Persone, tecniche e modelli mentali di percezione del rischio Linee guida all eccellenza operativa nel Risk Management per la sicurezza delle informazioni Roma, 27 Gennaio 2010 Silvano Bari, CISM 1
Errori più frequenti nella fase di pianificazione del Risk Management Incaricare della valutazione dei rischi persone incompetenti Non fornire ai responsabili della valutazione dei rischi Le informazioni La formazione Le risorse Il tempo Il supporto Non assicurare un adeguato coordinamento tra valutatori di aziende diverse che operano nel medesimo luogo di lavoro Non coinvolgere nella valutazione dei rischi persone e lavoratori dotati di una conoscenza pratica del processo/attività oggetto di valutazione Consultare il manuale delle procedure aziendali ma non i lavoratori Attenersi rigidamente ad una lista di controllo 2
Focus Una attività di Risk Management non può essere condotta in termini esclusivamente tecnici o automatici L attenzione deve essere sempre rivolta alle persone 3
I protagonisti VERTICE AZIENDALE Presidente, Amm.re Delegato, Consiglieri, Direttori Generali RESPONSABILI delle AREE AZIENDALI Direttori, Capi Area ESPERTI DEL SETTORE Referenti, Delegati, Lavoratori TEAM di RISK MANAGEMENT Responsabile RM, Esperti, Consulenti, Facilitatori 4
Come ottenere il coinvolgimento NORMATIVE VALORE AGGIUNTO/BENEFICI (REALI) ATTRIBUZIONE DELLE RESPONSABILITA CONSULENZE DI SETTORE 5
Normative e standard CODICE PREDA Codice di autodisciplina per le società quotate (Borsa Italiana) D. Lgs. 30 giugno 2003, n.196 Codice sulla protezione dei dati personali PCI-DSS Payment Card Industry Data Security Standard Nuovo accordo di Basilea sulla regolamentazi one del capitale (Basilea II) Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4 National Association of Securities Dealers (NASD) norme 3010 e 3110 D. Lgs. 231/2001 Responsabilità amministrativa dell ente per reati posti in essere da amministratori, dirigenti,e/o dipendenti nell interesse o a vantaggio dell ente stesso Testo Unico sulla Finanza D.Lgs. 24 febbraio 1998, n. 58 e succ. modifiche e integrazioni L. Delega 366/2001 D. Lgs. n.61/2002 L. n.62/2005 L. n.262/2005 focus su rischio per le informazioni Sarban es- Oxley Act (SOX) del 2002 Gramm- Leach-Bliley Circolare ISVAP Federal Act (GLBA) n. 577/D del 30 Health Title 21 Code Information del 1999 dicembre 2005 Insurance of Federal Security (Financial Istituto per la Portability Regulations Management Vigilanza sulle Services and Part 11 (21 Act (FISMA) Assicurazioni Private Modernization e di Interesse Accountabilit CFR Part 11) Act) collettivo y Act (HIPAA) 6
Il compito del Team di Risk Management AIUTARE A IDENTIFICARE ASETTICAMENTE I RISCHI La percezione del rischio è un qualcosa di estremamente personale che dipende dai più svariati fattori Gli individui rispondono sulla base della loro percezione del rischio e non sulla base di un livello di rischio oggettivo (valutazione scientifica) Es. il tasso di colesterolo il furto in casa 7
8
Rivedere la nozione di Rischio R = P * V rischio Probabilità del verificarsi di un evento dannoso Conseguenze dell evento dannoso R = P * V K Fattore umano 9
