Business

Rischio e pericolo sono la stessa cosa?

02 Settembre 2014

Spesso diciamo frasi del tipo: "Attento, è pericoloso!", oppure: "Attento, è rischioso!".

Utilizziamo quindi i termini "pericolo" e "rischio" nella stessa accezione.
In ambito professionale però (per qualsiasi professione, ma sicuramente in ambito informatico) rischio e pericolo sono due cose ben distinte.

Occorre avere ben presenti i concetti di rischio, pericolo e danno. 


Contrariamente a quanto si crede, per gli esseri umani la percezione del rischio dipende scarsamente da fattori razionali, come l’uso della probabilità e della logica, e fortemente dalle emozioni.
Se un evento ci fa particolarmente paura, si colloca automaticamente nei primi posti della nostra classifica mentale dei rischi, a prescindere dalla reale probabilità che possa capitare.
Pensiamo per esempio come si tende a sovrastimare il numero di morti in incidenti aerei o ferroviari, statisticamente inferiori a quelli per incidenti stradali.
Iniziamo con il dare delle definizioni oggettive
 
Cos' è il pericolo
 
Il pericolo è una proprietà intrinseca o una qualità di un determinato fattore che potenzialmente può causare danni.
Un pericolo per esempio può essere la presenza di cavi di corrente scoperti o la presenza di un carico sospeso.

Cos'è il danno
 
Il danno è la possibile conseguenza della presenza di un pericolo.
Ad esempio, la presenza prolungata in un data center a basse temperature in maglietta può provocare un raffreddore.
O un’apparecchiatura particolarmente rumorosa può portare danni all’udito.

Cos'è il rischio

Nel testo unico per la sicurezza su lavoro si legge che per rischio s'intende "La probabilità del raggiungimento del livello potenziale di danno nelle condizioni di impiego o di esposizione a un determinato fattore o agente oppure alla loro combinazione" (Art. 2, D.L. 81/2008).
Esemplificando la definizione possiamo dire che il rischio è dato dalla combinazione di due termini: la probabilità che un certo evento si verifichi e il danno che ne può derivare.
Per calcolare il rischio bisogna conoscere o saper valutare la probabilità che si presenti una determinata situazione, ma è anche necessario conoscere l’entità del danno.
Volendo dare una formula, diciamo che
 
rischio = probabilità x danno
Facciamo tre esempi.
 
Parto con un esempio non informatico perché è più pratico e riguarda la vita quotidiana di ognuno di noi.
  1. Il taglio dei pomodori
Se nostro figlio ci dà una mano in cucina e ci aiuta a tagliare i pomodori, molto probabilmente gli diremo: "Attento a non tagliarti!".
Analizziamo la situazione.
Il pericolo è rappresentato dal coltello, che può produrre un danno (il taglio).
Il danno è la conseguenza del taglio, che generalmente sarà lieve perché basterebbe un cerotto per risolvere la situazione.
Il rischio è dato dal prodotto della probabilità che il figlio si tagli (statisticamente elevata) per l’entità del danno (lieve perché in genere ce la caviamo col cerotto).
Anche se la probabilità dell’evento è alta, il rischio è basso.
Arriviamo ora agli esempi informatici.
  1. Rottura di un disco
Supponiamo di allestire un server.
Il capo progetto dirà sicuramente: "Attenzione a mettere i dischi ridondati in alta affidabilità, perché se ne rompiamo uno…".
Analizziamo la situazione.
Il pericolo è rappresentato dal disco che essendo meccanico si può rompere.
Il danno è lieve nel senso che in un sistema RAID (tipico di un server) basta cambiare il disco, senza perdite di dati.
Il rischio è dato dal prodotto della probabilità che si rompa un disco (statisticamente elevata) per l’entità del danno (lieve se abbiamo configurato il server con un sistema di dischi RAID).
Anche se la probabilità dell’evento è alta, il rischio è basso.
  1. Rottura di un intero sistema di storage
Supponiamo di allestire un piccolo data center.
Il capo progetto dirà sicuramente: "Compriamo due server, e in mezzo ci mettiamo uno storage condiviso che funziona in RAID, così siamo tranquilli se si rompe un disco".
Analizziamo la situazione.
Il pericolo è rappresentato dallo storage stesso che si rompe totalmente (e porterà alla perdita totale dei dati contenuti).
Il danno è drammatico, nel senso che se c’è una perdita totale dei dati… Inutile che stia a spiegare il problema.
Il rischio è dato dal prodotto della probabilità che si rompa l’intero storage (statisticamente bassa) per l’entità del danno (drammatico se tutti i nostri dati si trovano lì sopra).
Anche se la probabilità dell’evento è bassa, il rischio è alto!

Conclusione
  • La probabilità di un incidente (da sola) non basta a definire il rischio;
  • l’entità del danno (da sola) non basta a definire il rischio;
  • il rischio è dato dalla combinazione di entrambi i fattori.
L’analisi dei rischi ha come obiettivo eliminarli, se possibile, oppure ridurli.
La prossima volta che devi progettare un sistema informatico, sia esso semplice o complesso, pensa anche a una seria analisi dei rischi, coinvolgendo superiori, colleghi e clienti!
Ah, se proprio lo vuoi sapere, io ho fatto tutti e tre gli errori esposti nei tre esempi precedenti, proprio perché non ho fatto un’adeguata analisi dei rischi 😉
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)

E la differenza tra il danno e la gravità ? (non la forza che respinge i pianeti o ci attrae verso il centro della Terra.)
Sono la stessa cosa nell’ambito della sicurezza ?

Ronald De Canard,

Non sono un accademico per pontificare, pero’ il danno è una cosa quantificabile: si rompe o fa fuori uso una cosa che costa un toto di denaro. La gravità è la conseguenza che quel danno ha. E la conseguenza puo’ essere ben piu’ costosa del danno materiale.
Io la vedo così.

Claudio Panerai,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.