Nel panorama dei rischi informatici è corretto fare delle opportune distinzioni perchè la classificazione e gestione del rischio è uno dei temi più interessanti da approfondire. Tra le varie classificazioni del rischio vi è anche quella del rischio ambientale che andrebbe disaminata perché ci riguarda da vicino.
Che cosa è il rischio ambientale
Il rischio ambientale è una tipologia di rischio derivante dall’ambiente circostante e dagli eventi che lo caratterizzano e appartiene ai rischi di natura accidentale. Spesso questa tipologia di rischio viene trascurata durante le ispezioni da parte di consulenti, tecnici, esperti, ma i danni derivati dai fenomeni ambientali possono essere a dir poco preoccupanti se non, addirittura, devastanti.
Le tipologie di rischio ambientale
La ISO27005 presenta il rischio ambientale descrivendo cinque possibili scenari legati agli eventi naturali:
- Fenomeni climatici.
- Fenomeni sismici.
- Fenomeni vulcanici.
- Fenomeni meteorologici.
- Inondazioni/allagamenti.
In questi cinque fenomeni è possibile notare anche una concatenazione: un fenomeno sismico nel mare può causare un’inondazione (tsunami). Un forte evento meteorologico, può dare origine ad inondazioni e allagamenti. Un fenomeno vulcanico può avere conseguenze sismiche. Tali fenomeni non devono essere visti “singolarmente” ma anche come “causa-effetto” in un quadro fenomenico più complesso. Benchè si tratti di rischi accidentali, la capacità d’individuazione deve essere messa in atto per non peccare di negligenza: costruire un datacenter su una zona a forte rischio di terremoto non è probabilmente l’idea migliore, così come quella di costruirlo in prossimità di un fiume che abitualmente è soggetto ad esondazioni.
L’Italia e l’analisi ambientale
Maggio 2023, dalle prime ore del mattino a Ravenna è un viavai di mezzi speciali. Nella zona di Bassette sembra debba accadere qualcosa da un momento all’altro. In realtà qualcosa è già accaduta: a causa del mal tempo, poche ore prima, un elicottero è caduto sotto il forte mal tempo. Ma a Bassette c’è qualcosa che va assolutamente protetto dall’acqua: il datacenter di Lepida. I tecnici si sbrigano a più non posso per installare una barriera anti-allagamento.
E mentre il 16% del territorio viene evacuato per fare in modo che resista all’estrema furia naturale, alcuni mezzi vanno proprio nell’epicentro della crisi per stendere l’enorme gonfiabile ed impedire che l’acqua acceda nel centro elaborazione dati. L’operazione riuscirà ma in quelle ore molti tecnici hanno seguito con interesse e apprensione una procedura di gestione del rischio naturale che, indubbiamente, non poteva essere ignorata.
Negli ultimi venti anni abbiamo imparato a conoscere molto meglio il nostro Paese e abbiamo capito che la sua dorsale appenninica e le sue zone sismiche, possono rivelarsi oltremodo pericolose e preoccupanti. Tuttavia, ultimamente, si stanno sommando a problemi noti anche quelli meno noti: le precipitazioni molto intense che si sono abbattute sull’Emilia Romagna durante il 2023, unitamente alle esondazioni dei fiumi in città come Genova, lasciano intendere che il rischio ambientale ha assunto da tempo, e assumerà sempre più, un elemento di riflessione importante. È quindi impossibile prescindere dall’analisi ambientale durante una valutazione di rischi ICT, soprattutto quando ci si trova in zone che sono perturbate da eventi naturali con regolarità stagionale.
Se considerassimo l’Italia come una nazione divisa in blocchi, dove ogni blocco è l’evento naturale più frequente, sarebbe possibile tracciare una mappa ben poco allegra ma molto utile. Si sta imparando che ormai, ad ogni cambio di stagione, si verificano fenomeni naturali molto intensi, per lo più legati ad aspetti meteorologici, che innalzano il livello di guardia e dovrebbero essere anticipati da azioni di cura del territorio. In questo articolo non si entrerà nel merito della politica e del ruolo e delle responsabilità degli amministratori locali ma è indubbio che molti eventi disastrosi sarebbero potuti essere mitigati con una prevenzione seria e responsabile fatta sul territorio. Affrontare il rischio ambientale è possibile grazie, soprattutto, ad un processo chiamato delocalizzazione del dato. Lo spostamento dei dati in infrastrutture che si trovano in altra area geografica, meno impattata da eventi naturali avversi e con una condizione più stabile è quindi raccomandabile. Tuttavia lo spostamento di questi dati accende molte “spie di allarme”: in primo luogo la conformità del datacenter di destinazione al rispetto di normative come il GDPR, in secondo luogo l’adeguato rispetto di livelli di servizio e dei criteri di base dei file (confidenzialità, integrità, accessibilità) da parte del gestore.
Le aziende multi-nazionali possono creare un cloud privato in cui distribuire e delocalizzare i dati ma le aziende che non hanno filiali come possono gestire la situazione? Il cloud ci viene in soccorso, ma è bene ricordare che il provider a cui vengono affidate le informazioni deve essere serio e deve farne un’utilizzo responsabile. Gli eventi naturali, ad oggi, rappresentano il caso studio più grave che può accadere ad una realtà organizzativa. La necessità di proteggere i propri dati da eventi naturali richiede uno studio degli stessi che dovrebbe portare alla creazione d’infrastrutture e soluzioni alternative. Non a caso, gli eventi atmosferici, ormai con cadenza semestrale, segnano una delle capacità più rilevanti di gestione del rischio richieste a molti esperti del settore.
