La percezione del rischio in azienda

Una recente analisi presentata alla scorsa edizione della Cyber Warfare Conference ha evidenziato come la maggior parte degli imprenditori italiani, ad eccezione delle grandi aziende  e delle infrastrutture critiche, sebbene abbia mostrato una certa sensibilità verso la tematica della Cyber Security, sia in realtà restia ad investire in sicurezza aziendale.

La percezione del rischio in azienda è ben evidenziata dalla vignetta sottostante, che sintetizza i fattori di probabilità e impatto utilizzati nella Risk Analysis per calcolare la “magnitudo”, cioè l’unità di misura del rischio. Nella vignetta possiamo individuare i seguenti elementi: 1) Obiettivo: raggiungere il lato destro della linea senza danno; 2) Vulnerabilità: una fossa che separa l’omino (azienda) dal raggiungimento dell’obiettivo; 3) Probabilità: la probabilità che l’omino cada nella fossa; 4) Impatto: il danno provocato dalla caduta.

La vignetta dell’omino e del fosso evidenzia 4 casi:

1. Alta probabilità / basso impatto: considerando la lunghezza della fossa, a meno che l’omino non sia Mike Powell, quasi sicuramente dovrà camminare nell’acqua per raggiungere l’obiettivo, ma in questo caso il danno sarà ridotto ad un paio di scarpe bagnate. Questa relazione di PxI (probabilità per impatto) non porterà a valutare misure preventive o strategie alternative per raggiungere l’obiettivo;
2. Bassa probabilità / basso impatto: la lunghezza della fossa è trascurabile e può essere facilmente saltata, e anche se l’omino dovesse cadervi, il danno sarebbe limitato ad un paio di scarpe bagnate. Nemmeno in questo caso sarebbero valutate misure preventive o strategie parallele per raggiungere l’obiettivo;
3. Bassa probabilità / alto impatto: la fossa è di scarsa lunghezza e in situazioni normali può essere agevolmente saltata. Ma in caso l’omino dovesse malauguratamente cadervi, il danno sarebbe di grave entità, essendo la fossa molto profonda e con stalagmiti appuntite sul fondo. In questo caso l’utilizzo di misure di prevenzione o strategie alternative dipende dalla cultura aziendale e  dalla propensione al rischio.
4. Alta probabilità / alto impatto: la fossa è molto lunga difficilmente potrebbe essere superata, ma allo stesso tempo è anche molto profonda e piena di stalagmiti. In questo caso la caduta è altamente probabile e provocherebbe un danno grave. Questa situazione impone la valutazione di strategie alternative o misure di mitigazione del rischio.

Mentre nei casi 1,2 e 4 la scelta è semplice, il caso 3 rappresenta la situazione di più difficile risoluzione nella Risk Analysis, poiché le valutazioni su come e quanto prevenire il rischio di caduta dipendono da numerosi fattori: il cosiddetto “risk appetite” (ossia la propensione al rischio in rapporto all’importanza dell’obiettivo),  la cultura aziendale, la capacità di percepire il rischio e di quantificare correttamente il danno in caso di “caduta”.  Senza contare l’ancora importante tendenza delle aziende ad ignorare il rischio riducendo le valutazioni al laconico “Speriamo che non accada”.