Near miss incident utilizzato come indicatore di rischio

Qualunque evento imprevisto, che non provoca danni apparenti pur magari avendone il potenziale, è particolarmente interessante per fornire un idea su come costruire un indicatore di rischio¹, il quale avverte dell’approssimarsi di una situazione indesiderata, e come tale va analizzato. Nell’ambito della sicurezza informatica, avere segnalazioni tempestive sulla bontà del sistema di protezione delle informazioni è di vitale importanza. Gli indicatori di performance e di rischio sono una fonte indispensabile per misurare l’efficacia delle misure di protezione adottate. La difficoltà è trovare appropriate informazioni per sviluppare indicatori adeguati allo scopo.

L’attenzione è rivolta prevalentemente all’indicatore di performance perché fornisce una misurazione immediata e continuativa dell’evoluzione di un’azione. Gli indicatori di rischio, sono invece legati alla segnalazione dell’accadimento di uno specifico evento, e focalizzati alla prevenzione o al contenimento delle potenziali conseguenze. Con altre parole, gli indicatori di performance sono una vetrina dei risultati conseguiti, mentre gli indicatori di rischi sono una lente di ingrandimento che invita ad osservare un fenomeno utile all’organizzazione nel raggiungimento dei suoi obiettivi.

Differenze tra indicatori

Gli indicatori di performance sono spesso più facili da individuare rispetto a quelli di rischio. Nei requisiti di progetto sono già stati stabiliti i parametri per il controllo, ossia la misura dei limiti che permettono di capire quando il funzionamento dell’attività corrisponde a quanto atteso. Ad esempio consideriamo un automobile; il fine è il trasporto di persone da un luogo all’altro in un certo tempo. La velocità è quindi un parametro importante ed il contachilometri è un tipico indicatore di performance. Ci fornisce la velocità istantanea e lo fa per l’intero periodo di attività del veicolo. Idealmente, ci dovrebbe anche essere un indicatore del limite massimo di velocità, ed una segnalazione sonora dovrebbe essere emessa per l’evento di raggiungimento della soglia di velocità prestabilita. Questo è un indicatore di rischio. Segnala quando la velocità raggiunge la soglia, oltre la quale non è più accettabile accelerare, perché esiste un potenziale dalle conseguenze indesiderate (multe, danni a persone o cose, ecc.).

Per la capacità dell’indicatore di rischio di predire l’approssimarsi di una situazione a rischio, è anche detto “early warning”, ossia evidenzia l’ingresso in una condizione potenzialmente pericolosa. C’è però una difficoltà oggettiva ad individuare degli indicatori di rischio perché non fanno parte dell’idea originale di ciò che si vuole realizzare, e spesso gli elementi per determinarli si scoprono solo nella fase operativa.

La prestazione è un risultato richiesto, ed è sempre ben definito il modo di valutarla nei requisiti di progetto, mentre l’evento di rischio è una conseguenza di vulnerabilità inaspettate (nonostante l’analisi del rischio resta indeterminato il momento esatto) che possono emergere dalle fasi di sviluppo, di implementazione o di operatività, oppure perché nel tempo nuove minacce possono manifestarsi e cambiare lo scenario di rischio. La capacità di segnalare l’approssimarsi di un rischio, non può basarsi solo sul superamento di limiti di funzionamento, ma deve essere coerente con lo scenario di rischio e la sua valutazione.

Determinare gli indicatori di rischio

Un modo empirico per determinare un indicatore di rischio è di partire dallo scenario di rischio, considerando tutte le vulnerabilità emerse nell’operatività e poi, anziché proseguire con l’analisi del rischio, attuare un analisi causa/effetto per individuare i fattori alla base delle debolezze individuate. Questo passo evidenzia le dinamiche delle relazioni tra le azioni operative, gli elementi di debolezza e le minacce individuate, al fine di stabilire delle misure per stimare l’ampiezza del fenomeno, ed utilizzarle poi, per determinare una soglia di attivazione di un allarme in caso di variazione del livello di rischio. All’interno dell’insieme delle cause individuate, dobbiamo quindi scegliere quella che produrrà l’impatto più grave, e questa sarà la base del nostro key risk indicator (KRI).

Il percorso per stabilire l’indicatore di rischio è abbastanza agevole ma solo se l’analisi dispone di idonee sorgenti di dati sulle vulnerabilità. Inoltre, può essere utile concentrarsi su una categoria di situazioni che sono potenzialmente dannose ma senza evidenti conseguenze, cioè i near miss incident (incidenti sfiorati). Non tutti saranno significativi ma sono una fonte di potenziali vulnerabilità che non possiamo assolutamente trascurare nello scenario di rischio.

