Asset & Risk Management


Risk Management
Approccio sistematico per l’identificazione, la categorizzazione, la quantificazione e la gestione proattiva di tutti i rischi presenti in un’organizzazione al fine di migliorarne il valore in conformità allo schema definito attualmente con ISO 31000 e FAIR

Gli approcci metodologici per la valutazione economica del rischio cyber o in generale di “Value at Risk (VaR)” non hanno ottenuto un successo elevato sia per la complessità oggettiva dei metodi sia per la difficoltà nell’acquisire  dati storici in merito alla probabilità di accadimento delle singole minacce.

Da anni lo scenario propone l’approccio FAIR (Factor Analysis of Information Risk), promosso da OpenGroup e dal FAIR Institute in tutto il mondo.

L’approccio FAIR parte dal presupposto che il rischio, definito come “La frequenza probabile con cui si verifichi una potenziale perdita futura”, possa essere scomposto in fattori diversi, secondo un’ontologia molto rigorosa. L’approccio é top down, utilizza dati aggregati e se si coniuga con gli ISMS dell’ISO 27001 può ottenere dati quantitativi senza richiedere complessità (cfr. NIST800-53r4). Un Ontologia di fattori che identifica e definisce il Rischio come una combinazione tra la probabilità della frequenza di un evento e l’entità del danno.

Il principio alla base di FAIR è valutare un singolo scenario di rischio, analizzando lo stesso secondo due dimensioni principali: la dimensione della frequenza (o Loss Event Frequency) con cui un determino agente di minaccia, possa entrare in contatto con un asset, arrecando un danno reale.

La stima di tale danno rappresenta la seconda dimensione di analisi, ovvero la perdita che si ottiene (Loss Magnitude) quando l’evento avverso si verifica.

Il punto di forza di questa metodologia, oltre a produrre risultati in termini finanziari, consiste nel facilitare analisi ed assunzioni, anche quando non sono disponibili dati storici sugli eventi di minaccia (condizioni assai tipica nel caso del rischio cyber).

Ciò è reso possibile dalla scomposizione, appunto in “fattori” a granularità crescente, da cui prende il nome stesso la metodologia, per ridurre il grado di “incertezza” dei valori di frequenza ed impatto di cui sopra, fornendo a tale approccio una flessibilità molto elevata

Obiettivi
Individuare misure aggregate relative a prestazioni e rischi che consentano:
– di prendere decisioni strategiche per operare una creazione di valore ottimizzando il capitale di rischio
– di garantire conformità e stabilità organizzativa attraverso politiche e procedure operative

Estensione  dello “scope” della gestione del rischio da aree tradizionali (mercato, credito, assicurazioni, rischi) fino a coprire l’intera organizzazione (includendo Rischi Operativi e Intangibili)

Anziché concentrarsi sulle “minacce” – downside risk (threats) –  effettuare una gestione integrata dei rischi “minacce/opportunità” – downside and upside risk (threats/opportunities)

Passare da un approccio “monolitico” (ogni business unit identifica e tratta i rischi in modo indipendente) ad un approccio di “portafoglio” (le business unit cooperano all’interno di un framework comune di gestione dei rischi)

Estendere laddove possibile le valutazioni del rischio di tipo “qualitative” con misurazioni “quantitative”

Passare da un approccio di gestione del rischio “reattivo” ad un approccio “proattivo” allineato alla strategia complessiva dell’azienda attraverso una esplicita propensione e gestione del rischio e dei limiti accettati

Identificare una precisa responsabilità (accountability) per ogni rischio
Non permettere che i rischi rimangano senza un proprietario (
owner)
Rendere “prassi” il processi di
“Risk Reporting” in tutta l’organizzazione