La ragion d'essere della sicurezza delle informazioni di un'impresa essenzialmente quella di mantenere il rischio ad un livello ritenuto accettabile dal management.

Questo assunto apparentemente banale introduce però due aspetti cruciali del problema:

- il fatto che si tratta di un'opzione strategica della direzione e non dell'IT;

- la necessità di definire il rischio che si intende tollerare.

Le riflessioni che seguono vogliono fornire un contributo concettuale al processo di interpretazione della rilevanza organizzativa della gestione del rischio nei confronti di un approccio in atto che si connota storicamente come sostanzialmente tecnologico.

La sicurezza delle informazioni rappresenta un obiettivo di rilevanza strategica che richiede il coinvolgimento attivo della direzione/management nel tempo al fine di gestire dinamicamente il rischio informativo nell'ambito di una strategia della sicurezza coerente con la strategia di business e con la struttura organizzativa dell'Ente/Azienda.

La certificazione del Sistema di Protezione delle Informazioni (Information Security Management System, ISMS) di per sé non rappresenta necessariamente l'attestazione del raggiungimento dell'obiettivo.

La strada della realizzazione di efficaci I-SMS è purtroppo lastricata di insuccessi; investimenti anche rilevanti non hanno generalmente prodotto i risultati attesi a causa di una insufficiente definizione degli obiettivi, di una confusa ed imprecisa individuazione dei reali rischi e di una valutazione degli impatti sulle attività praticamente assente nei processi di Risk Assessment.

L'auto-valutazione dei manager, la dimensione globale della progettazione (strategica, organizzativa e tecnologica), i confini dell'analisi e i livelli di approfondimento delle vulnerabilità sono infatti aspetti discriminanti che, se mal indirizzati, possono compromettere l'efficienza ed efficacia di tutto il lavoro.

UNA VISIONE UNITARIA

In un contesto di rapido cambiamento e complessità crescente è necessaria una visione unitaria e strategica delle aree di rischio e una valutazione della loro criticità in relazione agli impatti sul business.

Occorre, quindi, un'analisi del rischio preliminare di alto livello orientata alla valutazione degli impatti, utilizzando un approccio olistico in grado di rappresentare le variabili dinamiche nell'ambito dell'Ente inteso come sistema di entità - relazioni.

Solo a valle di tali considerazioni il perimetro di certificazione può essere deciso in modo significativo con un razionale che giustifica i successivi investimenti da realizzare.

É sulle aree valutate critiche che, con successivi livelli di approfondimento, deve essere focalizzata una analisi del rischio di dettaglio, giungendo fino alle singole componenti tecnologiche che possono rappresentare fonti di rischio e, quindi, individuando le relative contromisure.

La certificazione degli apparati ICT si configura, a sua volta, come una possibile contromisura in grado di garantire una particolare efficacia nella riduzione delle vulnerabilità dei sistemi point of failure, che potrebbero essere impropriamente messe a frutto per effettuare intrusioni dall'esterno.

Le certificazioni di sistemi e prodotti ICT secondo gli standard Common Criteria e ITSEC rappresentano, quindi, un'opportunità per gestire i rischi tecnologici, da valutare in relazione all'entità dei rischi stessi.

Per orientare la scelta delle contromisure da realizzare, infatti, occorre a monte una visione complessiva del rischio e dei possibili impatti al fine di evitare spese inutili e non commisurate ai valori da proteggere.

L'ANALISI DEL RISCHIO

L'analisi del rischio non è però confinabile ad ambiti puramente tecnologici e non può essere indirizzata solo da una visione tecnologica del tema.

Infatti, sul piano della gestione strategica, assicurare il giusto equilibrio tra il valore del patrimonio da salvaguardare, i rischi cui risulta esposto e gli investimenti necessari per proteggerlo è responsabilità di tutta la direzione.

Il management deve condividere una serie di principi e regole e diffondere policy e linee guida a tutta l'Organizzazione, attuando una funzione di indirizzo, ma anche di governo e coordinamento del rischio e della sicurezza.

I principi organizzativi guida per il Sistema di Sicurezza sono, in sintesi:

Per assicurare che le policy e le linee guida emanate dalla Asset Corporate Governance di sicurezza possano essere effettivamente rese operative, è, infatti, indispensabile integrare la struttura organizzativa con una rete di responsabilità specifiche (ad esempio ownership degli asset) attribuite a Presidi Organizzativi chiaramente definiti in termini di missione e macro attività.

La sicurezza non può essere garantita da una funzione (Security management) separata dalle attività operative, disgiunta dalle responsabilità di business e misurata su obiettivi di processo; deve invece essere assicurata dai ruoli aziendali che hanno a disposizione le effettive leve di responsabilità e di conoscenza della realtà dell'Ente/Azienda necessarie per prendere decisioni chiave relativamente a tre aspetti: il contributo al business dell'asset da proteggere, il livello di rischio accettabile e l'investimento che è opportuno sostenere per raggiungere tale livello.

L'analisi del rischio viene, in questo modo, gestita come parte integrante del processo decisionale e viene applicata a tutte le reali sorgenti di valore del business.

Per fare questo, occorre evidentemente attivare un presidio diffuso a tutti i livelli della struttura, evitando l'eccessiva burocratizzazione e la proliferazione di ruoli specifici e spesso ridondanti. La via è quella di attribuire a ruoli già esistenti anche precise responsabilità di governo (analisi, gestione e monitoraggio) del rischio attraverso l'attuazione di una rete di responsabilità (Responsabile, Referente, Attuatore) che raggiunge ogni singolo manager.

Un tale modello di funzionamento organizzativo costituisce un riferimento fondamentale per realizzare concretamente, in linea con gli indirizzi strategici dell'Ente/Organizzazione, i processi della gestione del rischio e della sicurezza.