Comprendere i near miss incident

Un near miss incident è un evento non pianificato che ha il potenziale per causare un impatto, ma in realtà non provoca conseguenze significative. Sebbene non produca effetti evidenti al sistema di protezione, è comunque un segnale della presenza di una vulnerabilità reale, e come tale deve essere affrontata per tramite di un’analisi preliminare che ne determini la severità. Per l’assonanza di questo concetto con quello dell’indicatore di rischio, possiamo ritenere i near miss incident dei candidati ideali per realizzare degli indicatori di rischio.

Una prima considerazione riguarda la tipologia dell’indicatore di rischio che possiamo costruire. È di tipo “lagging” perché si basa su eventi già accaduti. Inoltre, ha concrete possibilità di soddisfare le caratteristiche più significative che rendono l’indicatore efficace:

• Impatto—Lanalisi svolta all’interno dello scenario di rischio garantisce che vengono considerate solo le segnalazioni rilevanti per l’organizzazione.
• Sforzo—É una segnalazione già presente nell’ambiente di controllo e deve solamente essere valutata in termini di gravità.
• Affidabilità—É un accadimento reale di un evento inatteso, di cui si deve valutare la vulnerabilità che lo ha agevolato.
• Sensibilità—Le evidenze raccolte, in quanto derivate da fatti concreti, garantiscono l’accuratezza dell’analisi di rischio.
• Ripetibilità—I fenomeni sono monitorati costantemente e l’analisi può trarre vantaggio anche dagli eventi passati e conservati nel registro del rischio.

Un ulteriore considerazione merita il benefico impatto sulla cultura aziendale del rischio. Una cultura del rischio matura analizza anche eventi che non hanno causato danni. Formalizzare l’analisi sistematica dei near miss è segno di attenzione ad eventi apparentemente non significativi ed è indice di maturità nella gestione del rischio. Viceversa, una debole cultura del rischio potrebbe ritenerli eventi fortunati che non richiedono azioni specifiche. Invece, il completamento di questa analisi dà il tempo per comprendere l’evento e agire.

Un near miss incident è un indicatore di rischio che può attivare una opportuna procedura di gestione dell’evento, se accade in una situazione già prevista, oppure più probabilmente richiede l’intervento di un professionista del rischio per determinare le cause e valutare la severità del rischio. Ci sono due tipologie di near miss incident, che possono essere utilizzati per chiarire come generare indicatori di rischio: i risultati dell’Internal Audit ed il rilevamento di virus informatici.

Near miss incident e internal audit

Il concetto di incidente mancato ha varie accezione, inclusa l’inattesa violazione di politiche, linee guida, standard, regolamenti o procedure, od anche carenze nella definizione di regole. Il processo di audit interno deve controllare l’allineamento tra il corretto funzionamento dei processi aziendali, narrato nei suoi documenti organizzativi, e gli obiettivi di business. Gli incidenti sfiorati possono funzionare in modo simile ai risultati dell’audit interno in quanto avvisano di potenziali violazioni o vulnerabilità che devono essere affrontate. Quando l’auditor rileva carenze nell’ambiente di controllo dell’organizzazione, piuttosto che archiviare semplicemente i rilievi solo nell’audit opinion o nel piano correttivo, questi dovrebbero essere comunicati al risk manager per analizzare le implicazioni sugli obiettivi aziendali. Gli esiti dell’audit richiamano il modo in cui agiscono gli indicatori di rischio (ovvero avvisano di situazioni anomale). L’indagine è sempre necessaria.

L’internal audit, per definizione, deve dimostrare l’efficacia del sistema di controllo interno. I punti di debolezza rilevati quali carenze nell’attribuzione di ruoli o responsabilità, scadenze non rispettate nell’aggiornamento di documenti o processi operativi, o controlli non effettuati formiscono un’indicazione di rischio organizzativo. Prima dell’audit, tutte queste situazioni sono ritenute perfettamente funzionanti dai processi di business, ma ogni mancata conformità rilevata, in quanto non gestita, è una potenziale causa di incidente. cioè è un near miss incident. Quindi, il rilievo è un indicatore di rischio devono essere analizzate le sue cause, determinata la gravità delle conseguenze rispetto agli obiettivi aziendali deve essere intrapreso un trattamento efficace.

Near miss incident e virus

Oltre alle debolezze in ambito organizzativo, possiamo individuare degli indicatori di rischio anche nel perimetro tecnologico. Per esempio, le segnalazioni degli antivirus permettono di creare interessanti indicatori nonostante il sistema antivirus abbia perso nel tempo molto del suo fascino. Il sistema antivirus va rivalutato. Oramai è percepito come una normale funzionalità di base a protezione dei tentativi di compromissione dei computer personali, in quanto la protezione dei sistemi critici, a ragione ritenuti di maggior valore, è affidata a sofisticati strumenti antintrusione in grado di correlare informazioni di varie provenienze, dalla rete e dai sistemi. L’attenzione rivolta alle segnalazioni da questi strumenti è molto alta. Al contrario, la notifica di un virus rilevato nel personal computer quasi mai riceve la classifica di incidente, se non interessato i sistemi critici, nonostante il potenziale a compiere danni avendo comunque superato qualche barriera difensiva. Generalmente, è prevista la sola bonifica in automatico del computer infetto, e registrato come evento non rilevante dentro una statistica che attesta il successo dell’antivirus.

