Musa, quell'uom di multiforme ingegno   Dimmi, che molto errò, poich'ebbe a terra Gittate d'Ilïòn le sacre torri; Che città vide molte, e delle genti L'indol conobbe; che sovr'esso il mare Molti dentro del cor sofferse affanni, Mentre a guardar la cara vita intende, E i suoi compagni a ricondur: ma indarno Ricondur desïava i suoi compagni, Ché delle colpe lor tutti periro. (Omero, I Libro Odissea)

Analisi & Studi _{Analisi del rischio}

La valutazione qualitativa

• Introduzione
• La teoria
• La valutazione del rischio
• La valutazione qualitativa

La valutazione qualitativa di probabilità, impatti e livello di rischio prevede che si associ alle espressioni utilizzate per individuarne l'importanza (alto, medio, basso, ecc) un significato oggettivo che aiuti a sfruttare correttamente tale classificazioni in contesti reali. Per procedere con questa classificazione è possibile far riferimento alla documentazione rilasciata dal NIST (National Institute of Standards and Technology), la pubblicazione SP 800 – 30 “Risk Management Guide for Information Technology Systems”.

Un riepilogo delle caratterizzazioni relative alle espressioni qualitative utilizzate, utile alla compilazione delle schede, è riportato nelle tabelle seguenti, ove vengono definite le probabilità di presentazione di una minaccia, l'impatto determinato dall'incidente sulle risorse in esame e il livello di rischio individuato:

Probabilità	Descrizione di verosimiglianza
Alta	La minaccia è fortemente motivata o comunque in grado di sfruttare le vulnerabilità, per le quali non sono predisposte misure di sicurezza efficaci.
Media	La minaccia è sufficientemente motivata e può essere in grado di sfruttare le vulnerabilità, anche se sono state predisposte misure di sicurezza per fronteggiare gli attacchi.
Bassa	La minaccia è scarsamente motivata o poco efficace e sono presenti misure preventive per impedire significativamente che una vulnerabilità venga sfruttata.

Impatto	Descrizione del livello di impatto
Alto	L'incidente può determinare una perdita economica significativa legata a beni e risorse di maggiore rilevanza; può violare o infangare gli obiettivi e la reputazione o penalizzare attività e interessi aziendali; può determinare lesioni gravi o eventi estremi a persone.
Medio	L'incidente può determinare una perdita economica legata a beni e risorse o può penalizzare attività e interessi aziendali; può causare lesioni importanti a persone.
Basso	L'incidente può determinare il deterioramento o la perdita beni e risorse o può inficiare significativamente attività e interessi aziendali.

Rischio	Descrizione del livello di rischio e azioni necessarie
Alto	L'osservazione di un livello di rischio alto determina la necessità improrogabile di introdurre misure di sicurezza. Un sistema in produzione può continuare ad operare, ma contromisure opportune devono essere attivate quanto prima.
Medio	Se viene rilevato un livello di rischio medio, è necessario individuare misure preventive e definire un piano di azione che le attivi in tempi brevi.
Basso	L'osservazione di un livello di rischio basso indica la possibilità di valutare quando sia necessario intraprendere eventuali misure preventive o se il rischio è accettabile, in tempi medio lunghi.

Sfruttando le indicazioni fornite nelle tabelle è possibile compilare la documentazione di supporto all'analisi del rischio, andando ad effettuare una valutazione qualitativa, in grado di fornire risultati sufficientemente oggettivi.