1. La natura di una minaccia e le differenti tipologie
Una minaccia è tutto ciò che, dopo aver raccolto dettagliate informazioni da diverse fonti, potrebbe interferire, interrompere o addirittura distruggere un servizio, uno specifico asset o influire negativamente su determinate operazioni. La formula della minaccia è data da capacità x intenzione, dove quest’ultima indica la premeditazione, tacita o dichiarata, di commettere un reato, e capacità denota l’abilità dell’aggressore di possedere i mezzi fisici per compiere tale atto. È importante soffermarsi anche su fattori quali opportunità e motivazione, in quanto gli individui hanno motivazioni varie e diverse opportunità per mettere in atto le minacce.
Una volta rilevate, esse devono essere contestualizzate in base all’ambiente in cui si trovano. I differenti scenari derivano da pericoli naturali e artificiali e vengono classificati in:
Minacce esterne (atti violenti, disordini civili, terrorismo e altre attività criminali),
Minacce interne (furti interni e sabotaggi),
Pericoli naturali o meteorologici (uragani, tempeste, cicloni, inondazioni, siccità, terremoti, attività vulcanica, incendi, tsunami),
Pericoli ambientali (stress idrico e termico),
Incidenti sul lavoro (cedimento della struttura, guasti meccanici),
Incidenti chimici, biologici e radiologici,
Interruzioni dei trasporti (chiusura delle strade principali, ritardi diffusi dei voli),
Interruzione delle comunicazioni e problemi con la tecnologia informatica.
Al fine di valutare il grado e la probabilità per cui le minacce potrebbero diventare realtà, vengono condotte valutazioni delle minacce, in base alla seguente classificazione:
Minacce effettive, basate su fonti e record storici o sull’ubicazione delle risorse,
Minacce intrinseche, dovute alla natura o alle caratteristiche dell’impianto o dell’operazione, e
Minacce potenziali, le quali esistono in virtù della vulnerabilità di un asset o dei punti deboli del programma di sicurezza.
2. Cosa si intende per valutazione della minaccia?
Questo termine assume un significato diverso a seconda della persona che esegue la valutazione. Professionisti della sicurezza, polizia, giudici e psicologi, tutti conducono valutazioni delle minacce, sebbene vengano applicati approcci distinti. Ogni impostazione è di natura predittiva, ma differiscono per la metodologia usata. Nel campo della sicurezza, la valutazione delle minacce è quindi definita come l’approccio che utilizza diverse strategie o metodi per identificare e valutare minacce potenziali o imminenti in modo da prevenire o mitigare la possibilità che vengano eseguite. Essa rappresenta il primo passo nell’analisi dei rischi e delle vulnerabilità.
La valutazione è composta da quattro fasi principali che includono l’identificazione della minaccia, una valutazione iniziale che ne determina la gravità (questa fase prevede il coinvolgimento di diverse fonti, sia a livello di HUMINT, sia attraverso l’analisi dei canali social media), la gestione del caso (case management) che prevede lo sviluppo di un piano di intervento a breve o a lungo termine e, infine, la fase di follow-up, che comporta un’analisi costante degli indicatori di attualità, gravità, intensità e frequenza della minaccia da parte del perpetratore.
Una volta identificate ed analizzate le minacce, le entità possono decidere come proteggere le risorse in gioco. Durante l’esecuzione della valutazione delle minacce, è fondamentale coinvolgere tutte le parti interessate e i partner esterni come le forze dell’ordine locali, professionisti ad hoc o psicologi, i quali svolgono un ruolo primario nel fronteggiare questo tipo di emergenze.
Allo stesso modo viene effettuata anche la valutazione attiva delle minacce, ovvero un’osservazione sistematica dei comportamenti e delle azioni finalizzata all’identificazione delle minacce. Nell’utilizzare questa metodologia, un osservatore (generalmente il responsabile della sicurezza o dell’intelligence) monitora sistematicamente l’ambiente, rileva gli individui sospetti (noti anche come persone di interesse - PDI) e valuta le potenziali minacce che questi individui rappresentano. Una PDI, identificata grazie alle informazioni raccolte, è un individuo soggetto a ulteriore osservazione, a causa delle sue attività sospette o dei suoi comportamenti minacciosi. L’uso di indicatori aiuta a capire se questo potrebbe effettivamente rappresentare una minaccia.
Il concetto di minaccia va inevitabilmente di pari passo con quello di vulnerabilità.
