Come si valuta correttamente il rischio?

ISO / IEC 27005: il 2011 è lo standard ISO che fornisce linee guida per la gestione del rischio e contiene molti consigli per la parte di valutazione di quel processo. Un riassunto abbreviato ridicolmente potrebbe essere:

• Identificare il rischio tramite:
  • identificazione delle risorse
  • identificazione delle minacce a ciascun asset
  • identifica i controlli esistenti che proteggono ciascun bene
  • identificazione delle vulnerabilità in ciascuna risorsa che le minacce potrebbero sfruttare
  • identificare le conseguenze del danno a ciascun bene
• Analizza i rischi:
  • Determinazione della probabilità di danno (ad esempio perdita di riservatezza, integrità o disponibilità)
  • determinare l'impatto del danno
  • combinando questi valori per assegnare un livello di rischio
• Valuta il rischio confrontando il livello con la soglia di rischio accettabile

Di solito esegui l'operazione di identificazione prendendo l'inventario delle tue risorse e intervistando i loro proprietari e manutentori su di loro.

La fase di analisi è solitamente qualitativa e abbastanza semplice. Ad esempio, è possibile assegnare valori di Basso, Medio o Alto alla probabilità e all'impatto di ciascun rischio, quindi disporre di una tabella semplice che mostri il conseguente valore di rischio. Alta probabilità e alto impatto significano un alto rischio e così via. Ciò sembra piuttosto semplicistico, ma è molto difficile dare precisi valori quantitativi alla probabilità e all'impatto su tutti i rischi. Qual è la probabilità che il mio ufficio brucerà la prossima settimana? Spock potrebbe stimare la probabilità come 2.457% ma io sono umano, quindi il meglio che posso fare è stimare che sia "Molto basso". Le tue circostanze potrebbero essere diverse, ovviamente.

Infine, la fase di valutazione sta semplicemente confrontando il livello di rischio con ciò che trovi accettabile, per vedere se il rischio richiede un trattamento. Ancora una volta, è un po 'semplicistico, ma la ragione per cui stai facendo un'analisi è determinare a) quali rischi devi trattare e b) in che ordine farli.

Non posso rispondere per grandi organizzazioni, ma per le organizzazioni di piccole dimensioni, ho trovato che la seguente matrice di valutazione del rischio è in genere sufficiente per far sì che la gestione a) pensi alla sicurezza e alle possibili implicazioni dell'errore b) aiutino a prendere decisioni sulle risorse / sforzi che la lattina / necessità di investire.

+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| What           | Current level of security | Improvement Effort Needed | Data Sensitivity | Impact of Worst Case Scenario |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| Product Foo    | low                       | ++                        | -                |                               |
| - component a  | reasonable/good           | High                      | Medium           | Major                         |
| - component b  | very low!                 | Medium (requires time)    | Medium+          | Non acceptable                |
| - ...          | ...                       | ...                       | ...              | ...                           |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+

La matrice di cui sopra è abbastanza semplice e lontana dall'essere perfetta, ma fa sì che la gente pensi al problema e alle possibili conseguenze, è abbastanza intuitiva da essere utile a diversi livelli all'interno dell'organizzazione e serve come base per iniziare a stabilire la priorità dove mettere lo sforzo.