Sicurezza

Analisi del rischio: come misurare aspetti apparentemente immisurabili 

Il metro per misurare qualsiasi fenomeno, a prima vista intangibile, è più semplice di quanto sembri. Prendere un termine ambiguo come “sicurezza” e scomporlo in alcune componenti rilevanti e osservabili è il primo passo verso la sua misurazione

Pubblicato il 12 Lug 2021

Manuel Angelo Salvi

DPO & Standards consultant presso GRC Team S.r.l.

analisi del rischio

Qualsiasi cosa può essere misurata. Anche il rischio. Un’analisi del rischio diverrebbe migliore, se i fattori divenissero tutti misurabili?

A tale proposito, si racconta un aneddoto riguardante il fisico Enrico Fermi. In un bunker di Los Alamos, osservando lo scoppio della prima bomba atomica, egli prese un foglio, lo fece in tanti piccoli pezzi, lasciò cadere i coriandoli dall’alto della propria mano distesa in alto sopra la propria testa e ne osservò il moto di caduta, condizionato dallo spostamento dell’aria, dovuto all’esplosione. Attraverso un semplice calcolo geometrico, dove le variabili erano la distanza dall’epicentro della detonazione, l’altezza della propria mano e la distanza di caduta dei coriandoli di carta, calcolò con una buona approssimazione la potenza della detonazione.

Per fortuna, quotidianamente, all’interno delle nostre realtà, non ci è chiesto di misurare fenomeni estremi e eccezionali quali lo scoppio della prima bomba atomica.

Se pur molto meno complesse della sfida affrontata da Fermi, le analisi del rischio, quotidianamente svolte nelle organizzazioni, spesso non sono sostenute da misurazioni analitiche e oggettive.

Intangibile e analisi del rischio

L’intangibile è tutto ciò che è letteralmente non tangibile, non toccabile. Nell’immaginario collettivo vi sono elementi intangibili facilmente misurabili e altri no. La differenza è solo nel fatto che, di taluni fattori è acclarato il metodo di misurazione e di altri non lo è. Tempo, budget, valore di un brevetto sono tutti elementi letteralmente non toccabili ma con metodi di misurazione sufficientemente padroneggiati o compresi.

La parola intangibile è divenuta anche sinonimo di “non misurabile”. Sovente si definisce intangibile e quindi non misurabile tutta una serie di fattori, non tanto perché essi siano davvero immisurabili, ma semplicemente perché ne ignoriamo il metodo di misurazione. E non perché questo non esista o non sia stato ancora scoperto, ma solo perché non è così diffusamente conosciuto quanto il misurare il tempo.

Talvolta il metro per misurare qualsiasi fenomeno, a prima vista intangibile, è più a portata di mano di quanto sembri.

In ogni organizzazione vi sono numerosi fattori, che non vengono misurati semplicemente perché erroneamente etichettati intangibili. Enrico Fermi di certo non si farebbe scoraggiare da certi pregiudizi. Il valore di un’informazione, il rischio di fallimento, l’efficacia gestionale, la resistenza al cambiamento dello staff di fronte a una innovazione di processo, i ricavi previsti per il lancio di un nuovo prodotto, l’impatto sulla salute pubblica di una nuova politica ambientale, la produttività della ricerca scientifica, la qualità delle interazioni con i clienti, l’immagine pubblica, e molto altro ancora, sono tutti elementi che possono essere misurati.

Per molti è semplicemente un’abitudine etichettare, per impostazione predefinita, qualcosa come intangibile, quando il metodo di misurazione non è immediatamente evidente. Talvolta investimenti anche significativi sono accettati o rifiutati senza alcuna evidenza oggettiva. Anche oggi nell’era della digitalizzazione spinta, gli investimenti in cybersecurity sono spesso valutati soggettivamente dal management, che se pur abile a intuire sulla base dell’esperienza il rischio di un investimento nel proprio settore primario, fatica a prendere decisioni ponderate su temi necessari ma non direttamente riconducibili al proprio settore d’attività. Si pensi, per esempio, alla valutazione del cyber risk per una realtà manifatturiera. Altri fattori importanti, quali “il danno d’immagine” o “il rischio strategico”, sono spesso pregiudizievolmente considerati immisurabili, e le decisioni a tal riguardo lasciate in balia di soggettive e personalistiche intuizioni.