3. Analisi delle vulnerabilità
Prendiamo l’esempio della difesa nazionale. Un paese è costantemente sotto minaccia; le lacune nel sistema della sicurezza nazionale sono le vulnerabilità e i potenziali danni ai beni o ai cittadini sono i rischi. Una vulnerabilità è definita come una debolezza in un sistema che può essere sfruttata per sferrare un attacco.
Pertanto, la valutazione della minaccia è seguita dalla valutazione della vulnerabilità, che comprende due parti. La prima prevede la determinazione delle risorse (ovvero gli individui, le proprietà, le varie attrezzature) e la stima della perdita in caso di un attacco riuscito. La seconda parte valuta il livello di appetibilità del bersaglio e gli esistenti meccanismi di difesa per fronteggiare le minacce.
Lo scopo dell’analisi delle vulnerabilità è valutare quanto identificato nella raccolta delle informazioni e determinarne le attuali debolezze, stabilendo se le protezioni adottate sono adeguate in termini di riservatezza, integrità e disponibilità. Le minacce esisteranno sempre; tuttavia, se non sono presenti vulnerabilità, le possibilità di rischio sono basse. Pertanto, conoscere le vulnerabilità e monitorarle regolarmente è fondamentale al fine di rilevare e tenere sotto controllo i potenziali rischi.
4. Il concetto di “rischio”
Le minacce vengono esaminate in base alla valutazione del loro rischio. Il rischio è calcolato in funzione della probabilità di accadimento di un particolare insieme di circostanze (dalla più improbabile alla più probabile) e del potenziale impatto, ovvero l’entità delle conseguenze che avrebbe l’evento se si verificasse in assenza di azioni atte a porvi rimedio. Il rischio può anche essere definito come l’effetto dell’incertezza sugli obiettivi, dove per incertezza si intende il non sapere come o se potenziali eventi possano manifestarsi, e l’impatto è la conseguenza o l’esito dell’evento che influisce sugli obiettivi.
Ogni rischio valutato deve essere considerato in base alla probabilità di accadimento per cui una minaccia può trarre vantaggio da una debolezza, al potenziale impatto negativo che ne deriverebbe e al riconoscimento di ciò che questa situazione potrebbe significare. Per ogni rischio identificato, deve essere intrapresa un’azione pianificata.
Esistono diversi modi per analizzare il rischio; tuttavia, identificare ed implementare modelli efficaci che valutino oggettivamente la probabilità di perdita in base alle minacce, è un processo complesso. Senza una consistente strategia di valutazione, è difficile prendere le dovute decisioni e prevedere l’allocazione futura delle risorse e degli investimenti destinati alla sicurezza. Una volta trovate le metriche giuste, il passo successivo è cercare gli strumenti necessari per misurare tali metriche e costruire la narrativa corretta al fine di trasmettere in modo efficiente i risultati ai responsabili delle decisioni. Prendere giuste decisioni richiede considerazioni ponderate, esaminandone sia i potenziali benefici che le implicazioni negative e trovando un equilibrio tra di loro. L’analista deve raccogliere informazioni e dati attraverso diversi metodi, quindi combinare tutti i pezzi per essere in grado di creare un piano completo della gestione della sicurezza valutandone inoltre la conformità con le pratiche consuetudinarie e le leggi applicabili. Più l’analisi risulta dettagliata e specifica, maggiore è la chiarezza che abbiamo nell’affrontare i rischi.
Oggigiorno la gestione del rischio (risk management) è diventata una vera e propria disciplina, che mira a comprendere come prevenire possibili eventi dannosi, cosa fare in certi casi e come mitigare le potenziali conseguenze, nell’ottica di preservare la business continuity - la continuità operativa delle attività aziendali. L’evoluzione delle best practice, ha portato allo sviluppo di norme e standard specifici basati sulle ricerche condotte e le esperienze accumulate nel tempo. L’Organizzazione internazionale per la standardizzazione (ISO) ha codificato la 31000 come una famiglia di standard relativi alla gestione del rischio, che cerca di fornire un paradigma universalmente riconosciuto per i professionisti e le aziende che si avvalgono dei processi di gestione del rischio.
5. Il ruolo degli indicatori di rischio chiave
Un indicatore di rischio chiave (KRI) è un parametro utilizzato per misurare che la probabilità che un evento accada e le sue conseguenze superino la soglia di rischio stabilita e influenzino profondamente gli asset. Questi indicatori aiutano a misurare, monitorare e controllare gli strumenti, le strategie implementate e le eventuali debolezze. Un buon indicatore deve essere:
Misurabile: quantificabile in numeri o percentuali,
Prevedibile: deve anticipare i segnali di rischio,
Comparabile: seguire una scala di confronto,
Informativo: fornire una visione accurata dello stato del rischio.
