Nel contesto di business attuale, in particolare dalla pandemia in poi, c’è una costante in continuo aumento: il cambiamento.

Qualsiasi cambiamento porta con sé degli effetti che possono essere positivi (opportunità) o negativi (rischi). Il successo del business dipende da quanto la leadership aziendale sappia sfruttare al meglio le opportunità e ridurre al minimo o evitare i rischi.

Facile a dirsi, un po’ più complesso a farsi. Ultimamente sentiamo parlare sempre più spesso di rischio informatico, che sta vivendo il suo momento di fulgore con l’introduzione della normativa europea NIS2, trainato dalle notizie di attacchi alle infrastrutture critiche.

Non perdiamo di vista il principio generale. Il rischio informatico è solo uno dei rischi a cui le nostre aziende sono giornalmente sottoposte. Giusto per citarne alcuni:

  • Rischi di mercato Obsolescenza intellettuale. Quando un’eccellenza aziendale, un tempo all’avanguardia, diventa rapidamente superata a causa dei repentini cambiamenti della tecnologia disponibile.
  • Cannibalizzazione da parte di un partner commerciale. Quando un partner fidato decide di agire direttamente sulla nostra clientela, di fatto togliendoci l’ossigeno.
  • Monocliente. Quando tutta o la maggioranza rilevante delle nostre entrate dipende dalla sorte del nostro cliente principale. Se lui fallisce, noi falliamo.
  • Rischi reputazionali Rischio reputazionale inverso. Quando il nostro brand viene legato a un altro prodotto che ha avuto problemi di immagine. È molto probabile che anche noi finiamo nel tritacarne.
  • Rischio di polarizzazione socio-politica. Se il nostro brand viene in qualche modo associato a questioni di carattere socio-politico (es. ambientali, diritti civili, schieramenti politici, ecc.).
  • Rischi sulla catena di fornitura Fragilità logistica dovuta, ad esempio, a un solo operatore logistico.
  • Rischio legato al costo o alla reperibilità delle materie prime e dei semilavorati indispensabili al nostro processo produttivo.

Questi sono solo alcuni esempi e l’elenco è sicuramente molto più lungo. Come vedete, non ho citato volutamente il rischio informatico: è solo uno di quelli in elenco, insieme agli altri.

In questo terreno minato, “navigare a vista” è difficile e pericoloso. Ci sono alcuni strumenti che possono venirci incontro, fornendoci un metodo strutturato e un approccio solido al rischio e all’opportunità.

La risorsa principale è la linea guida ISO 31000, la “madre” di tutte le procedure di gestione del rischio. È una linea guida, per cui non ci si può certificare, ma la si può usare liberamente per gestire qualsiasi tipo di rischio e opportunità: finanziario, operativo, strategico, reputazionale, ecc.

Il suo scopo principale è inserire nel tessuto aziendale una gestione del rischio strutturata.

L’approccio pratico si basa sul ciclo di Deming – PDCA (Plan – Do – Check – Act), improntato al miglioramento continuo in un ciclo virtuoso.

Dal punto di vista organizzativo, sono indispensabili tre passi propedeutici:

  1. Il management deve definire, approvare e assegnare le risorse necessarie per l’ottenimento dello scopo principale delle linee guida.
  2. Definire “chi fa cosa”. Altro passo fondamentale è mettere bene in chiaro quali saranno i ruoli e le responsabilità per il monitoraggio e la gestione dei rischi aziendali.
  3. Rendere mandatoria l’integrazione del risk management in tutti i processi aziendali.

Una volta che questi pilastri sono ben cementati, possiamo andare alla caccia dei rischi e delle opportunità. Come? I passaggi sono molto ben definiti:

  • Definire un contesto. Senza questo, è inutile valutare il rischio di eruzione di un vulcano se non ci sono vulcani in zona.
  • Identificare i rischi. Analizzando il contesto, dobbiamo capire a quali rischi possiamo essere esposti.
  • Analizzare il rischio specifico, definendone la probabilità e l’impatto che avrebbe sulla nostra azienda nel caso si verificasse.
  • Ponderare il rischio secondo il nostro “appetito di rischio”, ossia valutare se è sopra o sotto un livello di accettazione.
  • Trattare il rischio. Quando è sopra la nostra soglia di accettazione, dobbiamo trovare soluzioni per mitigarlo, trasferirlo (es. con un’assicurazione) o eliminarlo, decidendo ad esempio di non effettuare un investimento.

La ISO 31000 ha un approccio olistico su tutta l’azienda, mentre la sua “costola” specifica per i rischi derivanti dalla sicurezza delle informazioni è la ISO 27005.

Anche questa norma non è certificabile, ma va adottata per gestire il rischio sulla sicurezza delle informazioni quando si deve implementare un SGSI (Sistema di Gestione della Sicurezza delle Informazioni) conforme alla ISO 27001.

La ISO 27005 non impone una metodologia, ma fornisce le linee guida per un processo di risk management di tipo “asset-based”. La differenza sostanziale è che, invece di un’analisi dei rischi effettuata su un contesto generale, ci si basa sui rischi a cui sono soggetti gli “asset” definiti nella ISO 27001. Da questo punto in poi, i passaggi dell’approccio sono esattamente gli stessi.

In conclusione, adottare un approccio olistico basato sui principi della ISO 31000 e implementare la sua declinazione, la ISO 27005, per le difese digitali, permette di navigare nell’incertezza dei cambiamenti avendo un faro che ci guida.