Come valutare i rischi in una azienda

Sicurezza informatica, cybersecurity sono tematiche entrate a far parte di prepotenza dell’ambito sanitario. Questa crescente attenzione è giustificabile dal fatto che le moderne tecnologie informatiche hanno e continueranno ad avere, un forte impatto sulle aziende e sulle organizzazione che operano con le nuove tecnologie a disposizione (ad esempio aziende nel settore IT).

La valutazione del rischio è dunque un processo in continuo miglioramento, in quanto nel tempo i fattori di rischio, esterni o interni, possono cambiare o presentarsi in forme impreviste. La struttura del processo di gestione del rischio passa attraverso le risposte alle seguenti domande:

1. Cosa può succedere? (evento o minaccia);
2. Se succede, quanto può essere negativo? (impatto);
3. Con che frequenza può verificarsi tale evento?
4. Quale è la probabilità che si verifichi?

Al termine di tale attività dovremmo essere in grado di capire quali comportamenti/azioni sono da evitare. Questo non è, però, sufficiente in quanto occorre anche identificare quali azioni è opportuno attuare come fattori fondamentali di successo. Anche qui strutturalmente si possono sintetizzare tre domande:

1. Cosa posso fare? (mitigazione o minimizzazione del rischio);
2. Quanto mi costa? (non solo in termini economici, ma anche di risorse, capacità, mezzi).
3. Ne vale la pena?

Da quanto detto fino ad ora, emerge chiaramente una integrazione indissolubile tra gestione del rischio e gestione dei processi da parte dell’Organizzazione o azienda. Dunque per una corretta gestione dei rischi si definiscono i ruoli, le responsabilità e le attività necessarie per la gestione del rischio delle reti IT delle strutture aziendali per assicurarne la sicurezza e l’efficacia informatica.