L’analisi del rischio, in primis l’analisi del rischio digitale, riveste oggi un ruolo di primaria importanza, complice il costante incremento di soluzioni tecnologiche ed innovative che hanno comportato la progressiva evoluzione di mercati, prodotti, servizi e scambi commerciali.
La società in generale sta mutando le sembianze originarie e con essa anche i rapporti e le relazioni socio-economiche. Se da un lato l’abbattimento dei confini geografici, l’efficienza e la rapidità rappresentano gli aspetti positivi di maggior rilievo, dall’altro lato è bene non perdere di vista le criticità connesse alla cybersecurity.
Il rischio digitale
A tal proposito, la Community for Security di Clusit ha pubblicato il libro “Rischio digitale innovazione e resilienza” (scaricabile in formato pfd dal sito del Clusit) con l’obiettivo di offrire al lettore degli strumenti per “conoscere, affrontare e mitigare il rischio digitale”, dove quest’ultimo rappresenta uno specifico rischio a cui sono esposti dati e servizi digitalizzati e che si esprimono attraverso l’utilizzo di tecnologie di carattere digitale.
Il focus della ricerca si concentra sull’approfondimento di tematiche più mirate; infatti, un intero capitolo è dedicato alla valutazione dei rischi digitali, mentre un altro focalizza l’attenzione sulle diverse normative che interessano lo stesso rischio. Il corpus normativo volto a regolamentare tale disciplina è capillare ed è costituito dalle seguenti fonti: Gdpr e futuro regolamento ePrivacy per le comunicazioni elettroniche, direttiva Nis e Pns per i servizi essenziali, regolamento attualmente in bozza ed oggetto di discussione per l’intelligenza artificiale, D.lgs 231/2001 in materia di responsabilità amministrativa degli enti, ma anche quelli che interessano settori specifici, regolamento Dora nell’ambito della finanza digitale, Psd2 per i servizi di pagamento, regolamento Eidas per i servizi fiduciari, regolamento Ivass n.38 per le assicurazioni, digital service Act per i servizi digitale ed infine la circolare 285 di Bankit per il settore bancario.
A seguire, un altro capitolo accorpa l’insieme di good practice internazionali di analisi dei rischi: attraverso l’utilizzo di queste linee guida e la realizzazione di un Isms (sistema di gestione della sicurezza delle informazioni), è possibile migliorare sensibilmente la postura in relazione al rischio informatico. La parola “rischio” viene spesso utilizzata in termini di eventualità di subire un danno, omettendo la possibilità che questo si possa concretamente realizzare. Ebbene, sulla base di queste considerazioni preliminari, è opportuno tenere a mente che ogni azione che poniamo in essere è il risultato di una scelta alla quale è sempre associato un rischio, seppur di entità lieve. Allo stesso modo, anche i cambiamenti importanti che fanno parte della vita di ciascuno di noi possono comportare un vantaggio o un miglioramento, pur portando con sé un rischio che deve essere ponderato rispetto al vantaggio che traiamo.
Rischio digitale, l’analisi
Pertanto, l’analisi del rischio è una disciplina fondamentale alla base della sicurezza e della continuità delle organizzazioni ed è per queste ragioni che sono disponibili e accessibili strumenti, metodologie e tecniche in grado di far fronte a questa problematica.
L’analisi del rischio conduce i vertici delle organizzazioni a compiere scelte, tra cui quella di stabilite dove allocare le risorse. L’analisi del rischio è diventata una priorità non solo nelle assicurazioni e nelle banche ma anche nelle industrie private e nella PA. La scelta di concentrare l’attenzione su una pubblicazione volta a creare nei lettori una maggior consapevolezza sull’analisi del rischio digitale è frutto del confronto tra diversi autori e contributori del presente libro, i quali, seppur con età, esperienze e professionalità differenti, hanno sentito l’esigenza di colmare, senza troppe pretese, il divario tra l’esponenziale evoluzione tecnologica e la scarsa sensibilità culturale di tali tematiche. In diversi ambiti, soprattutto in epoca pandemica, abbiamo assistito ad un costante ingresso del digitale nelle nostre vite: dallo smartworking, all’identità digitale, dagli IoT, ai sistemi di didattica a distanza, sino addirittura a preferire il commercio online allo shopping cittadino.
La valutazione dei rischi digitali è fondamentale per le organizzazioni che vogliono ottenere una maggior consapevolezza della loro situazione e intendono affrontare un percorso proteso al costante miglioramento.
Formalmente, l’analisi del rischio (risk analysis) è parte della valutazione del rischio (risk assessment) che a sua volta è parte della gestione del rischio (risk management).
E se da un lato tali strumenti ci hanno permesso di continuare (seppur con qualche difficoltà) a restare “connessi” alle nostre realtà, dall’altro, però, il sottovalutare una corretta gestione del rischio digitale ha comportato (e comporta tuttora) diverse conseguenze, e non solo a livello economico.
Perché quindi non cogliere a pieno tutte le opportunità che può offrire l’innovazione ed evoluzione tecnologica, anche tramite una sana e consapevole responsabilità all’uso del digitale?
Questa la motivazione fondamentale che ha guidato ognuno degli autori nella redazione del presente libro.
Questa pubblicazione nasce con l’intento di porre l’attenzione sulla corretta gestione del rischio digitale in tutte le organizzazioni, sia pubbliche che private, al di là di ogni aspetto dimensionale.
Oggigiorno, le PA rivestono un ruolo fondamentale per lo sviluppo della società, per il rilancio economico e sociale del paese e per la realizzazione di nuovi progetti e investimenti anche collegati al Pnrr. Ciò nonostante, diverse sono ancora le realtà pubbliche che mostrano debolezze, criticità e limiti nell’erogazione di servizi affidabili e sicuri a causa della mancata consapevolezza del valore delle informazioni e degli asset strategici, oltre all’assenza di processi di gestione del rischio digitale.
Le medesime criticità sono riscontrabili anche nel comparto privato, dove, però, è necessario intervenire modificando l’attuale paradigma in cui dati e tecnologia sono considerati solo come meri strumenti per incrementare i propri introiti: invero, la riduzione dei rischi di sicurezza non previene solo danni e costi correlati a sanzioni e richieste di risarcimento, ma offre anche tante altre opportunità, tra cui attrattiva per nuovi clienti, fidelizzazione di quelli già esistenti, aumento di reputazione, creazione di nuove sinergie di mercato, valorizzazione dei dati e accesso a fondi pubblici e investimenti privati.
Trasformazione, cambiamento e tecnologia comportano senz’altro l’essere pronti ad affrontare nuove sfide e in tal senso è importante comprenderne la portata, conoscerne e saperne gestire gli impatti attraverso una piena consapevolezza di rischi ed opportunità.
Alla luce di questa breve ma dettagliata introduzione, la crisi pandemica e i principali attacchi informatici hanno messo in risalto la fragilità dei sistemi globali, nonché le lacune nella preparazione delle organizzazioni a gestire grandi crisi. Il processo di digitalizzazione comporta un’inevitabile riqualificazione della forza lavoro, potenziando sia le competenze sia l’adozione di modelli organizzativi volti ad agevolare una cultura digitale. Da qui, deriva la necessità di attuare un sistema di gestione dei rischi per garantire la resilienza dell’organizzazione attraverso il supporto di professionisti di continuità operativa.
