Musa, quell'uom di multiforme ingegno   Dimmi, che molto errò, poich'ebbe a terra Gittate d'Ilïòn le sacre torri; Che città vide molte, e delle genti L'indol conobbe; che sovr'esso il mare Molti dentro del cor sofferse affanni, Mentre a guardar la cara vita intende, E i suoi compagni a ricondur: ma indarno Ricondur desïava i suoi compagni, Ché delle colpe lor tutti periro. (Omero, I Libro Odissea)

Analisi & Studi

Analisi del Rischio

• Introduzione
• La teoria
• La valutazione del rischio
• La valutazione qualitativa

Lo scopo dell'analisi è quello di individuare gli eventi potenzialmente dannosi per la riservatezza, per l'integrità e la disponibilità di dati e risorse, valutandone la gravità in funzione del contesto tecnico e operativo di utilizzo. A seconda dei casi sarà necessario valutare l'impatto degli eventi sui dati e definire una scala di priorità in relazione al particolare contesto, in modo da individuare un piano di interventi da attivare per aumentare la sicurezza dei dati stessi.

L'analisi del rischio evidenzia il livello di criticità delle singole banche dati, una fase successiva di gestione del rischio individua le strategie da applicare per ridurre o annullare, a seconda dei casi, il livello di rischio rilevato sulla particolare risorsa. L'insieme delle strategie costituisce il piano degli interventi.

In uno scenario di analisi del rischio, valutazione degli impatti sulle risorse e definizione delle strategie per limitarne i danni, risulta fondamentale la possibilità di definire una priorità sugli interventi da attivare, in modo da fronteggiare in prima battuta i rischi più importanti.

Per questo motivo i risultati dell'analisi del rischio devono fornire informazioni che dipendono fortemente dal contesto in cui l'analisi viene effettuata e risulta di conseguenza complesso stabilire criteri assoluti per la definizione dell'importanza dei rischi e soprattutto della priorità degli interventi, che dipende non solo dai risultati dell'analisi, ma soprattutto dalle politiche di gestione del rischio, di investimento e di sviluppo aziendali.

Di conseguenza per condurre l'analisi è necessario:

1. implementare un criterio di valutazione degli eventi dannosi e degli impatti conseguenti che, pur partendo da elementi validi in assoluto, si cali nella singola realtà e fornisca risultati mediati dalle caratteristiche delle risorse presenti,
2. definire una politica di gestione del rischio che descriva come annullare o diminuire1 il livello di rischio associato ad un particolare evento, in funzione della probabilità che si verifichi, della sua priorità e delle risorse che possono essere investite ragionevolmente nell'attività,
3. redigere un piano di interventi, che può prevedere attività da svolgere immediatamente, per i rischi non sostenibili, attività da svolgere nel medio periodo, per rischi importanti, o attività da pianificare per il futuro, per i rischi di minore entità.