21.10.11  

1  

Dove  è  il  rischio?    

Manno,  18  o4obre  2011    

Silvano  Marioni,  CISSP,  AMBCI  

Che cosa è il rischio? Il rischio è una funzione : della probabilità di una minaccia e

dell’impatto che un evento ha su una risorsa favorito da un’eventuale vulnerabilità

 

18.10.11   ©  www.marioni.org   2  

21.10.11  

2  

Che cosa è la gestione del rischio? È un’attività che ha come scopo: la revisione sistematica dei rischi per identificare le soluzioni più adeguate a ridurli a un livello accettabile l’analisi dell’efficacia delle contromisure esistenti per la protezione delle risorse aziendali la decisione sulla priorità nella scelta delle soluzioni più efficaci per riduzione del rischio tenendo conto degli aspetti finanziari, organizzativi e di implementazione

 

18.10.11   ©  www.marioni.org   3  

Come decidiamo sul rischio Gli essere umani hanno la tendenza a fare errori di valutazione e di conseguenza di decisione nelle situazioni di incertezza Alcuni esempi secondo Tversky e Kahneman: -  È difficile ragionare intuitivamente in situazioni

complesse -  Si interpretano nuove informazioni in modo da

confermare le opinioni preesistenti -  Si evitano scelte rischiose rispetto ai guadagni ma si

è propensi a fare scelte rischiose rispetto alle perdite

18.10.11   ©  www.marioni.org   4  

21.10.11  

3  

Esempi nella valutazione del rischio

18.10.11   ©  www.marioni.org   5  

18.10.11   ©  www.marioni.org   6  

Identificare il rischio Definire il livello di tolleranza

Come gestire il rischio

21.10.11  

4  

Identificare il rischio

Esposizione al rischio Probabilità di un evento Impatto dell’evento

18.10.11   ©  www.marioni.org   7  

                                         Esposizione al rischio

Analisi delle minacce Valutazione delle vulnerabilità

18.10.11   ©  www.marioni.org   8  

21.10.11  

5  

Probabilità di un evento

Certezza Possibilità Prevedibilità

18.10.11   ©  www.marioni.org   9  

Impatto dell’evento

Rapidità Gravità Durata  

18.10.11   ©  www.marioni.org   10  

21.10.11  

6  

Definire il livello di tolleranza Identificare il valore del bene Che perdita sono disposto ad accettare

18.10.11   ©  www.marioni.org   11  

Identificare il valore del bene

Tangibile Intangibile  

18.10.11   ©  www.marioni.org   12  

21.10.11  

7  

Che perdita sono disposto"ad accettare

Finanziaria Di immagine Legale  

18.10.11   ©  www.marioni.org   13  

Chi deve decidere sul rischio?

18.10.11   ©  www.marioni.org   14  

Decisioni tecniche Decisioni manageriali

21.10.11  

8  

Rischio = probabilità x impatto

18.10.11   ©  www.marioni.org   15  

Situazioni da gestire

Rischi estremi

Situazioni da evitare

Situazioni trascurabili

Pro

babi

lità d

ella

mina

ccia

Impatto della minaccia

I rischi estremi

Rischi con bassa probabilità ma alto impatto Difficili da stimare per mancanza di informazioni Accadono raramente o non sono mai accaduti

18.10.11   ©  www.marioni.org   16  

21.10.11  

9  

Come dovremmo prevedere i rischi Analizzare come si prendono le decisioni sul rischio •  Evitare di basarsi su preconcetti o su modelli non

adeguati •  Evitare i metodi statistici utili solo per previsioni su

grossi volumi di dati omogenei •  Valutare in modo oggettivo l’impatto e non

sottostimare la probabilità Conoscere il contesto in cui il rischio si può manifestare •  Cercare di avere tutte le competenze tecniche e

organizzative necessarie •  Essere creativi ma metodici e disciplinati  18.10.11   ©  www.marioni.org   17  

Alcuni esempi per contrastare i rischi

Aumentare la robustezza e la resilienza •  Preferire soluzioni certe e non probabili •  Integrare nei sistemi complessi le soluzioni più

semplici possibili Diminuire la fragilità •  Evitare l’ottimizzazione e favorire la ridondanza •  Duplicare le risorse, inserire controlli, rafforzare i

punti critici  18.10.11   ©  www.marioni.org   18  

21.10.11  

10  

Un esempio di duplicazione delle risorse

Grazie per l’attenzione!

18.10.11   ©  www.marioni.org   19