Nell’articolo precedente sono stati presentati alcuni effetti che la rapidissima evoluzione digitale ha avuto sulla nostra società ed alcune fragilità che questo ha introdotto, come per esempio la dipendenza della produzione di strumenti elettronici da catene di fornitura (supply chain) distribuite fra paesi e continenti.
In questo articolo parleremo di analisi del rischio, applicata in particolare proprio al mondo digitale. E per questo iniziamo dalla definizione di base: cosa è il rischio?
Cosa è il rischio
Il rischio è un concetto talmente importante nei sistemi di gestione da avere una normativa ISO ad esso specificatamente dedicata: la normativa ISO/IEC 31000 e le norme derivate.
In tale normativa il rischio viene definito come l’effetto dell’incertezza sugli obiettivi, che si manifesta attraverso eventi. Gli obiettivi possono essere quelli di un progetto, di un processo aziendale, o anche obiettivi sportivi, personali.
Un effetto è uno scostamento dall’obiettivo atteso dovuto al verificarsi dell’evento, scostamento che può essere positivo o negativo, ovvero produrre conseguenze positive o negative. L’incertezza è lo stato, totale o parziale, di carenza di informazioni relative alla
- comprensione di un evento o conoscenza di un evento (quindi non si comprende o non si conosce l’interezza dell’evento),
- delle conseguenze di un evento, (ovvero, non sono completamente note le conseguenze di un evento),
- della probabilità del verificarsi di un evento (ovvero, non è nota la probabilità che tale evento abbia luogo).
Il concetto di rischio è, di per sé, neutro, ovvero le conseguenze del verificarsi dell’evento possono essere sia positive, sia negative.
Ad esempio, in ambito di sport automobilistici, il verificarsi dell’evento “pioggia” durante un gran premio può cambiare i rapporti di forza fra i concorrenti e portare alla vittoria insperata un pilota. Questo significa quindi effetto positivo per quel pilota e la sua scuderia, ed effetto negativo per quei piloti che, per capacità proprie e della propria vettura, sono superiori e quindi sarebbero stati vincitori senza l’evento.
L’analisi del rischio però normalmente viene svolta per prevenire ed evitare eventi il cui effetto sia negativo, ovvero gli eventi negativi. A questo proposito definiamo alcuni concetti:
- Impatto: danno potenziale derivante dall’accadimento di un evento negativo.
- Minaccia: la possibilità di verificarsi di un evento negativo che fa leva su una vulnerabilità.
- Vulnerabilità: debolezza di una risorsa (asset) o di un gruppo di asset che può essere sfruttato da una o più minacce.
- Evento (rischioso): momento in cui una o più minacce si concretizzano, arrecando l’impatto.
L’analisi del rischio, o Risk Assessment, è l’insieme di attività che, attraverso osservazione e rilevamento, quantificazione e ponderazione, devono portare ad una valutazione quantitativa del rischio presente in una determinata situazione. È la prima parte della gestione del rischio o Risk Management che si compone anche di una parte di decisione e di una di attuazione delle contromisure tese a ridurre il rischio (trattamento del rischio o Risk Treatment).
Questi concetti di rischio sono poi alla base di molte altre normative ISO o nazionali, in particolare quelle relative ai sistemi di gestione, fra cui ricordiamo:
- ISO/IEC 9001, sistemi di gestione della qualità
- ISO/IEC 27001, sistemi di gestione della sicurezza delle informazioni
- ISO/IEC 14001, sistemi di gestione ambientale
- ISO/IEC 45001, sistemi di gestione della salute e sicurezza sul lavoro.
E le attività industriali richiedono (purtroppo, talvolta, siamo costretti a dire richiederebbero) una adeguata analisi del rischio ed un suo trattamento.
Ma il rischio è presente nella vita di tutti i giorni. Quando intraprendiamo un viaggio lungo certe strade (solo a titolo di esempio, le tangenziali di Milano o di Bologna…) il rischio di trovare un ingorgo, almeno in certe ore, è molto alto, con l’effetto negativo di arrivare in ritardo alla nostra destinazione.
Risk Management e decisioni
Cosa significa allora applicare nelle decisioni un approccio orientato al Risk Management? Significa, quando si devono intraprendere decisioni importanti, fare una valutazione ad ampio spettro dei rischi ad esse associati, delle possibili conseguenze e delle azioni che si possono fare per ridurre il rischio stesso. E, in taluni casi, rinunciare alle decisioni iniziali, oppure cambiare il percorso inizialmente scelto, perché il rischio associato è troppo alto.
[bctt tweet=”Cosa significa applicare nelle decisioni un approccio orientato al Risk Management? Significa fare una valutazione ad ampio spettro dei rischi ad esse associati, delle possibili conseguenze e delle azioni per ridurre il rischio stesso.” username=”MapsGroup”]
Tante volte, in disastri recenti e non, l’analisi ha posteriori ha portato a stabilire che fra le cause di origine umana era presente una grossa componente di sottovalutazione o, addirittura, di totale non conoscenza del rischio. Quindi è opportuno inserire la consapevolezza del rischio presente nel contesto quando si prende una decisione, che magari porta ad intraprendere una iniziativa, più o meno ampia, per condurre ad un obiettivo o una serie di obiettivi.
