Cos'è il risk management?

Con gestione del rischio definiamo il processo di identificazione e valutazione dei rischi e la creazione di un piano che consenta di contenere o tenere sotto controllo quelli individuati e le loro conseguenze ripercuotibili su una azienda. Diamo una definizione di rischio. Un rischio è una potenziale perdita o danno, ed è ascrivibile ad ambiti diversi: responsabilità legali, calamità naturali, incidenti, errori di gestione o minacce informatiche.

Tutto sta nel seguire i dati. Scopri l'importanza della sicurezza per l'Internet of Things (IoT) nel seguente video.

Riservatezza dei dati e gestione rischi

Questo video spiega perché è necessario garantire la sicurezza dell'ambiente informatico attraverso data privacy e gestione dei rischi uniti ai processi aziendali.

Gli approcci che consentono di affrontare tali rischi e comprenderne le potenziali conseguenze costituiscono le strategie di gestione dei rischi. Tali strategie devono essere incluse in un apposito piano di gestione, ovvero un processo documentato che illustra le modalità con le quali il team o l'organizzazione identificano e affrontano i rischi emergenti.

La gestione dei rischi per la sicurezza aziendale è una componente importante dell'intera strategia organizzativa e del rapporto con gli stakeholder, in quanto consente di evitare quelle situazioni che potrebbero impedire all'azienda di realizzare i propri obiettivi.

In molti settori l'adesione alle normative sulla compliance in materia di gestione dei rischi d'impresa è imprescindibile e numerose organizzazioni hanno definito degli standard per la loro gestione, ad esempio il National Institute of Standards and Technology e l'International Organization for Standardization (ISO).

Il settore dei servizi finanziari, ad esempio, è tenuto ad adempiere a numerosi requisiti e normative di compliance. È ovviamente anche un contesto ad alto rischio, che si muove tra protezione dei dati dei clienti, decisioni di investimento e definizione dei rischi di credito.

A prescindere dal settore in cui operano, i principi ISO 31000 possono essere utilizzati come framework di gestione del rischio per qualsiasi azienda. Tali standard facilitano l'adozione sistematica dei piani di gestione del rischio.

In ambito IT, il rischio deriva dalle potenziali perdite o danni causati dalle minacce che sfruttano le vulnerabilità dell'hardware o del software. I Common Vulnerabilities and Exposures (CVE) sono elenchi di falle alla sicurezza divulgati al pubblico, che aiutano i professionisti IT a coordinare le iniziative per assegnare le priorità e risolvere le vulnerabilità, con l'obiettivo di rendere i sistemi informatici più sicuri.

Il modo in cui sviluppiamo, distribuiamo, integriamo e gestiamo l'IT è cambiato radicalmente. La sicurezza IT deve diventare parte integrante dell'infrastruttura e del ciclo di vita del prodotto dall'inizio ed essere inclusa nella strategia di gestione del rischio, in modo che l'azienda possa essere proattiva e reattiva. 

Il contenimento del rischio può passare attraverso strumenti quali l'analisi predittiva e l'automazione dei sistemi aziendali, che consentono di monitorare l'infrastruttura. 

I team operativi possono usare l'analisi predittiva per individuare e risolvere i problemi in maniera proattiva, prima che si ripercuotano sull'intero ambiente. Questo tipo di analisi dei rischi serve anche a prevenire problemi legati alla sicurezza ed evitare tempi di inattività non programmati, poiché è in grado di rilevare le attività anomale su una rete e identificare la causa alla radice delle potenziali vulnerabilità. 

L'automazione garantisce la rapidità e l'efficienza del feedback senza rallentare il ciclo di vita del prodotto e può anche risolvere le problematiche individuate.

Nessuna organizzazione può evitare completamente ogni rischio, ma le conseguenze non devono essere necessariamente negative. L'azienda deve valutare il rischio potenziale a fronte dell'opportunità che può rappresentare e stabilire quale sia il livello di rischio accettabile. Queste informazioni possono essere di supporto al processo decisionale. 

La gestione del rischio prevede l'assegnazione di una priorità elevata a quei rischi che hanno un'alta probabilità di verificarsi e che comporterebbero ripercussioni più incisive e l'applicazione di procedure di mitigazione finalizzate ad attenuare tali rischi.

Fasi di gestione del rischio:

1. Identificazione del rischio: identificazione e descrizione dei potenziali rischi. I tipi di rischio identificabili includono, tra gli altri, i rischi finanziari, quelli operativi (che possono colpire, ad esempio, la catena di distribuzione), i rischi di progetto, i rischi di business e i rischi di mercato. Una volta identificati, devono essere annotati o comunque documentati in appositi registri.
2. Analisi del rischio: definizione della probabilità che un nuovo rischio si verifichi tramite l'analisi dei fattori e la documentazione delle potenziali conseguenze.
3. Valutazione del rischio: utilizzo di controlli interni e di analisi del rischio per determinarne la portata. In questa fase occorre inoltre decidere quale livello di rischio è accettabile per l'azienda e quali devono essere immediatamente affrontati.  
4. Mitigazione del rischio: dopo aver stabilito la priorità e l'importanza dei rischi, va elaborata una strategia di risposta al rischio per controllarlo o minimizzarlo. 
5. Monitoraggio del rischio: i rischi e le metriche devono essere sottoposti a controllo continuo, per accertarsi che i piani di mitigazione funzionino o per essere consapevoli dell'eventuale aumento della minaccia.

Le principali strategie di gestione dei rischi includono: prevenzione, riduzione, condivisione e ritenzione.

• Prevenzione del rischio: consiste nell'arrestare ed evitare qualsiasi attività che può comportare un rischio.
• Riduzione del rischio: si incentra sulle azioni che possono ridurre tanto la probabilità che un rischio si verifichi quanto il suo impatto.
• Condivisione del rischio: quando un'organizzazione trasferisce o condivide parte del rischio con un'altra organizzazione. Ne è un esempio l'outsourcing della produzione o delle attività di assistenza ai clienti a terze parti.
• Ritenzione del rischio: quando i rischi sono stati valutati e l'organizzazione decide di accettarne il potenziale verificarsi. Non viene intrapresa alcuna azione di mitigazione, ma può essere predisposto un piano di emergenza.

Red Hat verifica, consolida e supporta il software open source per metterlo a immediata disposizione dell'azienda. Red Hat ha l'obiettivo di aiutarti a mantenere competitività, flessibilità e agilità, senza che vengano intaccate sicurezza e conformità normativa.

Le nostre soluzioni possono aiutare i tuoi team e i responsabili del rischio a configurare tattiche di correzione e prevenzione dei rischi nei rispettivi ambienti. Red Hat® Insights offre strumenti di analisi predittiva in grado di eseguire una valutazione completa e una previsione intelligente su ambienti fisici, virtuali, di cloud pubblico e privato e basati su container. 

Come parte della strategia di gestione del rischio, la tua azienda può identificare i rischi in modo proattivo e automatizzare la correzione nell'infrastruttura Red Hat tramite i playbook di Red Hat® Ansible® Automation Platform e Insights.