Invece, da un punto di vista del rischio, la segnalazione della presenza di un virus, ha un diverso significato. È un’occasione per analizzare l’abilità di intrusione dimostrata dal virus e di conseguenza l’efficacia del sistema di difesa in profondità. Per questo è importante analizzare due aspetti dell’infezione. Il primo punto è la tecnica di intrusione usata dal virus per eludere le nostre difese. È utile comprendere cosa non ha funzionato e quali livelli di protezione sono risultati vulnerabili. Inoltre, la tecnica usata dal virus potrebbe anche far emergere una nuova minaccia. Il secondo punto è capire il valore delle risorse potenzialmente compromesse a quella profondità del sistema di difesa dove è avvenuta l’infezione, ed eventualmente rivalutare il livello di rischio.

L’incidente causato da un virus è catalogato come privo di impatto se non ha prodotto conseguenze significative, quindi è un near miss incident. La rilevanza consiste nell’opportunità di indagare sulle cause e di raccogliere le informazioni per comprendere se esiste una falla sul sistema di protezione e prevenire incidenti maggiori. Va rilevato che non tutti i virus sono interessanti per imparare dal fatto successo, ma solo quelli legati a particolari metodi di attacco che sappiano far emergere delle vulnerabilità. Ad esempio, le proprietà di intrusione, di spostamento o di mascheramento del virus. Per l’analisi dobbiamo separare le tecniche di infezione dall’effetto dell’infezione stessa. Le prime sono indicatori di rischio, in quando narrano l’attività compiuta per provocare l’incidente, mentre il secondo è un indicatore di performance (del virus), ossia di ampiezza delle conseguenze. In sintesi, andremo ad includere come indicatori di rischio tutte le segnalazioni di virus, che per la loro particolare tipologia o le caratteristiche specifiche, fanno emergere qualche vulnerabilità nel nostro sistema di protezione.

Conclusioni

Un near miss incident è un evento non pianificato, che può potenzialmente sviluppare delle conseguenze indesiderate ma in realtà non sono accadute. Da una prospettiva di rischio, è un indicatore di una situazione anomala e come tale deve essere investigata per comprendere le implicazioni sugli obiettivi aziendali. È un’opportunità da cogliere per analizzare le cause, identificare le soluzioni e rafforzare il sistema di protezione.

Un near miss incident segnala la presenza di qualche tipo di vulnerabilità, che deve essere affrontata in un tempo adeguato per risolverla. Non è certamente una vulnerabilità di tipo zero-day che richiederebbe un immediato rimedio per attenuare il rischio di conseguenze indesiderate. Essendo un potenziale, abbiamo sicuramente del tempo disponibile per agire e l’analisi di rischio ci dirà quanto. Sarà comunque un tempo breve perché abbiamo l’evidenza di un difetto reale. Le vulnerabilità associate all’indicatore di rischio di tipo near miss incident potremmo anche chiamarle di tipo one-day vulnerability. L’indicatore di rischio segnala per tempo la richiesta di attenzione, su cui posare la luce dell’analisi prima dell’eventuale buio del rischio.

Riferimenti

¹ ISACA^®, Glossary, https://www.isaca.org/resources/glossary

LUIGI SBRIZ | CISM, CRISC, CDPSE, ISO/IEC 27001 L A, ITIL V4, NIST CSF, UNI 11697:2017 DPO

È un lead auditor ed un consulente senior su tematiche di risk management, cybersecurity e privacy. È stato responsabile del monitoraggio dei rischi presso un’azienda multinazionale del settore automotive per oltre sette anni. In precedenza, è stato responsabile della gestione dei servizi e delle risorse ICT nell’area Asia-Pacific (Cina, Giappone e Malesia) e, prima ancora, è stato responsabile della sicurezza delle informazioni a livello mondo per più di sette anni. Per quanto attiene al monitoraggio interno del rischio, ha sviluppato una metodologia originale integrando tra loro, analisi del rischio operativo, valutazione del livello di maturità dei controlli ed un risk-based Internal Audit. I processi aziendali sono paragonati a servizi cooperanti basati sui principi guida del framework ITIL 4 e del Manifesto Agile. Inoltre, ha progettato uno strumento di cyber monitoring ed un sistema integrato per il monitoraggio del rischio, della maturità e dell’audit interno. Sbriz è stato anche consulente per sistemi di business intelligence per parecchi anni. Può essere contattato su LinkedIn https://it.linkedin.com/in/luigisbriz oppure tramite http://sbriz.tel.