Il suo ruolo principale è quello di facilitare l’identificazione dei rischi, delle minacce e delle vulnerabilità in base alla probabilità che si verifichino, all’impatto operativo e finanziario e alla capacità di mitigare tali eventi. Rendono possibile la classificazione in termini di criticità e potenziali danni; in questo modo, si identificano i rischi di maggior preoccupazione e quando e come questi diventano una grave minaccia.
I KRI sono quindi dei campanelli d’allarme che assicurano che i rischi vengano preventivamente individuati e mitigati. Devono essere regolarmente monitorati e riesaminati per far sì che ogni possibile cambiamento o modifica del livello di rischio o minaccia venga tenuto sotto controllo e vengano applicate di conseguenza le necessarie azioni correttive.
Le principali sfide associate allo sviluppo dei KRI derivano soprattutto dalla difficoltà di ottenere informazioni accurate che devono poi essere utilizzate per individuare le attività critiche. Inoltre, una volta identificati i rischi, le minacce e le vulnerabilità, è necessario quantificarli in base alla probabilità, gravità e impatto. L’evento critico deve essere realisticamente collegato agli scenari di rischio più probabili. Infine, è essenziale creare metriche misurabili e comprensibili per stabilire le azioni di risposta nel caso in cui si verificassero deviazioni dei parametri KRI.
6. Valutazione del rischio
Una volta identificate le minacce, deve essere trovato un modo per valutarne l’impatto e la probabilità che esse vengano messe in atto. Queste ulteriori valutazioni determineranno il livello di rischio complessivo. Attualmente sono diverse le tecniche utilizzate per condurre una valutazione del rischio, però solo alcune sono open source e di accesso gratuito.
La valutazione del rischio è un processo sistematico finalizzato alla stima di un potenziale rischio e alla ricerca delle azioni di prevenzione, mitigazione ed eventuale ripristino attraverso l’applicazione di normative e misure integrative ad hoc. Esso raccoglie le informazioni essenziali, mostra i punti deboli, fornisce gli strumenti per valutare le conseguenze di potenziali incidenti e aiuta a migliorarne le pratiche preventive di sicurezza. Si compone principalmente delle seguenti fasi:
Identificazione del rischio: durante la determinazione dei rischi che potrebbero maggiormente minacciare un asset o una società, una matrice di rischio, detta anche matrice di probabilità o impatto, può aiutare a valutare il livello di ciascun rischio e facilitarne la classificazione attraverso una stima della probabilità che una minaccia si verificherà e il potenziale impatto che avrà sulle risorse. La gravità del danno (o impatto), collocato nell’asse orizzontale della matrice, ha cinque livelli di categorizzazione: da insignificante a grave. L’asse verticale analizza la probabilità (o eventualità) che il danno si verifichi, la quale è anch’essa classificata su una scala a cinque punti che va da raro a quasi certo.
La criticità della minaccia, la rilevanza degli asset a rischio, la probabilità di accadimento e le vulnerabilità devono essere considerate in quanto influenzano la probabilità che una minaccia si verifichi. Inoltre, è importante considerare anche ulteriori fattori quali l’ubicazione di una risorsa e i fatti storici. Tre sono le principali categorie che possono essere interessate da una minaccia: le persone, i luoghi e le risorse.
Analisi del rischio: Mira a studiare le contromisure esistenti e necessarie e a ricercare le eventuali opportunità di miglioramento. Se prendiamo come esempio un terminal aeroportuale, una potenziale minaccia può variare da disastri naturali ad attacchi della criminalità organizzata, o semplicemente incidenti (ad esempio, un guasto informatico che causa l’arresto dell’intero sistema di comunicazione). Ognuna di queste minacce richiederà risposte diverse. Nel caso di un grande aeroporto di una città metropolitana senza aeroporti vicini, un’ipotetica sospensione dei servizi creerebbe disagi significativi. Al contrario, la medesima azione su un piccolo aeroporto avrebbe un effetto ridotto. Considerando il fattore attrattività, quest’ultimo è sicuramente un target meno attrattivo.
