Risk Assessment context: il contesto e l’ambito dell’analisi del rischio Panoramica sulle fasi preliminari dell'analisi del rischio, con particolare riguardo all'individuazione e definizione del contesto di riferimento

Risk Assessment context: il contesto e l'ambito dell'analisi del rischio

Questo articolo fa parte di una serie di approfondimenti dedicata al Risk Management ed è dedicato alle fasi preliminari della valutazione del rischio, ovvero all’analisi del contesto dell’organizzazione entro cui si ha intenzione di operare. A seconda dei risultati di questa analisi si potrà decidere se effettuare il Risk Assessment su un perimetro limitato interno all’organizzazione (ad es. un determinato reparto o processo produttivo) oppure se estenderlo a più reparti, all’intera organizzazione o a un contesto ancora più ampio, ad esempio includendo anche fornitori, stakeholder, clientela di riferimento e/o altre terze parti considerate rilevanti.

Definizione

Per poter parlare di contesto di un’organizzazione con cognizione di causa è necessario partire dalla sua definizione: una formulazione particolarmente efficace è quella che troviamo all’interno della ISO 9000:2015, che lo descrive come una combinazione di fattori interni ed esterni che possono avere degli effetti sullo sviluppo e raggiungimento degli obiettivi di un’organizzazione.

Si tratta dunque di un insieme piuttosto ampio di fattori, che include:

  • la struttura organizzativa
  • lo stato patrimoniale (economico e finanziario)
  • le strategie (commerciali, finanziarie, etc)
  • le sedi fisiche
  • il sistema informativo
  • gli stakeholder
  • il personale, inteso come dipendenti e collaboratori
  • i partner di processo
  • i fornitori
  • i clienti
  • le informazioni trattate
  • i servizi e prodotti offerti
  • il livello di innovazione
  • i concorrenti
  • le normative applicabili al tipo di business e/o al settore di mercato

Ovviamente i fattori da considerare potranno variare, nel numero e nel livello di dettaglio, a seconda delle dimensioni dell’azienda e del mercato di riferimento: una multinazionale che opera in diversi paesi avrà senz’altro un contesto estremamente più ricco, complesso e sfaccettato rispetto a una PMI che opera solo all’interno dei confini nazionali, anche solo a livello di clienti, fornitori/partner e normative applicabili. In questo secondo caso è molto probabile che il contesto potrà essere descritto mediante i seguenti output:

  • un organigramma che metta in evidenza i vari ambiti organizzativi in cui l’azienda è suddivisa, magari includendo anche i partner (ad es. gli agenti commerciali) e la clientela di riferimento;
  • un diagramma del sistema informatico con una descrizione sommaria delle componenti hardware e software di particolare rilievo (sistemi operativi, applicativi gestionali in uso, etc), ai processi informatici in esercizio e ai relativi controlli di sicurezza attualmente in vigore (antivirus, firewall, etc);
  • un registro dei trattamenti che descriva le informazioni trattate, con evidenza dei responsabili e del personale autorizzato;
  • una sintesi degli adeguamenti alle normative vigenti, che nella maggior parte dei casi saranno declinate all’interno di termini di servizio, istruzioni per l’uso, certificazioni di prodotto o di processo, e documentazione a corredo che è opportuno tenere sotto controllo.

Ambito di riferimento

Una volta definito e identificato il contesto di riferimento è possibile stabilire l’ambito, ovvero il perimetro d’azione entro cui effettuare la valutazione del rischio. E’ importante sottolineare come ambito sia la traduzione italiana di scope, un termine che ha una forte connotazione spaziale: l’ambito/scope è il campo d’azione e rappresenta dunque l’estensione, la portata che dovrà avere il Risk Assessment.

Per descrivere l’ambito in modo adeguato è necessario prendere in considerazione:

  • le informazioni trattate;
  • i prodotti e i servizi;
  • la struttura organizzativa;
  • le componenti informatiche, tecnologiche e digitali;
  • le sedi, i locali, i partner e i fornitori;

Il tutto, inutile dirlo, limitatamente all’ambito che si è scelto di prendere in considerazione, a meno che questo non sia possibile per via di una struttura aziendale fortemente centralizzata: ad esempio, è molto probabile che un’azienda che utilizza un unico portale web per offrire tutti i propri servizi, o un unico database per tutti i propri clienti, vedrà l’inclusione di quel portale o di quel database all’interno di qualsiasi risk assessment, anche nei casi in cui l’ambito di riferimento è limitato a un singola linea di prodotti o tipologia di clienti. Questo esempio aiuta a comprendere anche un’altra cosa, ovvero l’importanza di impostare i processi aziendali avendo cura di separare opportunamente gli ambiti e i contesti secondo i principi di separation of concerns, segregation of duties, single responsability principle, privacy by design, e altre best practices organizzative che favoriscano la sicurezza delle informazioni.

Conclusioni

Per il momento è tutto: nel prossimo approfondimento parleremo delle attività di identificazione, analisi e valutazione del rischio, che vengono convenzionalmente ricondotte entro il processo noto come Risk Assessment.

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.