Home / Resources / ISACA Journal / Issues / 2024 / Volume 6 / The Modeling of Risk Evaluation Risk Appetite and Risk Tolerance

La modellizzazione della valutazione, della propensione e della tolleranza al rischio

La modellizzazione della valutazione, della propensione e della tolleranza al rischio
Author: Luigi Sbriz, CISM, CRISC, CDPSE, ISO/IEC 27001 L A, ITIL V4, NIST CSF, TISAX AL3, UNI 11697:2017 DPO
Date Published: 18 dicembre 2024
Tempo di lettura: 12 minutes
Related: Artificial Intelligence: A Primer on Machine Learning, Deep Learning, and Neural Networks | Digital | English
English

La ricerca di metodi pratici per rappresentare e valorizzare il rischio è un argomento di indubbio interesse metodologico. Nella gestione del rischio viene richiesto di stabilire, per tramite di opportune metriche di valorizzazione, il livello di rischio, le sue componenti di probabilità ed impatto, nonché i concetti di risk appetite e tolerance. Nel tempo, la valutazione di questi elementi potrebbe cambiare, così come potrebbero cambiare le metriche adottate per valutarli o potrebbe cambiare la propensione al rischio dell’impresa. Il metodo di rappresentazione del rischio scelto deve quindi essere in grado di adattarsi al cambiamento con flessibilità e semplicità.

Rappresentare le metriche del rischio in modo agevole per essere comunicate e comprese, ma anche allo stesso tempo soddisfare le esigenze di praticità del calcolo del livello o dell’aggregazione del rischio, richiede la gestione contemporanea di metodi qualitativi e quantitativi.

Rappresentare le metriche del rischio in modo agevole per essere comunicate e comprese, ma anche allo stesso tempo soddisfare le esigenze di praticità del calcolo del livello o dell’aggregazione del rischio, richiede la gestione contemporanea di metodi qualitativi e quantitativi. I primi agevolano la comunicazione con gli stakeholder, mentre i secondi abbassano la complessità delle funzioni di valorizzazione.

Definizione di rischio

La valutazione del rischio non ha un metodo di calcolo riconosciuto univocamente123. Tipicamente, il livello di rischio è derivato da una combinazione tra un valore di probabilità di accadimento dell’evento e la misurazione dell’ampiezza delle sue conseguenze (figura 1). Questa definizione è facilmente rappresentabile con una funzione matriciale che esprime il concetto di rischio come relazione tra le coordinate dei valori di probabilità ed impatto.

L’uso di una matrice è un modo semplice ed intuitivo per rappresentare la metrica di valutazione del rischio, sia tramite valori qualitativi che numerici. La semplicità di rappresentazione non necessariamente risponde sono quelle di soddisfare le esigenze di prioritizzazione e visualizzazione di situazioni con alta numerosità di rischi identificati rispetto ai livelli di rischio definiti nella metodologia prescelta. immediatamente a tutti i requisiti operativi ma è un buon punto di partenza. In particolare, le difficoltà maggiori sono quelle di soddisfare le esigenze di prioritizzazione e visualizzazione di situazioni con alta numerosità di rischi identificati rispetto ai livelli di rischio definiti nella metodologia prescelta.

Per chiarire questi concetti, è utile una tipica matrice di rischio di dimensione 5x5, come quella mostrata nella figura 2. I cinque valori qualitativi della probabilità di accadimento P[i] e dell’ampiezza dell’impatto M[j] vengono distribuiti in modo uniforme su ascisse ed ordinate. Il livello di rischio R[i, j] è identificato dalla corrispondente cella di incrocio e l’insieme dei valori nel loro complesso definiscono la propensione al rischio dell’azienda. L’uso dei colori aggiunto alle etichette, crea usa specie di heat map del rischio e agevola la lettura dei corrispondenti livelli. Comunque, non rappresenta una soluzione adeguata alla prioritizzazione di un numero elevato di rischi. La matrice opera con solo 25 elementi di rischio, e aumentare il numero di livelli di impatto o probabilità potrebbe compromettere la leggibilità della matrice stessa. Inoltre, i livelli di rischio sono stabiliti dal senior management ed un numero elevato di elementi da gestire manualmente, implica inevitabilmente una difficile manutenzione nel tempo.

