Uno dei compiti di un manager di un’azienda è quello di pianificare strategie di mitigazione dei rischi di sicurezza. Non è facile stilare un Risk Management Plan ed è per questo che esistono consulenti di risk evalutation & risk management, tuttavia, ecco di seguito 10 punti chiave e best practices che qualsiasi organizzazione può adattare alle proprie esigenze.
1) Identifica i tuoi asset
Una buona strategia di mitigazione del rischio sicurezza richiede di mappare tutte le risorse chiave per un business: identificare ogni asset (fisico e informatico) e qual è il team che beneficia di queste risorse.
L’assenza di un asset avrebbe un impatto significativo sull’azienda? Quali danni finanziari, problemi operativi o danni reputazionali ci sarebbero? Una volta che viene definito l’elenco completo delle risorse, va assegnata loro la priorità in base al loro valore complessivo per l’organizzazione.
2) Identifica le minacce
Ora identifica le minacce che potrebbero creare problemi ai tuoi asset. Ad esempio, hai costosi dispositivi elettronici portatili, materie prime o semilavorati che potrebbero essere oggetto di furto?
La tua struttura si trova in una zona alluvionale? Uno dei vostri reparti vede un turnover elevato con molti dipendenti scontenti?
Non concentriamoci solo sul rischio intrusioni, ma allarghiamo l’analisi a ogni tipo di rischio per il business.
Proprio come hai dato la priorità a diversi valori delle risorse, devi anche dare la priorità alla gravità delle diverse minacce.
Innanzitutto, considera la gravità di una minaccia e la probabilità che si verifichi. Se una minaccia si verificasse incontrollata, quali sarebbero le conseguenze per l’azienda a breve e lungo termine?
3) Identifica le vulnerabilità
Una vulnerabilità è una debolezza nelle misure di sicurezza o nelle procedure operative che consente a una minaccia di influenzare una risorsa. Esegui l’inventario delle vulnerabilità e registra quali abilitano quali minacce.
Esistono piani di evacuazione? I sistemi di sicurezza e i rilevatori di fumo vengono controllati regolarmente?
4) Sviluppa profili di rischio
Un “rischio” è la probabilità che una minaccia sfrutti una vulnerabilità con conseguente impatto sul business. La profilazione del rischio significa valutare ogni rischio che hai identificato e assegnare la priorità in base al loro impatto, compreso l’impatto complessivo che la minaccia avrebbe sull’azienda e la probabilità che si verifichi.
5) Determina i trattamenti di rischio
Determina come un’azienda vuole affrontare ciascuno dei rischi profilati.
Per alcuni rischi, i costi di prevenzione e gestione potrebbero superare il costo delle minacce. In altri casi, ad esempio per intrusioni in una sede direzionale, per incendi in siti produttivi o per il furto dei dati, i danni strutturali o reputazionali potrebbero essere devastanti e sarà necessario sviluppare un piano di mitigazione completo.
6) Crea un Response Plan per gli incidenti
È necessario documentare i trattamenti di rischio, ma non confondere i trattamenti di rischio con un piano a tutti gli effetti. Il passaggio successivo consiste nel creare un piano di risposta agli incidenti che potrebbero verificarsi.
Il piano di risposta dovrebbe includere tutti i dettagli documentati finora, inclusi asset, minacce, vulnerabilità e profili di rischio combinati. Successivamente, è necessario definire i ruoli e le responsabilità chiave che le diverse persone hanno quando una minaccia ha un impatto sull’azienda.
Una volta definiti i ruoli, dettagliare le procedure da seguire.
7) Forma il personale
Un piano di prevenzione o risposta è inutile se il personale non sa come eseguirlo. Pianificare sessioni di formazione. Ciò aiuterà a costruire una cultura della sicurezza all’interno di un’organizzazione.
In caso di emergenza, le persone devono ovviamente sapere cosa fare. Ma anche tutti gli altri devono conoscere i processi.
8) Monitora le minacce in tempo reale
È più facile mitigare i rischi quando puoi vederli arrivare. Configurare processi e sistemi di monitoraggio che ti avvisano quando stai correndo a livelli di rischio elevati o quando viene esposta una vulnerabilità.
Non potendo sostenere i costi per un monitoraggio effettuato da personale interno, moltissime imprese si affidano a società di sicurezza con Security Operation Center attivo H24, 7 giorni su 7, con operatori pronti ad allertare referenti, forze dell’ordine e mezzi di soccorso in caso di allarme.
Un esempio? I rilevatori di fumo sono un esempio molto comune e ovvio di un sistema di allarme, che va collegato a una centrale operativa.
Oppure, se uno dei rischi interni che stai monitorando è la perdita di dati essenziali, potresti prendere in considerazione un sistema di backup in grado di recuperare dati attualmente non più disponibili.
9) Imposta una difesa “in profondità”
Un solo livello di monitoraggio o sicurezza spesso non è sufficiente. È necessario mitigare il rischio che una qualsiasi vulnerabilità causi un problema sovrapponendo diverse strategie di sicurezza, monitoraggio e mitigazione per rilevare diversi problemi. Questa si chiama difesa in profondità.
Un esempio? Il backup di dati non basta, è necessario una soluzione di cyber security che prevenga il rischio di attacchi ransomware che blocchino un’intera rete aziendale per giorni.
10) Usa i deterrenti
Uno dei modi migliori per mitigare i rischi interni è con i deterrenti. Impedisci alle minacce di sfruttare le vulnerabilità. Ad esempio, utilizzare le telecamere di sorveglianza e segnalarne la presenza per scoraggiare atti di vandalismo. Oppure utilizzare controlli di accesso ben visibili per impedire l’accesso non autorizzato.
Ti è piaciuto questo articolo? Contatta Noi Sicurezza per sviluppare piani di mitigazione del rischio adatti alla tua azienda: