Risk Assesment: come identificare le lacune nei piani di risposta (prima che sia troppo tardi)

Indipendentemente dal settore in cui un’azienda opera, a un certo punto, l’attuazione di una strategia di risk assesment che identifichi i potenziali punti deboli di infrastrutture, sistemi, dispositivi e procedure di sicurezza fisica diventa un passaggio ineludibile, per fornire al security manager una garanzia della validità e solidità delle misure adottate. I sistemi e le procedure di protezione della security possono infatti non essere adeguatamente progettati, implementati e ottimizzati per funzionare a dovere, con la dovuta efficacia ed efficienza, nei differenti scenari di rischio che possono presentarsi in caso di allarme. Arrivare a constatare troppo tardi, quando si sta ormai fronteggiando un incident, l’insufficienza o l’inefficacia dei sistemi e delle procedure di sicurezza fisica significa mettere a rischio la salvaguardia degli asset e l’incolumità del personale, ma anche compromettere la continuità operativa aziendale.
Risk assesment, perché non si può ignorarlo
Attivare in azienda una fase di risk assesment delle infrastrutture e procedure di sicurezza fisica è importante, in quanto, in molti casi, i responsabili della security non possiedono una reale visibilità e consapevolezza delle potenziali lacune nei meccanismi tecnologici di difesa e nelle metodologie d’intervento. Ciò accade, fondamentalmente, perché all’interno dell’organizzazione mancano sistemi di monitoraggio continuo della “postura” di sicurezza fisica, in grado di indicare l’attuale stato di salute dei sistemi di protezione. Mancano poi politiche e metodi di risk assesment, progettati per individuare le vulnerabilità, e sensibilizzare i security manager a prendere le opportune contromisure.
Come attuare una strategia di risk assesment
Nell’implementazione in azienda del risk assesment, come soluzione di valutazione del rischio per individuare lacune e punti deboli nei sistemi e nelle procedure di protezione della sicurezza fisica, è però innanzitutto essenziale adottare l’approccio corretto, che deve essere strategico e non tattico. Ancora troppo spesso, infatti, i security manager reagiscono in maniera impulsiva a un incident di sicurezza fisica, ricercando soluzioni limitate e provvisorie, in genere attuate per mitigare problemi contingenti e specifici, magari responsabili di danni esigui. In questo modo, non affrontando le vulnerabilità attraverso un approccio strategico che consideri le conseguenze dei gap di sicurezza nel loro complesso, il rischio è lasciare scoperti punti deboli che potranno causare incidenti ben più gravi e costosi, ad esempio in termini di potenziali lesioni per il personale o ampi danneggiamenti di asset industriali.
Altro aspetto nodale da tenere a mente, e su cui porre la massima attenzione in sede di analisi del ritorno sull’investimento (ROI), è che il valore del risk assesment va considerato utilizzando una duplice lente: quella che consente di valutare i vantaggi a livello di miglioramento dei piani di risposta e mitigazione dei danni, ma soprattutto la lente che permette di stimare i benefici in termini di prevenzione dei rischi e degli incidenti di sicurezza. Premessi questi concetti, l’implementazione di una strategia di risk assesment si fonda sull’adozione di strumenti tecnologici e metodologie che, opportunamente orchestrati, aiutano il security manager a verificare e validare l’affidabilità e completezza dei meccanismi e delle procedure di difesa della sicurezza fisica.
Strumenti di risk assesment
Gli strumenti tecnici utilizzabili in fase di risk assesment includono una serie di sistemi di raccolta e analisi dei dati. Tra questi, in primo luogo, si possono citare i tool SIEM (security information and event management), ossia software in grado di acquisire, aggregare, centralizzare e analizzare i registri eventi (log) provenienti da tutti i sistemi di sicurezza fisica (controllo accessi, allarmi, videosorveglianza) o da altri apparati e dispositivi connessi alla rete informatica aziendale. Il sistema SIEM, analizzando i log, può identificare anomalie, e generare alert che aiutano a individuare la presenza di malware o di altre attività sospette o pericolose. Del resto, gli aspetti di cybersecurity giocano un ruolo crescente e cruciale anche nella protezione dei sistemi di sicurezza fisica, perché qualunque vulnerabilità presente nei dispositivi e apparati dell’infrastruttura IT (information technology) può essere sfruttata dagli attori delle minacce per colpire gli apparati e dispositivi OT (operational technology), quindi la tecnologia operativa.
Nell’esecuzione di un piano di risk assesment è poi utile adottare, ad esempio, database centralizzati, che possono archiviare informazioni sugli asset, sulle vulnerabilità, sui precedenti incidenti e sulle procedure di risposta attuate. Essenziali per individuare schemi nei dati ed elaborare tendenze sono anche gli strumenti di business intelligence (BI), che attraverso dashboard e cruscotti digitali unificati visualizzano in modo sintetico dati e trend, permettendo di valutare l'efficacia delle misure di sicurezza.
Senz’altro preziose per il risk assesment sono poi le tecnologie di mappatura e visualizzazione, come i sistemi GIS (geographic information system), necessarie per localizzare in tempo reale, a livello geografico, gli asset fisici, le aree di rischio e le risorse di risposta all’incidente. In aggiunta, le piattaforme PSIM (physical security information management), quando già installate nell’organizzazione, aiutano a visualizzare lo stato di funzionamento della sicurezza fisica, gli eventi e le risorse in maniera integrata.
Vanno poi menzionati gli strumenti di simulazione e modellazione: i primi sono d’ausilio nella creazione di scenari di incidenti di sicurezza fisica, per poi valutare l’efficacia delle procedure di risposta nei diversi contesti di emergenza. I tool di modellazione, invece, sono software specializzati nella quantificazione dei rischi, nella valutazione dell’impatto degli incidenti, e nell’analisi dei costi e benefici delle misure di sicurezza fisica applicabili.
Metodi di risk assesment
I dati raccolti e analizzati consentono di definire l’ambito e gli obiettivi delle metodologie di risk assesment. Queste possono includere, ad esempio, l’inventario e la classificazione degli asset fisici aziendali, per identificare le risorse di importanza cruciale, come infrastrutture critiche, personale chiave, dati sensibili. Gli obiettivi dei metodi di risk assesment vanno definiti con chiarezza: ad esempio, identificare le vulnerabilità nelle procedure di risposta, o valutare l’efficacia delle misure di sicurezza esistenti. Le metodologie di risk assesment comprendono inoltre tecniche di calcolo e classificazione dei rischi, sistemi di analisi delle procedure di risposta all’incidente, metodi di individuazione delle carenze, e di elaborazione delle raccomandazioni per migliorare le procedure stesse. L’implementazione delle misure correttive identificate in fase di risk assesment va comunque concepita nell’ambito di un processo di miglioramento continuo, fondato sul regolare monitoraggio dell’efficacia delle nuove procedure e delle misure di sicurezza attivate, nonché su revisioni periodiche che tengano conto dei cambiamenti negli asset, nelle vulnerabilità e nelle minacce.