dove e il rischio - Marioni e il rischio.pdf• Evitare i metodi statistici utili solo per...
Transcript of dove e il rischio - Marioni e il rischio.pdf• Evitare i metodi statistici utili solo per...
21.10.11
1
Dove è il rischio?
Manno, 18 o4obre 2011
Silvano Marioni, CISSP, AMBCI
Che cosa è il rischio? Il rischio è una funzione : della probabilità di una minaccia e
dell’impatto che un evento ha su una risorsa favorito da un’eventuale vulnerabilità
18.10.11 © www.marioni.org 2
21.10.11
2
Che cosa è la gestione del rischio? È un’attività che ha come scopo: la revisione sistematica dei rischi per identificare le soluzioni più adeguate a ridurli a un livello accettabile l’analisi dell’efficacia delle contromisure esistenti per la protezione delle risorse aziendali la decisione sulla priorità nella scelta delle soluzioni più efficaci per riduzione del rischio tenendo conto degli aspetti finanziari, organizzativi e di implementazione
18.10.11 © www.marioni.org 3
Come decidiamo sul rischio Gli essere umani hanno la tendenza a fare errori di valutazione e di conseguenza di decisione nelle situazioni di incertezza Alcuni esempi secondo Tversky e Kahneman: - È difficile ragionare intuitivamente in situazioni
complesse - Si interpretano nuove informazioni in modo da
confermare le opinioni preesistenti - Si evitano scelte rischiose rispetto ai guadagni ma si
è propensi a fare scelte rischiose rispetto alle perdite
18.10.11 © www.marioni.org 4
21.10.11
3
Esempi nella valutazione del rischio
18.10.11 © www.marioni.org 5
18.10.11 © www.marioni.org 6
Identificare il rischio Definire il livello di tolleranza
Come gestire il rischio
21.10.11
4
Identificare il rischio
Esposizione al rischio Probabilità di un evento Impatto dell’evento
18.10.11 © www.marioni.org 7
Esposizione al rischio
Analisi delle minacce Valutazione delle vulnerabilità
18.10.11 © www.marioni.org 8
21.10.11
5
Probabilità di un evento
Certezza Possibilità Prevedibilità
18.10.11 © www.marioni.org 9
Impatto dell’evento
Rapidità Gravità Durata
18.10.11 © www.marioni.org 10
21.10.11
6
Definire il livello di tolleranza Identificare il valore del bene Che perdita sono disposto ad accettare
18.10.11 © www.marioni.org 11
Identificare il valore del bene
Tangibile Intangibile
18.10.11 © www.marioni.org 12
21.10.11
7
Che perdita sono disposto"ad accettare
Finanziaria Di immagine Legale
18.10.11 © www.marioni.org 13
Chi deve decidere sul rischio?
18.10.11 © www.marioni.org 14
Decisioni tecniche Decisioni manageriali
21.10.11
8
Rischio = probabilità x impatto
18.10.11 © www.marioni.org 15
Situazioni da gestire
Rischi estremi
Situazioni da evitare
Situazioni trascurabili
Pro
babi
lità d
ella
mina
ccia
Impatto della minaccia
I rischi estremi
Rischi con bassa probabilità ma alto impatto Difficili da stimare per mancanza di informazioni Accadono raramente o non sono mai accaduti
18.10.11 © www.marioni.org 16
21.10.11
9
Come dovremmo prevedere i rischi Analizzare come si prendono le decisioni sul rischio • Evitare di basarsi su preconcetti o su modelli non
adeguati • Evitare i metodi statistici utili solo per previsioni su
grossi volumi di dati omogenei • Valutare in modo oggettivo l’impatto e non
sottostimare la probabilità Conoscere il contesto in cui il rischio si può manifestare • Cercare di avere tutte le competenze tecniche e
organizzative necessarie • Essere creativi ma metodici e disciplinati 18.10.11 © www.marioni.org 17
Alcuni esempi per contrastare i rischi
Aumentare la robustezza e la resilienza • Preferire soluzioni certe e non probabili • Integrare nei sistemi complessi le soluzioni più
semplici possibili Diminuire la fragilità • Evitare l’ottimizzazione e favorire la ridondanza • Duplicare le risorse, inserire controlli, rafforzare i
punti critici 18.10.11 © www.marioni.org 18
21.10.11
10
Un esempio di duplicazione delle risorse
Grazie per l’attenzione!
18.10.11 © www.marioni.org 19