Elementi di sicurezza negli impianti domotici – parte prima
18 luglio 2018
Una riflessione sulla continuità operativa negli sportelli al pubblico
23 luglio 2018

L’analisi dei rischi. Un approccio con la logica Fuzzy

Il rischio è il risultato finale, diretto, indiretto o consequenziale ad un’azione volontaria, involontaria o ad un evento accidentale ed è determinato di norma come il prodotto fra la probabilità che un evento pericoloso si realizzi e l’impatto (danno) da questo provocato.

Le aziende devono svolgere una attività continua di analisi del rischio in diversi ambiti:

  • rischi operativi (quali perdita di beni di qualunque tipo, siano essi tangibili o intangibili…);
  • rischi di conformità (derivanti dalla violazione di normative…);
  • rischi legali (quali cause con le controparti, quali clienti, fornitori, dipendenti…);
  • rischi reputazionali (derivanti da eventi che possono ledere l’immagine dell’organizzazione…).

o come prevede il GDPR:

  • il rischio per i diritti e le libertà delle persone fisiche

Le varie categorie di rischio non sono fra loro distinte ed autonome.

La violazione di una normativa, ad esempio, può comportare sia una sanzione (e relativa perdita economica), sia un impatto sulla reputazione dell’azienda.

Inoltre, se la sanzione ha conseguenze operative (ad esempio il blocco dei trattamenti di dati personali e la conseguente impossibilità di erogare un servizio) può portare anche a cause con la clientela per mancato rispetto dei contratti di fornitura.

Si creano così catene di relazioni che rendono difficile valutare con precisione il reale impatto di un evento. Questa valutazione può avvenire infatti a diversi livelli e con diversi gradi di complessità.

È possibile ridurre il rischio intervenendo su impatto e probabilità, adottando adeguate contromisure che possono ridurre uno o entrambi i fattori.

L’implementazione di contromisure ha ovviamente un costo, che deve essere vantaggioso, rispetto alla riduzione del rischio derivante dalla loro implementazione.

Per tale motivo si effettua in genere un’analisi del rischio prima (Rischio inerente) e dopo l’implementazione delle contromisure (Rischio residuo).

In questo modo è possibile valutarne quale potrebbe essere l’efficacia.

La valutazione di dove sia più conveniente intervenire e quali contromisure adottare è uno degli aspetti più importanti che consegue ad una corretta analisi dei rischi.

Esistono anche altre modalità per affrontare un rischio (oltre che gestirlo) quali:

  • evitarlo non mettendo in atto le azioni che possono determinarlo;
  • trasferirlo a soggetti che istituzionalmente si occupano di gestirlo, come le assicurazioni o tramite opportune clausole contrattuali;
  • accettarlo, non mettendo in atto alcuna azione.

È comunque importante notare che il soggetto che effettua l’analisi del rischio non è necessariamente il soggetto che è esposto al rischio stesso.

È il caso sopracitato della valutazione dei rischi del GDPR, dove il rischio valutato non è quello dell’azienda o dei sui asset, ma dei soggetti interessati di cui l’azienda tratta i dati.

Comprendere questo aspetto è fondamentale in quanto si tratta quindi di un rischio non disponibile, che l’azienda dovrebbe in ogni caso ridurre assolutamente al minimo.

Da lì la necessità, nei casi di rischio elevato, di condurre una PIA.

Per condurre un’analisi dei rischi esistono numerosissimi strumenti e relative catalogazioni.