Cause frequenti di errata percezione del rischio TENDENZA A SOVRASTIMARE RISCHI SPETTACOLARI MA RARI (Uragani, terremoti, ) E SOTTOVALUTARE RISCHI COMUNI MA PIU FREQUENTI (Infarti, allagamenti, scosse elettriche, ) Es. il condominio l allagamento TENDENZA A SOTTOSTIMARE I RISCHI CHE POSSIAMO CONTROLLARE DIRETTAMENTE E SOVRASTIMARE QUELLI CHE NON DIPENDONO DA NOI l esempio del pane in cassetta TENDENZA A SOTTOVALUTARE LE ATTIVITA SECONDARIE (Interventi di manutenzione o pulizie svolte sul luogo di lavoro) le signore delle pulizie gli archivi del personale 10
Cause frequenti di errata percezione del rischio (2) TENDENZA A TRASCURARE L EVENTUALE PRESENZA DI ALTRE PERSONE (lavoratori di altre aziende, visitatori) SUL LUOGO DI LAVORO Es. Il caso del CED TENDENZA A SOVRASTIMARE I RISCHI DI CUI SI PARLA SPESSO E CHE RIMANGONO A LUNGO ALL ATTENZIONE ATTENZIONE (COPERTURA MEDIATICA) Es. Influenza A PREGIUDIZIO DELL OTTIMISMO Tendenza a credere che noi faremmo meglio di quanto hanno fatto gli altri nella stessa situazione Es. La guida in stato di ebbrezza TENDENZA AD ESSERE IMPULSIVI NEI GIUDIZI (aspetto, colori, costo, ) Es. la rapina la festa di capodanno 11
Quale dei due uomini è più capace? Fonte: Why We Make Mistakes, di Joseph T. Hallinan, Broadway Books, 2009 12
Cause frequenti di errata percezione del rischio (3) TENDENZA AD EFFETTUARE SCELTE DIFFERENTI SE IL RISULTATO E PRESENTATO COME UN GUADAGNO PIUTTOSTO CHE COME UNA PERDITA Es. SCOPPIO DI UN MORBO IN UNA POPOLAZIONE DI 600 PERSONE Due gruppi di lavoro devono scegliere, ognuno, tra due programmi di intervento 1 gruppo programma A 200 persone si salvano programma B si possono salvare tutte e 600 le persone ma si rischia (2 prob.su 3) che tutte e 600 muoiano 2 gruppo programma C programma D 400 persone muoiono esiste 1 prob. Su 3 che nessuno muoia e 2 prob. Su 3 che tutte e 600 muoiano 13
Il compito del Team di Risk Management CONVINCERE LE PERSONE A RICERCARE I RISCHI PONENDOSI INTERROGATIVI INCORAGGIANDO LE PERSONE A PARLARE (prescindendo dai ruoli gerarchici e dalle responsabilità) AIUTANDOLE A CAPIRE DOVE GUARDARE (la vera origine del rischio) AIUTANDOLE A CAPIRE COME IL NOSTRO CERVELLO PROCESSA I RISCHI E I PREGIUDIZI CHE NE DERIVANO 14
Metodologie e Tool Metodologie: AU IT Security Handbook Cramm Defender Manager Dutch A&K Analysis Ebios ICH Q9 (specifica per ambiti farmaceutici) ISAMM ISF Methods ISO/IEC 13335-2 ISO27001 IT Grundschutz Magerit Marion Mehari MIGRA Octave SP800 300 ZHA Tool Callio Casis Cobra Countermeasures Cramm Defender Manager Countermeasures Cramm Defender Manager EAR/PILAR Ebios GSTool GxSGSI ISAMM MIGRA Tool Modulo Risk Manager Octave Proteus Ra2 Real ISMS Resolver Ballot Revolver Risk Risicare Riskwatch RM Studio Stream 15
Tecniche PPA Potential Problem Analysis RCA Root Cause Analysis HAZOP Hazard Operability Analysis DELPHY Analysis BRAINSTORMING e sue varianti FTA Fault Tree Analysis FMEA/FMECA Failure Mode, Effects (and Criticality) Analysis. E inoltre TECNICHE PER LA MAPPATURA DELLE INFORMAZIONI (Cronologia narrativa, Linee del tempo) TECNICHE PER L ANALISI DEI FATTORI (Diagramma di Ishikawa, I Cinque Perché, Check-list).. 16
Per concludere.. COMPETENZE FORMAZIONE COMUNICAZIONE 17