Nella matrice, a scapito della chiara rappresentazione qualitativa del concetto di risk appetite, manca l’evidenza di una solida relazione con la perdita economica o con una probabilità espressa in forma numerica. Per questo, lasciando invariato il numero di livelli qualitativi, è necessario gestire ulteriori informazioni per consentire una facile interazione tra dati numerici e qualitativi e per garantire una efficace comunicazione con il senior management.

Determinazione delle soglie d’impatto

Spesso è più facile per il senior management esprimere la propensione al rischio in termini di ampiezza della perdita economica piuttosto che scegliere un livello di rischio qualitativo. L’approccio di coinvolgere il senior management partendo dai timori sulla perdita economica, per poi costruire la matrice del rischio, è intuitivo ed agevola il legame tra informazioni numeriche e qualitative. Questa relazione si ottiene mappando l’insieme delle scelte espresse dal senior management su un dominio numerico normalizzato che sarà il riferimento per i vari calcoli matematici.

Per la normalizzazione, il dominio numerico {0, 1} è scelto con un approssimazione a due decimali. Teoricamente è possibile operare con un maggior numero di decimali se il numero di rischi individuati è elevato, ma questa necessità potrebbe nascondere una debolezza metodologica. Avere molti rischi da gestire non aiuta la capacità decisionale del management, quindi è preferibile aggregare i rischi, quando esistono delle correlazioni tra loro, in scenari multi rischio per ridurne il numero.

Per interagire con il senior management si utilizza una tabella similare a quella di figura 3. Lo scopo è quello di associare alle etichette del ranking un valore numerico su cui sviluppare i calcoli matematici. Le colonne qualitative in figura, ranking un etichetta per indicare il livello mentre status sintetizza l’ampiezza delle conseguenze, servono per far scegliere in modo consapevole un valore di perdita economica per ciascun livello di impatto. Anche la soglia inferiore del livello deve essere selezionata stesso tra tre possibilità qualitative; aderente al livello selezionato, in posizione mediana o aderente al livello inferiore. Deve essere definita anche la massima perdita che l’organizzazione ha la capacità di affrontare, che sarà normalizzata a 1. Tutti i valori di perdita economica saranno normalizzati in proporzione al valore massimo individuato.

Per semplificare la spiegazione, supponiamo che l’organizzazione abbia una capacità massima di reagire pari ad una perdita di 100 M$ e che il senior management abbia scelto i valori di perdita economica riportati nella colonna “Loss”. Nella stessa colonna viene selezionata anche la soglia inferiore del livello di impatto. Da queste informazioni provenienti dal senior management, vengono calcolati in automatico i valori normalizzati ed approssimati con passo 0.05. La scelta del passo serve a creare degli intervalli significativi tra i livelli; eventualmente il risk practitioner può intervenire manualmente per enfatizzare la distinzione.

Il risultato finale è quello di aver stabilito un legame tra dei valori qualitativi, significativi per il senior management per esprimere i livelli di impatto, ed i valori normalizzati necessari al calcolo matematico.

Determinazione delle soglie di probabilità

La costruzione della metrica per gestire la possibilità di accadimento dell’evento di rischio richiede anche la determinazione delle soglie di probabilità analogamente a quanto fatto per l’impatto. La sensibilità del senior management verso le soglie di probabilità è meno definita rispetto al concetto di perdita economica ma può comunque essere utilizzato uno schema analogo al precedente per raccogliere queste valutazioni (figura 4).

Analogamente a quanto fatto per l’impatto, il senior management esprime la sua preoccupazione sull’incremento delle probabilità di un evento indesiderato. Le colonne di ranking per indicare il livello, di status per sintetizzare l’estensione della possibilità e lo scenario con la descrizione di accadimento dell’evento, supporta la selezione del livello di probabilità attraverso l’uso di percentuali di crescita della probabilità stessa. Inoltre, la soglia inferiore del livello di probabilità deve essere scelta in modo qualitativo, analogamente alla determinazione dell’impatto. I valori scelti sono automaticamente normalizzati nel dominio {0,1} con approssimazione con passo 0.05.

Inoltre, come già per l’impatto, il numero degli elementi da valorizzare è il doppio del numero di livelli definiti; per ogni livello si definisce anche la sua soglia inferiore. Le selezioni del senior management sono finalizzate alla creazione automatica di una matrice puramente numerica, sia per consentire il calcolo matematico sia per derivare la matrice di rischio qualitativa. Questa nuova matrice sarà chiamata matrice intermedia per distinguerla da quella iniziale del rischio.