Fra le consigliate quella di ISCOM e quella di ENISA:

http://www.isticom.it/index.php/archivio-pubblicazioni/3-articoli/111-news-pub9

https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory

Tab. 1 – Tipologie di analisi dei rischi secondo la Linea guida ISCOM – Risk analisys approfondimenti

Qualitativo valutazione del rischio su una scala qualitativa (ad esempio alto, medio, basso).
Quantitativo

 

riconduce le valutazioni ad un valore numerico puntuale, spesso inteso come la perdita economica derivante dal verificarsi del rischio. Si tratta di un approccio più difficile ed oneroso del primo perché costringe ad un censimento ed una valorizzazione degli asset e ad una valorizzazione delle perdite che si avrebbero in caso di incidente.
Semi-quantitativo compromesso fra i primi due, nel quale le valutazioni sono effettuate in termini qualitativi e, successivamente, trasformate in numeri per poterle elaborare attraverso algoritmi di calcolo, come se si trattasse di valutazioni quantitative…

Se rappresentiamo l’IMPATTO con una serie di valori che vanno da Trascurabile a Grave, una possibile rappresentazione utilizzando la logica fuzzy è quella rappresentata nella Fig. 1

Figura 1 – Nella logica fuzzy viene misurato il grado di appartenenza di un elemento ad un insieme

Come applicare queste possibilità all’analisi dei rischi?

Sviluppiamo un esempio di Sistema Esperto per l’analisi dei rischi partendo da una definizione di RISCHIO basata su 5 valori qualitativi che vanno da VeryLight a VeryHigh, derivanti dalla combinazione di 5 valori di IMPATTO (Fig. 2) che vanno da Insignificant a Severe e 5 valori di PROBABILITà (Fig. 3) che vanno da Rare a Very Likely.

Figura 2 – Definizione di IMPATTO in FuzzyWorld

Figura 3 – Definizione di PROBABILITÀ in FuzzyWorld

In termini di regole, la logica applicabile per la determinazione del RISCHIO è la seguente:

IF PROBABILITÀ IS xx AND IMPATTO IS xx THEN RISCHIO IS xx

Per ragioni tecniche, conviene suddividere il nostro Sistema esperto in piccole parti (“chip di conoscenza”) che modellizzano il sistema in esame.

Nella figura seguente viene presentato un primo chip di conoscenza, composto da 2 antecedenti (informazioni note) ed un conseguente (risultato dell’applicazione delle regole agli antecedenti).

Figura 4 – Il S.E. per l’analisi del rischio

Figura 5 – Regole per il calcolo del RISCHIO in FuzzyWorld

Fino a qui nulla di particolare, ma iniziamo ora dare delle regole più articolate per definire l’IMPATTO, dandone una valutazione in funzione ad esempio del numero di servizi o dal numero di clienti impattati o dalle possibili conseguenze legali o reputazione:

Analogamente, per quanto attiene alla PROBABILITÀ possiamo considerare ad esempio il numero di avvenimenti nel corso dell’anno per definire se un evento è raro o molto frequente.

Ne risulta il seguente modello:

Figura 6 – La declinazione di Impatto e Probabilità

Nell’esempio le variabili economiche usano una scala di 10 valori in progressione (Fig. 7).

Figura 7 – La valorizzazione dell’IMPATTO ECONOMICO nel S.E.

Le possibili combinazioni di tutte le variabili così introdotte avvengono mediante una regola di questo tipo:

IF impatto economico in % sul fatturato IS x

AND impatto economico in % sul fatturato IS <=x+1

AND n. di clienti coinvolti in % su totale clienti IS y

AND n. di clienti coinvolti in % su totale clienti IS <=y+1

AND impatto legale IS si/no

AND impatto reputazionale IS si/no

THEN impatto IS n

Se volessimo elencarle tutte, avremmo un numero rilevantissimo di possibili combinazioni per le quali il risultato (n) deve essere attribuito manualmente dall’esperto.

Fortunatamente questo non è necessario in quanto è possibile addestrare la rete neurale mediante la compilazione di fogli Excel sui quali rappresentare i valori di antecedenti e conseguenti (Fig. 8).

Figura 8 – L’impostazione dei fogli Excel con antecedenti e conseguenti per l’addestramento della rete neurale

Questa modalità operativa presenta enormi vantaggi; il primo è che non è necessario formulare una riga di antecedenti e conseguenti per ogni possibile combinazione di valori. Sarà infatti la rete neurale che determinerà il modo di comportarsi nelle varie situazioni analogamente a quello che fa un bambino che, imparando a camminare, non sperimenta tutte le possibili combinazioni che possono presentarsi nella realtà. La rete neurale elaborerà tutte le possibili soluzioni; eventuali ulteriori regole potranno inoltre essere aggiunte dinamicamente durante l’utilizzo dell’applicazione.