Talvolta l’intangibile, poiché immisurabile, viene considerato un “must have”, limitandosi alla scelta binaria si/no. Se la cybersecurity è considerata un valore strategico o semplicemente se soggettivamente si teme di essere colpiti, magari perché una recente notizia di cronaca ci ha allarmati, si accende il “sì”, altrimenti si rimanda, incrociando le dita, sapendo che prima o poi qualcosa dovrà essere fatto.

In realtà, quasi sempre l’intangibile a cui si sta pensando è stato già misurato da qualcuno o può essere misurato, utilizzando metodi probabilmente meno complicati ed economicamente più fattibili, di quanto si possa pensare.

Ad esempio, il valore di una vita umana è un fattore tangibile e misurabile oppure è intangibile e immisurabile?

Mettiamo da parte per un attimo la ricaduta etica di tale misurazione. La prassi di misurare il valore della vita umana nel mondo assicurativo è ormai consolidata.

Se si può misurare un fattore così aleatorio quale è il valore economico di una vita umana, si può misurare tutto.

Come rendere l’intangibile tangibile

Eratostene, intorno al 200 a.C. misurò meridiano e circonferenza della Terra, semplicemente osservando la differenza dell’angolo con cui i raggi del sole illuminavano i pozzi di Alessandria d’Egitto e Siene, durante il solstizio d’estate. Distanza fra le 2 città e angolo dei raggi solari erano le uniche informazioni necessarie per Eratostene, che calcò la circonferenza della terra con un errore dell’1,4%.

Per tutti, fuorché Eratostene evidentemente, nell’antichità misurare la circonferenza terrestre era qualcosa di inimmaginabile, di effimero e intangibile, come per me potrebbe essere dover misurare l’età dell’Universo. A proposito, l’età dell’Universo dal Big Ben a oggi è stata in effetti misurata. La stima più precisa dell’età dell’universo è di 13,798 ± 0,037 miliardi di anni.

Detto questo, veniamo a problemi di misurazione decisamente più semplici e quotidianamente presenti nelle nostre analisi del rischio.

La regola dei “5 perché”

La tecnica dei “5 perché” nasce all’interno delle metodologie Lean, con le quali Toyota ha costruito nei decenni scorsi il proprio vantaggio competitivo. È un facile strumento per esplorare le relazioni causa-effetto, con l’obiettivo di individuarne la radice del problema (Root Cause Analisys o Analisi delle cause principali).

Il suo utilizzo è piuttosto semplice e si risolve nell’approfondire il tema di cui si sta dibattendo per almeno 5 sottolivelli logici, attraverso la semplice e dirompente domanda “perché?”.

Di solito, di fronte a temi annoverati come intangibili, fermarsi al primo livello logico equivale ad arrendersi di fronte all’impossibilità di misurarne l’intangibilità.

Se, al contrario, si scava e si dettaglia il tema, ci si rende conto, cammin facendo, che gli elementi misurabili sono sempre stati sotto i nostri occhi.

Facciamo l’esempio della sicurezza informatica e dei rischi ad essa collegati, con i quali ogni realtà pubblica o privata che sia, deve fare i conti nelle proprie analisi dei rischi, per rispondere a requisiti cogenti come il GDPR o a controlli volontari come la ISO 27001.

Sul fatto che qualcosa debba essere fatto in termini di sicurezza informatica all’interno di ogni organizzazione, a qualsiasi livello, sia essa la parte operativa, quella tecnica o il management, si è tutti d’accordo.

Basterà chiedere però “perché è utile misurare il rischio informatico?”, che le opinioni inizieranno a non essere più perfettamente allineate. Il management probabilmente sarà interessato a elementi più finanziari (es. ROI, costi dell’investimento), la parte operativa a variabili più funzionali (es. minor accesso ai servizi di help desk), la parte tecnica potrebbe snocciolare il Global Report Annuale WEF o il BCI Horizon Scan.

