Musa, quell'uom di multiforme ingegno   Dimmi, che molto errò, poich'ebbe a terra Gittate d'Ilïòn le sacre torri; Che città vide molte, e delle genti L'indol conobbe; che sovr'esso il mare Molti dentro del cor sofferse affanni, Mentre a guardar la cara vita intende, E i suoi compagni a ricondur: ma indarno Ricondur desïava i suoi compagni, Ché delle colpe lor tutti periro. (Omero, I Libro Odissea)

Analisi & Studi _{Analisi del rischio}

La valutazione del rischio

• Introduzione
• La teoria
• La valutazione del rischio
• La valutazione qualitativa

Per procedere con la valutazione è necessario associare ad ogni minaccia una probabilità, valutata eventualmente sulla base di informazioni storiche, e, per le minacce che possono sfruttare una vulnerabilità esistente, una gravità funzione dell'impatto sui dati e quindi sull'azienda. Sia il valore della probabilità che quello dell'impatto possono essere descritti in termini qualitativi (bassa, media, alta), il cui significato è descritto nella "valutazione qualitativa". Per ottenere il valore del rischio di incidente si effettua il prodotto logico tra probabilità e impatto, seguendo quella che viene definita in letteratura "matrice 3x3 di valutazione del rischio":

Rischio	Impatto Incidente
Probabilità della Minaccia	Basso	Medio	Alto
Alta	Basso	Medio	Alto
Media	Basso	Medio	Medio
Bassa	Basso	Basso	Basso

In contesti per i quali è necessario prevedere una maggiore definizione delle valutazioni si possono sfruttare matrici 4x4 o matrici 5x5, per le quali possono utilizzarsi espressioni quali molto alto o molto basso a seconda dei casi, per i valori estremi delle grandezze in esame.

Avendo a disposizione l'elenco delle minacce e quello delle vulnerabilità e note le misure di sicurezza già predisposte, è possibile procedere con l'analisi del rischio, considerando che una vulnerabilità può essere sfruttata contemporaneamente da più minacce. In questo caso è possibile procedere con una somma logica delle probabilità delle singole minacce per definire correttamente la probabilità che una particolare vulnerabilità venga sfruttata. In seguito è rappresentata una tabella che descrive la somma logica tra le probabilità nel caso precedentemente esaminato:

Somma Logica	Probabilità Minaccia n° 2
Probabilità Minaccia n° 1	Bassa	Media	Alta
Alta	Alta	Alta	Alta
Media	Media	Media	Alta
Bassa	Bassa	Media	Alta

Quando si presentino contemporaneamente più di una minaccia ad insidiare una vulnerabilità, non è corretto applicare iterativamente la somma logica, ma è corretto procedere, ad esempio, con una somma aritmetica per la quale si possono assumere i seguenti valori:

alta = 1.0

media = 0.5

bassa = 0.1

In questo modo cinque minacce diverse e non correlate con probabilità bassa (0.1) equivalgono ad una minaccia di probabilità media (0.5). I valori associati alle probabilità in questo caso sono indicativi e devono essere modificati in funzione del contesto di applicazione e della sua criticità.