Costruzione della matrice intermedia

Le sequenze dei livelli e delle soglie stabilite dal senior management sono distribuite su posizioni prefissate su righe e colonne della matrice intermedia. Probabilità, impatto e le relative soglie sono tutti approssimati al valore 0.05 superiore, mentre i corrispondenti livelli di rischio ottenuti nelle celle di incrocio (prodotto numerico di probabilità ed impatto) sono espressi con un approssimazione superiore di 0.01. I valori di soglia sono distribuiti nelle posizioni intermedie tra due livelli di impatto o probabilità e rappresentati nella matrice intermedia in figura 5.

La diagonale della matrice intermedia identifica automaticamente sia la metrica del livello di rischio che la sua risk tolerance. Le celle in diagonale con indice dispari forniscono il valore minimo della risk tolerance mentre le celle ad indice pari forniscono il valore numerico del livello di rischio da associare a quello qualitativo. Il valore massimo di ogni range di risk tolerance è pari al valore minimo associato al livello di rischio superiore meno un centesimo. Alcune proprietà caratteristiche della tabella sono:

  • il valore di R[2,2] è il livello della risk acceptance;
  • il range di valori definito da R[1,1] ed il valore R[3,3] meno un centesimo rappresenta i valori della tolerance del livello di risk acceptance;
  • i valori inferiori a R[1,1] non sono considerati un rischio ed i relativi eventi sono esclusi da qualsiasi valutazione ulteriore, se la tendenza è confermata;
  • il più elevato livello di rischio ha come limite valore massimo della tolerance il valore 1 che rappresenta la risk capacity.

In sintesi, il livello di rischio ed il minimo della risk tolerance sono estratti automaticamente dalla matrice intermedia per alimentare la tabella seguente (figura 6). La colonna del massimo di risk tolerance è calcolata tramite il valore minimo di tolerance associato al livello del rischio seguente meno un centesimo. La matrice intermedia non viene visualizzata agli utenti ma mantenuta in memoria dal sistema per consentire la trasformazione di probabilità ed impatto in rischio e per illustrare le relazioni tra valori qualitativi e numerici.

Una matrice numerica (intermedia) è derivata dalle considerazioni di probabilità e di impatto da parte del senior management. L’uso di questa matrice numerica trasforma i dati qualitativi in dati numerici, o viceversa, e facilita i calcoli necessari per aggregare o prioritizzare i rischi.

Nota per l’uso del database: Nel calcolo il valore del rischio è numerico mentre il suo livello è qualitativo. Il passaggio da valore a livello è tramite la tolleranza del rischio. Ad esempio, nella tabella di figura 6, un valore di rischio 0.13 significa un livello di rischio 2 poiché si trova nell’intervallo da 0.07 a 0.17.

Nell’ambiente Structured Query Language (SQL) è molto semplice gestire più matrici di rischio contemporaneamente. La singola matrice si rappresenta tramite un tabella dove si sviluppa l’intero prodotto Cartesiano dei possibili valori di impatto e probabilità. Ogni riga avrà come chiave la coppia di valori impatto e probabilità, mentre come attributi ci sarà il livello ed il valore del rischio derivati dalla matrice intermedia. Questa è la trasposizione della matrice in formato tabella.

Una singola istruzione select può estrarre il livello di rischio (o il suo valore) approssimando la probabilità e l’impatto al loro valore inferiore in tabella. Per usare differenti matrici di rischio per specifiche situazioni, questa soluzione SQL richiede semplicemente l’aggiunta di due ulteriori colonne, il livello ed il valore del rischio, per ciascuna matrice di rischio aggiuntiva.

Drogaggio automatico del rischio

La tecnica proposta per il database, può essere sfruttata per cambiare in automatico il risk appetite quando accadono particolari situazioni. Ad esempio, alcuni eventi di rischio potrebbero richiedere l’uso di una matrice più aggressiva, o viceversa più conservativa, al variare dell’obiettivo di protezione di sicurezza informatica. Con la terna di sicurezza confidentiality, integrity and availability (CIA)4 che rappresenta l’obiettivo di sicurezza desiderato, potremmo decidere che quando almeno due parametri sono sopra il valore medio della terna allora è necessaria una matrice con rischio più conservativo. All’opposto, quando tutti e tre i parametri della terna sono sotto al valor medio la matrice di rischio dovrà essere più aggressiva.