Addentrandosi nei sottolivelli logici potremo chiedere: “cosa si intende per sicurezza informatica?”. Anche qui le risposte potrebbero essere diverse ed andare dalle preoccupazioni di business continuity o di fermo operativo del management, ai timori della parte operativa relativamente al phishing, alle esigenze tecnologiche e sistemistiche della parte tecnica.

L’investigazione logica dell’oggetto della misurazione, da un livello generico e astratto a uno via via più concreto, rende la misurazione non solo più semplice ma soprattutto più utile. La sicurezza informatica potrebbe non sembrare il concetto più effimero o vago da misurare, ma è solo attraverso la specificazione e la scomposizione delle variabili rilevanti, che si giunge a elementi misurabili.

Tutti pensano che la sicurezza informatica debba essere migliore, ma talvolta lo stesso concetto di sicurezza informatica non è sempre così chiaro. Un attacco hacker (es: ransomware), un’esfiltrazione di dati (es: coppia del database clienti da parte di un area manager dimissionario), un incendio a un data center, un sistema operativo obsoleto (es: Windows 2007), sono tutti problemi concernenti la sicurezza informatica.

Il semplice passaggio da una variabile astratta a un elenco dettagliato di eventi indesiderati specifici rende la misurabilità degli stessi quasi ovvia.

Ciascuno di questi elementi specifici comporta determinati tipi di costi d’implementazione, determinati impatti (es: costi che tali eventi genererebbero) e determinate probabilità d’accadimento. Le probabilità d’accadimento potrebbero inizialmente essere facilmente ottenibili da report di istituzioni indipendenti e poi misurate anno su anno, generando serie storiche sulla specifica realtà.

Prendere un termine ambiguo come “sicurezza” e scomporlo in alcune componenti rilevanti e osservabili è il primo grande passo avanti verso la sua misurazione.

Analisi del rischio: l’intangibile diviene misurabile

“Il 1° passo è misurare tutto ciò che può essere facilmente misurato. Questo è OK per quanto possa valere. Il 2° passo è ignorare ciò che non può essere facilmente misurato o dargli un valore arbitrario. Questo è artificiale e fuorviante. Il terzo 3° è presumere che ciò che non può essere misurato facilmente non sia davvero importante. Questa è cecità. Il 4° passo è dire che ciò che non può essere facilmente misurato in realtà non esiste. Questo è suicidio.” Mcmanara fallacy.

La verità è che esiste una sorta di paradosso nella misurazione.

Vi è la tendenza a misurare in maniera inversamente proporzionale all’utilità della misurazione.

Pensate alla misurazione dell’efficacia dei corsi di formazione. Si misura il numero dei partecipanti e le ore erogate. Ciò è facile ma decisamente poco utile. Non andrebbe forse misurata l’efficacia del corso di formazione?

Pensate alla misurazione del lavoro? Si misurano le ore dedicate e non il valore dell’attività svolta.

Pensate alla misurazione del valore di un investimento. Si misurano i costi del progetto a breve termine e non i benefici a lungo termine.

Come visto precedentemente, attraverso i sottolivelli logici, individueremo, anche per temi apparentemente intangibili, dei parametri misurabili, che potranno così essere calcolati e periodicamente verificati attraverso semplici fogli di calcolo.

Vediamo l’esempio di quali possano essere le ricadute di un attacco informatico (es. cryptolocker) sui costi della forza lavoro:

  • Con quale frequenza media si verificano gli attacchi?
  • Quando si verifica un tale attacco, quante persone sono colpite?
  • Per gli utenti colpiti, di quanto diminuisce la produttività rispetto ai livelli normali?
  • Qual è la durata del blocco dei sistemi?
  • Qual è il costo del lavoro sfumato?

Se conoscessimo la risposta a ciascuna di queste domande, potremmo ad esempio facilmente calcolare il costo medio annuo dell’attacco:

Costo medio annuo dell’attacco = 2 (N° medio attacchi) * 25 (N° medio persone colpite) * 80% (Perdita media di produttività) * 16 (durata media del fermo operativo in ore) * 35.000 (RAL medio) / 1848 (ore anno lavorate). Il costo medio annuo dell’attacco è 12.121 euro. (Le ore anno lavorate saranno fornite dall’ufficio personale. Nell’esempio qui decritto equivale a 21 giorni lavorati, per 11 mensilità, per 8 ore giornata).

