Uno dei metodi di risk assessment, cioe’ di valutazione, stima del rischio, risulta il modello di calcolo basato sul prodotto P X D.
Dal prodotto di probabilita’ di accadimento per danno, si ha una rappresentazione a matrice.
Nell’analisi della matrice di esempio si introduce lo schema di classificazione dei rischi con la scala P x D che va da 1 a 16.
Per ogni tipologia di rischio, dunque, in relazione alla probabilità e alla gravità, viene individuata un’area di rischio.
L’AREA 1 (rischio MOLTO BASSO): Area in cui i pericoli potenziali sono scarsi o sufficientemente sotto controllo.
AREA 2 (rischio BASSO): Area in cui è opportuno verificare che i pericoli potenziali individuati siano sotto controllo.
AREA 3 (rischio MEDIO): Area in cui è necessario identificare e programmare misure di prevenzione e protezione finalizzate alla riduzione del rischio.
AREA 4 (rischio ALTO): Area in cui è necessario identificare e programmare tempestivamente misure di prevenzione e protezione per ridurre sia la probabilità che il danno potenziale. In quest’area sono presenti i rischi che si possono manifestare con notevole frequenza e con gravi conseguenze.
Per ogni rischio verranno individuate delle misure di prevenzione e dei tempi di attuazione e di programmi di miglioramento.
Facciamo un esempio. Societa’ di consulenza finanziaria. Si sta valutando il rischio di attacco informatico, in particolare reato di sottrazione di informazioni magari di aziende concorrenti, o di loro clienti, fornitori ecc.
Lo storico aziendale registra un solo episodio di questo tipo dalla fondazione 10 anni fa che porto’ alla perdita del 30% del fatturato e un ridimensionamento dell’azienda. In questo caso, la probabilita’ di accadimento e’ reale e probabile, potremmo attribuirle un valore di 3; i danni a esso associati potrebbero essere irreversibili e comportare una riduzione parziale ma permanente delle capacita’ aziendali.
In questo schema, ripreso dai fondamenti del risk management ed utilizzati anche in ambito safety, finanza, qualita’, ambiente, vengono inoltre attriibuiti, a titolo esemplificativo, anche dei range temporali entro i quali devono essere applicate delle misure di gestione del rischio.
Ritornando al precedente esempio, il rischio di Cyber attacco, nel caso specifico, ricadrebbe nell’area rischio medio, con necessita’ di applicazione di miglioramenti da applicare con urgenza, ad esempio attraverso l’istallazione di firewall dedicati e programmi di protezione server.
Autore
Valerio Gambino