Valutazione del rischio: Una volta valutati i rischi in base alla probabilità e all’impatto, e verificata l’adeguatezza delle misure in essere e il loro effetto desiderato, si ottiene il rischio residuo, ovvero i livelli di rischio rimanenti dopo aver considerato l’efficacia delle misure di mitigazione. Definire la propensione al rischio e confrontarla con il rischio residuo aiuta a determinare se il rischio è accettabile o richiede azioni aggiuntive. Non appena le potenziali minacce sono state identificate, l’impatto valutato e le misure sviluppate, è il momento di valutare la risposta. Ciò significa esaminare tutte le contromisure implementate che mitigherebbero le minacce.
Comunicazione del rischio: A questo punto, una volta effettuate le opportune valutazioni, i risultati vengono condivisi con gli stakeholders di riferimento: valutatori del rischio, gestori del rischio, imprese ad hoc e comunità scientifica. Consultando tutte le parti interessate, si esaminano potenziali interventi alternativi. La comunicazione del rischio è la base delle decisioni sulla gestione del rischio e comporta uno scambio interattivo di punti di vista, percezioni, dati e informazioni riguardanti elementi di pericolo, fattori di rischio e spiegazioni dei risultati della valutazione. La creazione di un report completo contribuirà a trasmettere le informazioni relative al rischio, semplificare i processi decisionali e migliorare l’intero approccio alla gestione del rischio.
7. Bias cognitivi
Durante la misurazione del rischio, diversi pregiudizi possono causare una scarsa stima della probabilità che qualcosa accada, o la sopravvalutazione dei rischi, che non permettono di considerare le conseguenze adeguate. I bias cognitivi sono errori sistematici nel pensiero che hanno un impatto sulle decisioni che le persone prendono. Questi pregiudizi derivano da esperienze, attitudini e percezioni e sono spesso influenzati da altri fattori, come le paure. Diversi pregiudizi emergono in ogni fase del processo di valutazione del rischio e potrebbero portare a risultati inaffidabili incidendo direttamente sul processo decisionale. Per questo motivo, è fondamentale utilizzare le tecniche e le strategie adeguate utili a mitigare o eliminare i pregiudizi. Tuttavia, è quasi impossibile eliminarli completamente.
Il superamento di questi impulsi richiede la realizzazione di un quadro efficace che possa essere costantemente migliorato nel tempo. Per mitigare i bias è innanzitutto essenziale riconoscere che questi esistono e quindi implementare strategie per neutralizzarli. Per garantire un’analisi dei rischi più obiettiva e migliorare i processi decisionali dovrebbero essere prese in considerazione alcune best practices, per assicurare che le prospettive siano più equilibrate e le idee differenziate. Un valore aggiunto è dato dal coinvolgimento di prospettive interne ed esterne (ad esempio, consulenti, esperti e analisti), poiché avere opinioni diverse da gruppi diversi può migliorare l’identificazione degli obiettivi e dei pregiudizi.
8. Conclusioni
Valutando le minacce e i rischi è possibile rilevare le esposizioni, individuare i potenziali punti deboli della sicurezza e ricercare le azioni più appropriate a ridurre l’impatto di eventi minacciosi. Il risultato di queste valutazioni è fornire raccomandazioni che affrontino adeguatamente gli standard di sicurezza, la protezione della riservatezza, l’integrità e la disponibilità, pur garantendo l’efficienza e l’utilizzo delle risorse coinvolte.
Ciò può essere realizzato utilizzando risorse interne o esterne. La scelta dipenderà dalla situazione e soprattutto dall’urgenza delle azioni da intraprendere. È fondamentale che questi processi siano di natura collaborativa, poiché senza il coinvolgimento dei vari livelli e delle parti interessate, le valutazioni potrebbero portare a misure di sicurezza costose ed inefficaci. La valutazione della minaccia e del rischio non sono strumenti fini a se stessi. Sono parte di un processo continuo che dovrebbe essere rivisto regolarmente per garantire che i meccanismi di protezione attualmente in atto continuino a soddisfare gli obiettivi preposti.
(scarica l'analisi)
Bibliografia
Botha, A. (2021). Chapter 28: Prevention of Terrorist Attacks on Critical Infrastructure. In the Handbook of Terrorism Prevention and Preparedness.
Cybersecurity and Infrastructure Security Agency (CISA). (2019). A Guide to Critical Infrastructure Security and Resilience.
Simons, A., & Meloy, J. R. (2017). Foundations of threat assessment and management. In The Handbook of Behavioral Criminology, 627-644.
Serin, R.C., Lowenkamp, C.T., Johnson, J.L., & Trevino, P. (2016). Using a multi-level risk assessment to inform case planning and risk management: Implications for officers. Federal Probation, 80, 10.