L’esempio evidenzia il possibile e credibile impatto di un cryptolocker sul costo lavoro di una qualsiasi PMI italiana.

Naturalmente, l’analisi dovrebbe essere allargata ad altri costi, quali riduzione vendite (es. e-commerce oscurato), quali sanzioni del GDPR (es: sanzione per data-breach), danni d’immagine, ripristino sistemi (es: raffreddamento di un forno di fusione), deperimento merce (es: prodotti freschi in ambito Gdo) e altre variabili specifiche per ogni singola realtà.

Ci sono molti altri fattori, erroneamente considerati intangibili e immisurabili, che, al pari degli esempi sopra riportati, possono essere facilmente misurati se scomposti e specificati.

Analisi del rischio: etichette o valori?

Molte organizzazioni valutano il rischio senza misurarlo.

Il rischio, facendola breve e senza approfondire troppo, è una relazione matematica fra probabilità (un’altra variabile matematica) e impatto.

Detto così ci si aspetterebbe che questa relazione matematica generi un numero. Talvolta è così, anche se il numero generato non è un prodotto, mentre talvolta è un’etichetta.

Molte organizzazioni e molti analisti del rischio indicano semplicemente attraverso un’etichetta se il rischio è “alto”, “medio” o “basso”. Talvolta l’etichetta è sostituita da un numero su una scala da 1 a 5.

Il problema di questo approccio alla misurazione del rischio, denominato qualitativo, è che l’elemento aleatorio e soggettivo è estremamente invadente.

Cosa vuol dire rischio medio ad esempio?

La probabilità del 5% di avere un fermo produttivo prolungato è un rischio basso, medio o alto?

Un danno d‘immagine che porti a una contrazione delle vendite è un rischio basso, medio o alto?

Io personalmente non saprei rispondere a nessuna delle 2 domande, poiché entrambe sono prive di elementi oggettivi, quale la durata del fermo produttivo, la probabilità di accadimento del danno d’immagine, la percentuale di contrazione delle vendite.

All’Europeo di calcio, il siparietto di Cristiano Ronaldo con la bottiglia di Coca Cola sembra abbia provocato una oscillazione verso il basso del titolo Coca Cola per un valore di 4 miliardi. Ipotizzando di doverlo etichettare, cosa sceglieresti, basso, medio o alto?

Io opterei per il basso. L’oscillazione, ammesso sia stata tutta direttamente imputabile al giocatore portoghese è stata nell’ordine dell’1,6% e, se si guarda l’andamento del titolo sul medio periodo, non appare vi sia stata nessuna particolare anomalia.

ISO 29134, uno standard internazionale per calcolare il rischio

Tornando invece a noi, cosa voglia dire “alto”, “medio” o “basso” su una scala di 4 valori, dove il medio diviene “medio alto” e “medio basso”, ce lo dice uno standard internazionale.

La ISO 29134 “Tecnologia dell’informazione — Tecniche di sicurezza — Linee guida per la valutazione dell’impatto sulla privacy” definisce un rischio basso quando gli interessati possono incontrare piccoli inconvenienti superabili senza particolari problemi (perdita di tempo per re-inserimento di dati, fastidi, irritazioni, ecc.).

Il rischio medio basso si ha quando gli interessati possono incontrare inconvenienti superabili con qualche difficoltà (costi extra, impossibilità temporanea di accesso ai servizi di business, di preoccupazioni e timori e incomprensioni, stress, minori fastidi fisici, ecc.).

Il rischio medio alto si ha quando gli interessati possono incontrare notevoli conseguenze superabili anche se con gravi difficoltà (appropriazione indebita di fondi, blacklist da istituzioni finanziarie, i danni alla proprietà, la perdita di occupazione, citazione in giudizio, il peggioramento della salute, ecc.).

Il rischio alto si ha quando gli interessati possono incontrare problemi significativi, o anche conseguenze irreversibili e non superabili (incapacità di lavorare a lungo termine, psicologico o disturbi fisici, morte, ecc.).

