La gestione del rischio è uno dei processi più complessi da implementare nell’ambito di un’organizzazione.
La capacità di valutare e gestire efficaciemente i rischi è fondamentale per le organizzazioni che mirano a proteggere i propri asset (informazioni, personale, infrastrutture tecnologiche e siti) e a mantenere la continuità operativa.
La gestione del rischio consta di due elementi principali: la valutazione, durante la quale l’organizzazione individua le minacce nonché la probabilità di accadimento e l’impatto, e il trattamento, che determina quali misure sono necessarie per mitigare laddove non è possibile eliminare il rischio.
Effettuare un Risk Assessment significa individuare le contromisure da adottare per la gestione di possibili eventi che potrebbero minacciare l’organizzazione, causando l’interruzione dell’operatività con impatti finanziari, legali o reputazionali, ossia implementare un piano di continuità operativa che sia in grado di gestire il fermo delle attività non solo in caso di disservizi legati al reparto IT, ma anche in caso di interruzioni di altra natura quali dimissioni di personale che ricopre un ruolo chiave, problemi con i fornitori o con i clienti.
La metodologia di Risk Assessment proposta si basa sullo Standard internazionale ISO31000:2018 e si compone di cinque fasi:
• Definizione del contesto e dei fattori interni ed esterni che potrebbero influenzarne l’attività
• Identificazione dei rischi che potrebbero ostacolare il raggiungimento degli obiettivi aziendali
• Valutazione dei rischi ossia della probabilità e dell’impatto
• Trattamento dei rischi per ridurne la probabilità o l’impatto
• Monitoraggio e revisione per rendere il processo sempre in linea con gli obiettivi aziendali
Il catalogo delle minacce viene modellato in base al contesto specifico dell’organizzazione.

REFERENZE
SAFO Informatica S.r.l., Associazione della Croce Rossa Italiana