Come il Digitale facilita il Risk Management
L’analisi della realtà resa possibile dai sistemi di Business Intelligence prima e poi dai Big Data [1][2], ha portato ad una nuova consapevolezza anche nell’ambito del rischio. L’analisi con strumenti digitali, trasformando enormi moli di dati in informazioni ci aiuta ad ottenere una conoscenza della situazione, riducendo l’incertezza, sia relativa agli effetti, sia relativa alle probabilità del verificarsi di determinati eventi.
Pensiamo anche all’analisi degli impatti climatici, che ci sta portando ad una sempre migliore comprensione e conoscenza dei complessi meccanismi con cui “funziona” il nostro pianeta ed i suoi ecosistemi, resa possibile dai nuovi strumenti digitali.
Ora, prima di pensare a progetti che stravolgono il territorio come una diga, si possono valutare attraverso accurate simulazioni, gli impatti diretti e indiretti e stabilire se sono accettabili e, in caso contrario come ridurli. Ovviamente, a livello decisionale, ci deve essere anche la volontà di applicare gli strumenti e di trarre spunto dai risultati.
In molti contesti, specialmente organizzativi, l’analisi della realtà compiuta sui dati ottenuti attraverso le osservazioni, può portare a modelli utili in tempi brevi prima di una teoria, come dimostrano le applicazioni di metodologie Agili per lo sviluppo di progetti, che in molti contesti ottengono prestazioni superiori rispetto all’approccio progettuale “predittivo puro” (ad esempio, il waterfall o cascata) più tradizionale. Questo è l’approccio empirico o Empirismo: dalla realtà e dall’osservazione si traggono le regole per le decisioni.
[bctt tweet=”L’analisi della realtà compiuta sui dati ottenuti attraverso le osservazioni può portare a modelli utili in tempi brevi prima di una teoria rispetto all’approccio progettuale “predittivo puro”. Questo è l’approccio empirico o Empirismo.” username=”MapsGroup”]
Il Rischio da Digitale
Ma, come visto nell’articolo precedente ed in altri, il digitale stesso, accanto alle straordinarie nuove funzionalità che ha introdotto nella nostra vita, ha creato anche nuovi rischi. Rischi che possiamo dividere in essenzialmente due categorie:
- Rischi di uso improprio o illegale dei sistemi, ovvero tutto quanto riguarda il mondo del crimine informatico; solo a titolo di esempio, consideriamo l’intrusione entro giocattoli digitali di nuova generazione (i cosiddetti “smart toys”), resa possibile dal fatto che sono connessi in rete e che spesso il loro software non è adeguatamente testato rispetto a potenziali atti di pirateria informatica;
- Rischi di interruzione del servizio dei sistemi, da cui spesso ormai dipendiamo, in seguito a guasti o eventi accidentali; ad esempio, pensiamo al GPS, il sistema di posizionamento globale usato in tantissimi oggetti digitali come gli smartphone, e sui cui sono basati servizi come il navigatore stradale, i box delle assicurazioni, il tracking dei pacchi affidati a corrieri ecc… Cosa accadrebbe in caso di suo blocco totale?
Ancora una volta la soluzione deve essere basata sul Risk Management:
- da parte delle autorità deve esserci consapevolezza dei rischi e della necessità di interventi per ridurli; iniziative legislative come la Direttiva Europea NIS vanno in questo senso;
- da parte di noi utenti deve esserci la consapevolezza che questi strumenti, utilissimi per la nostra vita:
- portano a rischi per la nostra sicurezza legati al crimine informatico ed ai pericoli che esso genera;
- non vanno dati per scontati, ossia possono bloccarsi, come dimostrato dal blocco dei servizi Facebook (quindi anche Messenger, Instagram, Whatsapp…) avvenuto il 4 ottobre 2021 e quindi non dobbiamo contare solo su di essi per situazioni importanti per la nostra vita.
Una lezione per la nostra vita
Accanto all’uso del digitale è utile introdurre nella nostra vita la consapevolezza del rischio quando prendiamo decisioni, ad esempio quando decidiamo (magari “senza pensarci troppo”) di andare molto oltre i limiti di velocità in autostrada… e tenendo quindi presenti le potenziali conseguenze.
In generale, pensare anche in termini di rischio prendendo le decisioni dovrebbe essere parte di un processo di valutazione “olistica”, comprendente le motivazioni razionali e quelle emotive, come spiegato in questo articolo.
Questo articolo conclude la serie 2021. Arrivederci al prossimo anno.
Bibliografia
[1] Ken Auletta – Effetto Google. La fine del mondo come lo conosciamo – Ed. Garzanti, 2013
[2] Viktor Mayer-Schönberger, Kenneth Cukier – Big Data – Ed. Garzanti, 2013
CREDITS IMMAGINI
Immagine di copertina (rielaborata):
ID Immagine: 88406615. Diritto d'autore: alexandersikov
Photo by Mathew Schwartz on Unsplash