Ma anche qui, scommetto che su 10 diverse persone, nel definire un rischio “medio basso” o “medio alto” secondo le indicazioni della ISO 29134, avremmo probabilmente 10 opinioni diverse, essendo tutti elementi soggettivi e opinabili, quali preoccupazione, stress, minori fastidi fisici.

Misurare il rischio nelle persone

Purtroppo, o per fortuna, le persone non sono oggettive, sono naturalmente caratterizzate da diversi livelli di cortisolo (ormone dello stress), adrenalina o dopamina. Hanno pregiudizi e convinzioni personali sulla gravità di un accadimento o sulla probabilità d’avvenimento. Si è, chi più chi meno, ottimisti, realisti o pessimisti. Siamo condizionati da bias cognitivi (distorsione cognitiva e/o deviazione sistematica della razionalità nel giudizio) quali l’ancoraggio, la sovrastima, la sottostima e molti altri ancora.

L’etichetta “medio alto” potrebbe quindi essere indicata dall’analista attraverso valutazioni soggettive e poi governata dal management attraverso valutazioni altrettanto soggettive ma molto diverse.

Alcuni ricercatori hanno inoltre dimostrato che le etichette “basso”, “medio”, “alto” sono ambigue e fallaci. Infatti, oltre che essere soggettive e non suffragate da elementi analitici, inducono l’analista, attraverso il processo di arrotondamento, all’errore. L’attribuzione dello stesso punteggio, ad esempio “medio alto”, a rischi enormemente diversi, porta a raggruppare le risposte in un modo che amplifica l’effetto distorsivo della valutazione, sia per chi attribuisce il valore di rischio, sia per chi si trova a dover prendere decisioni a seguito di tali attribuzioni.

L’etichetta “medio bassa” potrebbe essere utilizzata dall’analista per rischi anche molto diversi, e per una sorta di effetto placebo essere sottostimata dalla governance, che di fronte a un’analisi del rischio con numerose etichette “medio basse” potrebbe essere indotta a dormire sonni troppo tranquilli.

Molti analisti del rischio, soprattutto se con grande esperienza sul campo, si sentono molto più fiduciosi delle loro decisioni e valutazioni, nell’utilizzare un metodo qualitativo, ma questa sensazione di confort non deve essere confusa con l’efficacia dell’analisi. È infatti possibile sperimentare un aumento di fiducia e confidenza nelle proprie decisioni e nelle proprie previsioni, senza alcuna ragione, senza che effettivamente l’analisi sia più accurata. Basta guardarsi indietro per trovare decine e decine di clamorose analisi dei rischi incredibilmente sbagliate. Si pensi al semplice fatto che nel 2019, nessuna analisi del rischio considerava minimamente il rischio pandemico come un fattore significativo.

Talvolta si persevera in un’analisi del rischio qualitativo semplicemente per non lasciare la strada vecchia per quella nuova.

Conclusioni

Il passaggio nell’analisi del rischio da valutazioni soggettive a valutazioni oggettive è un indubbio vantaggio, sia per la efficacia e veridicità dei valori espressi, sia per la confrontabilità nel tempo attraverso serie storiche dei valori, e poter monitorare l’andamento del fattore stesso.

Il metro per misurare qualsiasi fenomeno, a prima vista intangibile, è più a portata di mano di quanto sembri.

Prendere un termine ambiguo come “sicurezza” e scomporlo in alcune componenti rilevanti e osservabili è il primo grande passo avanti verso la sua misurazione.

Attraverso una Root Cause Analysis, scavando i diversi sottolivelli logici, dettagliando il tema, ci si renderà conto, cammin facendo, che gli elementi misurabili sono sempre stati sotto i nostri occhi e talvolta financo ovvi.

Riprendendo l’esempio del costo medio annuo di attacco con cryptolocker, si pensi alla differente utilità di avere una analisi del rischio, che riporti un valore puntuale di 12.121 euro di perdite rispetto a un’etichetta, che si limiti a dire “medio basso”.

Quale dei due out-put sarà più efficace?

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Manuel Angelo Salvi
DPO & Standards consultant presso GRC Team S.r.l.

Articoli correlati

Articolo 1 di 5