La tecnica per gestire il cambiamento della matrice intermedia del rischio richiede di predisporre nell’ambiente SQL una matrice più conservative ed un’altra più aggressiva. Una funzione SQL, sulla base della terna di sicurezza dello scenario di rischio da valutare, agisce come selettore della colonna che rappresenta la matrice intermedia stabilita per quell’obiettivo di protezione. Il tutto avviene in modo nascosto all’utente ed è interamente automatico. Non dovrebbe essere necessario variare la probabilità o l’impatto, ma se ci fosse l’esigenza si può agire come per il rischio, ossia definendo differenti insiemi di valori da associare alle etichette.

Conclusioni

Il senior management ha maggior confidenza con il concetto di impatto, cioè una conseguenza immaginabile, piuttosto che di rischio, cioè un evento possibilistico. Di conseguenza, possiamo utilizzare separatamente l’impatto e la probabilità di accadimento dell’evento di rischio per costruire un meccanismo di valutazione del rischio, con tutti i parametri necessari a fornire una chiara descrizione del livello di rischio. Una matrice numerica (intermedia) è derivata dalle considerazioni di probabilità e di impatto da parte del senior management. L’uso di questa matrice numerica trasforma i dati qualitativi in dati numerici, o viceversa, e facilita i calcoli necessari per aggregare o prioritizzare i rischi.

In modo intuitivo per il senior management, è possibile raccogliere gli elementi necessari ad esprimere i concetti di risk appetite e tolerance. Allo stesso tempo possiamo disporre di molti elementi, le celle della matrice, per differenziare tra loro gli eventi di rischio e prioritizzarli. L’ordinamento agisce prima sul livello di rischio e poi, nell’ordine sull’impatto e probabilità o su un mix tra questi due. Il tutto assicurando un metodo semplice per mantenere perfettamente efficiente il sistema di valutazione del rischio nel tempo.

Come mostra la figura 1, è possibile verificare immediatamente che la valutazione sia stata derivata dalla matrice intermedia considerando tutte le celle che hanno indici pari sia per l’impatto che per la probabilità. La matrice di rischio qualitativa rappresenta il mezzo per comunicare efficacemente con gli stakeholder mentre la matrice intermedia comunica con i sistemi di calcolo.

Il principale vantaggio di questa metodologia è la facilità di manutenzione dei parametri di rischio senza per questo perdere sensibilità numerica utile al calcolo. Quello che si ottiene è un buon compromesso tra le varie esigenze di gestione del sistema di trattamento del rischio, conservando sia la semplicità di manutenzione del modello astratto che la facilità di comprensione della gravità reale dell’evento da parte del management.

Riferimenti

1 International Organization for Standardization (ISO), ISO 31073 Risk management—Vocabulary, 2022, 
2 International Organization for Standardization (ISO), ISO/IEC Guide 73:2002 Risk management—Vocabulary, 2002
3 US National Institute of Standards and Technology (NIST), Cybersecurity Framework CSF 2.0 Reference Tool, Subcategory ID.RA-05
4 ISACA®, “Information Security” 

LUIGI SBRIZ | CISM, CRISC, CDPSE, ISO/IEC 27001 LA, ITIL V4, NIST CSF, UNI 11697:2017 DPO

È lead auditor, formatore e consulente senior su tematiche di risk management, cybersecurity e privacy. È stato responsabile del monitoraggio dei rischi presso un’azienda multinazionale del settore automotive per oltre sette anni. In precedenza, è stato responsabile della gestione dei servizi e delle risorse ICT nell’area Asia-Pacific (Cina, Giappone e Malesia) e, prima ancora, è stato responsabile della sicurezza delle informazioni a livello mondo per più di sette anni. Per quanto attiene al monitoraggio del rischio, ha sviluppato una metodologia originale integrando tra loro, analisi del rischio operativo, valutazione del livello di maturità dei controlli e risk-based Internal Audit. I processi aziendali sono paragonati a servizi cooperanti basati sui principi guida del framework ITIL 4 e del Manifesto Agile. Inoltre, ha progettato uno strumento di cyber monitoring basato su OSINT e proposto uno standard di autenticazione dell’identità digitale. Sbriz è stato anche consulente per sistemi di business intelligence per diversi anni. Può essere contattato su LinkedIn (https://www.linkedin.com/in/luigisbriz) oppure tramite http://sbriz.tel.