Come scegliere la tipologia di Risk Assessment più opportuna per la propria azienda
Le informazioni riservate e sensibili di un’organizzazione sono sotto costante minaccia e l’identificazione di tali rischi è fondamentale per proteggerle adeguatamente.
Troppo spesso si trovano aziende che non hanno mai effettuato un’analisi dei rischi informatici e questo, purtroppo, presenta sempre più frequentemente conseguenze evidenti e dannose.
Alcuni rischi sono maggiormente rilevanti di altri e alcuni rimedi sono più costosi di altri. L’adozione di un processo formale di valutazione dei rischi informatici aiuta a stabilire le giuste priorità.
Si possono scegliere differenti modalità di valutazione del rischio, ognuna delle quali presenta vantaggi e svantaggi.
Analisi del rischio quantitativa
Le attività e i relativi rischi vengono rappresentati da un valore monetario. La valutazione del rischio risultante può quindi essere presentata in termini finanziari facilmente comprensibili per dirigenti e membri del consiglio di amministrazione.
Il problema è che alcuni asset o rischi non sono facilmente quantificabili e tale forzatura potrebbe ridurre l’obiettività della valutazione.
Analisi del rischio qualitativa
Vengono richiesti e condivisi con il personale le difese e le procedure esistenti, che costituiscono un input per classificare i rischi su scale approssimative come Alto, Medio o Basso.
Il rischio è valutato in base al potenziale impatto e alla probabilità di accadimento (valore fortemente dipendete dalle difese in essere).
Una valutazione qualitativa del rischio fornisce un quadro generale molto comprensibile di come i rischi influenzano il business ma è difficile renderla il meno soggettiva possibile.
Analisi del rischio semi-quantitativa
Si tratta della combinazione delle due metodologie precedenti che, attraverso l’utilizzo di scale numeriche, cercando di diminuire la complessità dell’approccio quantitativo e la soggettività dell’approccio qualitativo.
Le metodologie semiquantitative possono essere più obiettive e fornire una solida base per dare priorità agli elementi di rischio.
Analisi del rischio basata sugli asset
Una valutazione basata sugli asset (hardware, software, reti) generalmente segue un processo in quattro fasi:
- inventario degli asset critici
- valutazione delle difese esistenti per ogni asset
- identificazione delle vulnerabilità e delle minacce per ogni asset
- valutazione dell’impatto sul business
Approccio molto utilizzato, molto semplice, molto vicino all’IT e molto comprensibile da tutta l’azienda. Tuttavia, non essendo tutti i rischi facenti parte del mondo IT, gli approcci basati sugli asset non possono produrre una valutazione del rischio completa. L’approccio deve essere integrato con altre analisi, ad esempio quelle relative alle procedure.
Analisi del rischio basata sulle vulnerabilità
Condotto attraverso l’analisi delle debolezze e delle carenze note all’interno dei sistemi organizzativi/informativi o degli ambienti in cui operano tali sistemi. In un secondo momento vengono identificate le possibili minacce che potrebbero sfruttare queste vulnerabilità, unitamente alle potenziali conseguenze. Sebbene questo approccio consideri più rischi rispetto a una valutazione puramente basata sugli asset, il problema è che si basa su vulnerabilità note e quindi non copre l’intera gamma delle potenziali minacce che un’organizzazione deve affrontare.
Analisi del rischio basata sulle minacce
I metodi basati sulle minacce possono fornire una valutazione più completa della posizione di rischio complessiva di un’organizzazione. L’aspetto tecnico poco presente potrebbe portare a considerare aspetti di vulnerabilità e/o di difesa in maniera superficiale e poco aderente alla realtà sul campo.
Nessuna di queste metodologie è perfetta: ognuna di esse presenta punti di forza e di debolezza. Il consiglio è quello di non escluderle a vicenda: è bene che le organizzazioni eseguano le proprie valutazioni del rischio cyber combinando questi approcci eventualmente facendosi aiutare da Aziende competente e affidabili di Cyber Security.
Fonte: https://thehackernews.com/2023/01/6-types-of-risk-assessment.html