1/100 e 1/10, occasionale fra 1/1.000 e 1/100,
remoto fra 1/10mila e 1/1.000, improbabile fra 1/100mila e 1/10mila,
incredibile fra 1/1 milione e 1/100mila). Se, invece, ci riferiamo
agli impatti economici, è opportuno esprimere la valutazione del
danno come incidenza sul fatturato. Al riguardo Tullio Mastrangelo,
amministratore delegato di M&P risk agency, (e chairman del convegno)
ha proposto a scopo esemplificativo la seguente classificazione:
danno notevole oltre il 5% del fatturato, danno ingente se supera il
20% del fatturato, danno catastrofico se supera il 50% del fatturato.
Il principali rischi Ict riguardano i servizi di front end, per i
quali si stima una perdita di circa 100mila euro per ogni ora di
disservizio, le violazioni da parte di attacker (in particolare virus
e denial of service) e la gestione delle catastrofi, dagli incendi,
agli allagamenti, alle azioni terroristiche. Lorenzo De Gasso,
product manager It security room di Lampertz Italia, ha trattato il
tema della prevenzione dei rischi fisici nei data center, con
particolare riferimento alle misure anti-incendio, evento dannoso che
presenta la più elevata probabilità di accadimento (l’incendio è la
principale causa di danni, con una incidenza superiore al 50%). Al
riguardo De Gasso ha denunciato la presenza di preoccupanti
scollamenti fra chi decide le misure di protezione fisica dei centri
e gli owner di processo. L’owner di processo deve garantire
l’espletamento delle attività di cui ha responsabilità e, pertanto,
deve poter valutare le misure di protezione dei processi di
pertinenza, per quanto relativo alla sicurezza tecnica, logica e
fisica. Secondo De Gasso “solo la contemporanea implementazione delle
tre componenti citate può garantire una effettiva business
continuity“. Al riguardo, una recente ricerca condotta dalla casa
madre di Lampertz in Germania, ha evidenziato che rispetto a tre anni
fa si è incrementata del 100% la dipendenza delle aziende dai servizi
Ict: oltre il 50% delle aziende andrebbe in crisi nel caso di
interruzioni di servizio superiori ai tre giorni. La crescente
attualità della norma Bs 7799 (che ha anche ispirato il regolamento
Base minima di sicurezza per le Pa, emesso dal ministero per
l’Innovazione e le Tecnologie il 16 gennaio 2002) è stata
sottolineata da Carlo Mastrangelo, amministratore delegato di M&P
risk agency. Lo standard, secondo Mastrangelo, “definisce la qualità
di un sistema informatico in termini di controlli periodici da
effettuare e le contromisure minime da adottare. La conformità a uno
standard di sicurezza garantisce la permanenza a un accettabile
livello di sicurezza, le assicurazioni sicuramente lo richiederanno
in futuro per una immediata valutazione del rischio residuo, e molto
probabilmente sarà resa obbligatoria per legge in caso di operazioni
come il trattamento dei dati personali“.
L’importanza strategica
della loss prevention
Secondo Luca Laghi, group risk manager di Pirelli, i benefici della
prevenzione erano valutati in passato unicamente sui risparmi
assicurativi, con una scarsa propensione a investimenti in
prevenzione. Oggi vi è una analisi più attenta delle esposizioni, con
una valutazione complessiva dei benefici, di tipo diretto e indiretto
(ad esempio, riduzione probabilità di sinistri non assicurabili,
benefici di produttività e relazioni sindacali, immagine, e così
via). Laghi ha illustrato i punti chiave del programma internazionale
varato dal Gruppo Pirelli sulla loss prevention, basato su un forte
commitment dell’Alta direzione e sulla consapevolezza diffusa dei
benefici della prevenzione e soprattutto sui grossi rischi che si
corrono in assenza di prevenzione. Rispetto al 1993 gli investimenti
in protezioni fisiche sono incrementati dell’0,8% del valore degli
asset, con una riduzione del 53% dei premi assicurativi. La
strategicità della loss prevention per il settore Ict è stata
sottolineata da Roberto Bosco, risk manager di Mediaset e presidente
della Associazione Italiana Risk Manager (Anra). “Tutto è
assicurabile a livello teorico – ha sostenuto Bosco – il problema è
di conseguire un corretto bilanciamento costi-benefici. Non ha senso
assicurarsi senza una valutazione preventiva dei rischi che tenga
presente gli obiettivi strategici dell’azienda, le caratteristiche
dei processi e i livelli organizzativi interessati, compresi i terzi
che erogano servizi, come ad esempio gli outsourcer di Information e
communication technology“. In questo contesto è fondamentale per un
settore come l’Ict, esposto ad attacchi potenziali, alle frodi, con
le complesse e vaste problematiche di business continuity, fare
un’effettiva ed efficace azione di loss prevention, azione che
peraltro si può ormai considerare un fondamentale prerequisito
richiesto dalle compagnie assicuratrici.
“Diviene sempre più indispensabile – ha proseguito Bosco – il lavoro
di gruppo fra i risk manager, i responsabili dell’Ict e le direzioni
funzionali d’impresa, molte delle quali ospitano negli uffici e nelle
unità produttive risorse Ict critiche per il business. Solo una
valutazione congiunta e multidimensionale del problema può consentire
di abbassare il livello di rischio, adeguando e armonizzando
soluzioni organizzative, processi di lavoro e misure di sicurezza. Ne
deriva la possibilità di individuare con sufficiente affidabilità il
rischio residuo, a fronte del quale è possibile analizzare con le
compagnie assicuratrici le componenti economiche delle polizze.
Relativamente alla business continuity, penso che una realistica e
consapevole policy aziendale debba basarsi soprattutto su sistemi di
loss prevention, con un mix di soluzioni basate sul trasferimento
parziale del rischio agli outsourcer, con la disponibilità di
soluzioni di disaster recovery e con assicurazioni sul rischio
residuo parametrate sulle perdite stimate di fatturato“.