Un vincolo di questo modello è che funziona con un numero limitato di antecedenti (2 o 3) per ogni conseguente. È quindi necessario intervenire ancora una volta sul nostro modello di analisi dei rischi:

Figura 9 – Modello finale

 

A cura di: Lorenzo Schiavina e Giancarlo Butti

Lorenzo Schiavina

Professore di Ricerca Operativa all'Università Cattolica

Lorenzo Schiavina, professore di Ricerca Operativa all'Università Cattolica, si occupa di informatica dal 1964. Autore di oltre 80 pubblicazioni è stato il primo in Italia ad occuparsi di programmazione ad oggetti (Smalltalk). Ha sviluppato applicazioni in ambito finanziario e gestionale, fra i quali MIDA (pacchetto ufficiale di Hewlett-Packard per 5 anni) di cui sono stati venduti in Italia più di 250.000 esemplari. Si occupa da 30 anni di logica fuzzy e nel 2000 ha sviluppato FuzzyWorld ambiente per lo sviluppo di SE per la didattica ed applicazioni reali.

Nel 1967 - Laurea in Politica Economica presso l'Università Cattolica di Milano con la tesi: "La congiuntura economica e la politica di indebitamento di alcuni comuni della Provincia di Milano" Rel. Prof. G.Mazzocchi  presso l'Universita' Cattolica del Sacro Cuore di Milano.

Nel 1967 - Stage di tre mesi dell'AIESEC a Londra.

Dal 1968 al 1972 - assistente diRicerca Operativa presso l'Università Cattolica del Sacro Cuore di Milano. (Prof A. Liverani)

Dal 1971 al 1972 - incaricato di tecniche di programmazione presso il Centro diCalcolo Scientifico dell'Università Cattolica per il corso di computer science.

Dal 1982 - professore a contratto di Ricerca Operativa presso l'Università Cattolica - Facolta di Matematica - sede di Brescia

Dal 1992 al 1993 – professore a contratto di Ricerca Operativa presso l’Università Cattolica – Facoltà di Economia e Commercio – Sede di Piacenza

Dal 2003 – professore a contratto di Informatica Aziendale presso l’Università Cattolica – Facoltà di Matematica – indirizzo informatico – Sede di Brescia

2003 – 2004 – Incaricato di Metodi Quantitativi al Master di Ottimizzazione della logistica

Giancarlo Butti

Internal Auditor, Consulente Privacy e Cyber Security

Ha acquisito un master in Gestione aziendale e Sviluppo Organizzativo presso il MIP Politecnico di Milano.

Si occupa di ICT, organizzazione e normativa dai primi anni 80 ricoprendo diversi ruoli: security manager, project manager ed auditor presso gruppi bancari; consulente in ambito sicurezza e privacy presso aziende dei più diversi settori e dimensioni.

Membro della faculty di ABI Formazione per cui ha curato il corso professionalizzante per DPO svolge regolarmente corsi in ambito privacy, audit ICT e conformità anche presso CETIF, ITER, INFORMA BANCA, CONVENIA, CLUSIT, IKN, Università Statale di Milano.

Ha all’attivo oltre 700 articoli. Ha pubblicato 21 fra libri e white paper alcuni dei quali utilizzati come testi universitari; ha partecipato alla redazione di 11 opere collettive nell’ambito di ABI LAB, Oracle Community for Security, Rapporto CLUSIT.

È socio e proboviro di AIEA, del CLUSIT e del BCI.

Partecipa ai gruppi di lavoro di ABI LAB, di Oracle Community for Security, di UNINFO, di ASSOGESTIONI.

Fra i coordinatori di www.europrivacy.info. Ha inoltre acquisito le certificazioni/qualificazioni LA BS7799, LA ISO/IEC27001, CRISC, ISM, DPO, CBCI, AMBCI.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy