2. 23/04/2013
2
I punti:
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
da ieri a oggi...perchè oggi parliamo di sicurezza
sicurezza reale e sicurezza percepita
minacce, vulnerabilità, impatto, fattore umanominacce, vulnerabilità, impatto, fattore umano
valutazione dei rischi
contromisure fisiche, tecniche, procedurali
... e i comportamenti ?
qualche buona ragione per operare in sicurezza
3. 23/04/2013
3
da ieri a oggi...perchè oggi parliamo di sicurezza
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
qualcosa è cambiato negli ultimi 3 anni ….
grazie anche alla diffusione dei tablet, internet è esploso
il cloud computing è usato da tutti ….. magari a loro insaputail cloud computing è usato da tutti ….. magari a loro insaputa
le transazioni sono aumentate a dismisura
i social network sono affollatissimi
il tempo che si trascorre in rete è cresciuto enormemente
4. 23/04/2013
4
sicurezza reale e sicurezza percepita
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
la sicurezza assoluta non esiste
livellodisicurezza
tempo
livellodisicurezza
sicurezza accettabile
sicurezza percepita
contromisura
sicurezza reale
5. 23/04/2013
5
Minacce, vulnerabilità, impatto, fattore umano
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
minaccia: possibile causa di evento indesiderato che può comportare
danni ad un sistema o a una organizzazione
vulnerabilità: debolezza insita in un bene, in un processo, in unvulnerabilità: debolezza insita in un bene, in un processo, in un
sistema, che può essere sfruttata per generare un evento
indesiderato
impatto: conseguenza economica (diretta o indiretta) o di altro tipo
derivante dal manifestarsi dell’evento indesiderato
7. 23/04/2013
7
valutazione dei rischi
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
rischio: combinazione della probabilità di un evento e della sua
conseguenza
la valutazione dei rischi è un processo formale e strutturato attraversola valutazione dei rischi è un processo formale e strutturato attraverso
il quale si identificano i rischi e si determina la loro “ampiezza”
ad ogni evento indesiderato vengono assegnati un “valore del danno”
G e un “indice di probabilità” P
l’indice di probabilità è una funzione della consistenza della minaccia
e della gravità della vulnerabilità
si determina “l’indice di rischio” IR = P x G
8. 23/04/2013
8
valutazione dei rischi
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
si definisce un valore di “indice di rischio residuo accettabile” (IRRA),
inteso come il livello di rischio oltre il quale l'adozione di ulteriori
contromisure o controlli comporta oneri eccessivi e non commisurati
alle capacità economichealle capacità economiche
La differenza tra “indice di rischio” (IR) e “indice di rischio residuo
accettabile” (IRRA), inteso come il livello di rischio oltre il quale
l'adozione di ulteriori contromisure o controlli comporta oneri eccessivi
e non commisurati alle capacità economiche, determina l’entità e
l’urgenza delle contromisure
10. 23/04/2013
10
contromisure fisiche, tecniche, procedurali
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
acquistare uno strumento o un software “conforta”
il costo è più facilmente valutabileil costo è più facilmente valutabile
i risultati sono evidenti e immediati
11. 23/04/2013
11
contromisure fisiche, tecniche, procedurali
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
aggirate dalle persone
fraintesefraintese
diventano i capri espiatori
ingenerano falsa sicurezza
13. 23/04/2013
13
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
disciplinari, policy, procedure, istruzioni, prescrizioni …..
….. leggende della tradizione orale
14. 23/04/2013
14
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
15. 23/04/2013
15
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
fonte: Kroll Ontrack 2013
16. 23/04/2013
16
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
le contromisure procedurali …. non modificano i comportamenti
le contromisure fisiche e tecniche …. riducono errori e violazioni
involontari, ma tendono ainvolontari, ma tendono a
perdere efficacia con il tempo
le contromisure fisiche e tecniche …. riducono per un brevissimo
tempo errori e violazioni
volontari
17. 23/04/2013
17
…... e i comportamenti ?
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
adottare idonee contromisure fare in modo che i lavoratori
possano assumere
comportamenti sicuri
AREAINTERVENTO
fare formazione fare in modo che i lavoratori
sappiano assumere
comportamenti sicuri
motivazione, leadership, premi fare in modo che i lavoratori
vogliano assumere
comportamenti sicuri
AREAINTERVENTOAREANONINTERVENTO
18. 23/04/2013
18
qualche buona ragione per operare in sicurezza
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
eventi indesiderati con conseguenze
eventi indesiderati con conseguenze
1
10
AREA DI INTERVENTO
eventi indesiderati con conseguenze
eventi indesiderati mancati
comportamenti pericolosi
10
100
?
AREA DI NON INTERVENTO
19. 23/04/2013
19
qualche buona ragione per operare in sicurezza
www.applicando.to.it www.luciano-corino.it www.comunicarelimpresa.com
prevenire la commissione di illeciti e di reati
individuare responsabilità
comminare provvedimenti disciplinari e sanzioni
ragioni
giuridiche
comminare provvedimenti disciplinari e sanzioni
giuridiche
prevenire e ridurre le inefficienze
ridurre gli errori, le violazioni, gli eventi indesiderati
prevenire i furti (dati, brevetti, identità …)
ragioni manageriali
ed economiche