Le informazioni sensibili di un’organizzazione sono sotto costante minaccia. L’identificazione di tali rischi per la sicurezza è fondamentale per proteggere tali informazioni. Ma alcuni rischi sono più grandi di altri e alcune opzioni di mitigazione sono più costose di altre. Quali scegliere?
Una valutazione del rischio aiuta a fornire le informazioni per fissare le priorità.
Ecco le principali strade per un risk assessment.
Risk assessment quantitativo
Attività e rischi ricevono valori in euro. La valutazione del rischio risultante può quindi essere presentata in termini finanziari, facilmente comprensibili per dirigenti e membri del consiglio di amministrazione. Le analisi costi-benefici consentono ai decisori di dare la priorità alle opzioni di mitigazione.
Tuttavia, una metodologia quantitativa potrebbe non essere appropriata. Alcuni asset o rischi non sono facilmente quantificabili.
Inoltre, molte organizzazioni non dispongono delle competenze interne richieste dalle valutazioni quantitative del rischio. Per questo è necessario rivolgersi a società specializzate in consulenza di sicurezza informatica e di protezione dei dati.
Risk assessment qualitativo
In questo caso, chi è conduce la valutazione del rischio incontra persone specifiche all’interno di un’azienda. I dipendenti condividono come o se svolgerebbero il proprio lavoro se un sistema andasse offline. I valutatori utilizzano questo input per classificare i rischi su scale approssimative come Alto, Medio o Basso.
Una valutazione qualitativa del rischio fornisce un quadro generale di come i rischi influenzano le operazioni di un’impresa.
Le persone all’interno dell’organizzazione hanno maggiori probabilità di comprendere le valutazioni qualitative del rischio. Il rovescio della medaglia è che questi approcci sono intrinsecamente soggettivi: chi effettua l’assessment deve sviluppare scenari facilmente spiegabili, domande e metodologie di intervista che evitino pregiudizi e deve saper interpretare i risultati.
Senza una solida base finanziaria per l’analisi costi-benefici è però essere difficile dare priorità alle opzioni di mitigazione.
Semiquantitativo
Alcune organizzazioni combineranno le metodologie precedenti per creare valutazioni del rischio semi-quantitative. Utilizzando questo approccio, le organizzazioni utilizzeranno una scala numerica, come 1-10 o 1-100, per assegnare un valore di rischio numerico. Gli elementi di rischio che ottengono un punteggio nel terzo inferiore sono raggruppati come rischio basso, il terzo medio come rischio medio e il terzo superiore come rischio alto.
La combinazione di metodologie quantitative e qualitative evita gli intensi calcoli di probabilità e valore patrimoniale delle prime, producendo valutazioni più analitiche rispetto alle seconde. Le metodologie semiquantitative possono essere più obiettive e fornire una solida base per dare priorità agli elementi di rischio.
Valutazione basata sulle risorse
Tradizionalmente, le organizzazioni adottano un approccio basato sugli asset per valutare il rischio IT. Le risorse sono costituite dall’hardware, dal software e dalle reti che gestiscono le informazioni di un’organizzazione, oltre alle informazioni stesse. Una valutazione basata sugli asset generalmente segue un processo in quattro fasi:
- Fare l’inventario di tutte le risorse.
- Valutare l’efficacia dei controlli esistenti.
- Identificare le minacce e le vulnerabilità di ogni risorsa.
- Valutare il potenziale impatto di ciascun rischio.
Gli approcci basati sugli asset sono popolari perché si allineano con la struttura, le operazioni e la cultura di un reparto IT. I rischi e i controlli di un firewall sono facili da capire.
Tuttavia, gli approcci basati sugli asset non possono produrre valutazioni del rischio complete: alcuni rischi non fanno parte dell’infrastruttura informativa.
Basato sulla vulnerabilità
Le metodologie basate sulla vulnerabilità espandono l’ambito delle valutazioni del rischio oltre le risorse di un’organizzazione.
Questo processo inizia con un esame delle debolezze e delle carenze note all’interno dei sistemi organizzativi o degli ambienti in cui operano tali sistemi.
Da lì, si identificano le possibili minacce che potrebbero sfruttare queste vulnerabilità, insieme alle potenziali conseguenze degli exploit.
Sebbene questo approccio catturi più rischi rispetto a una valutazione puramente basata sugli asset, si basa su vulnerabilità note e potrebbe non catturare l’intera gamma di minacce che un’organizzazione deve affrontare.
Scegliere la metodologia giusta
Nessuna di queste metodologie è perfetta. Ognuna ha punti di forza e di debolezza. Fortunatamente, nessuna di loro si esclude a vicenda: le organizzazioni spesso eseguono valutazioni del rischio che combinano questi approcci.
Durante la progettazione del processo di valutazione del rischio, le metodologie utilizzate dipenderanno da ciò che è necessario ottenere e dalla natura di un’organizzazione.
Se le approvazioni a livello di consiglio di amministrazione e dirigenziali pesano più di tutto, l’approccio tenderà a metodi quantitativi.
Approcci più qualitativi potrebbero essere migliori se si ha bisogno del supporto dei dipendenti e di altre parti interessate.
Le valutazioni basate sugli asset si allineano naturalmente con l’organizzazione IT.
Valutare costantemente l’esposizione al rischio di un’azienda è l’unico modo per proteggere le informazioni sensibili dalle minacce informatiche odierne.
Interessato a una valutazione del rischio per la tua azienda? Contatta Noi Sicurezza per un consiglio o una consulenza: