Valutazione del rischio - Probabilità di furto di un luogo fisico

Naviga le tue risposte
1

Il nostro fornitore di sicurezza ha appena condotto una valutazione del rischio per la nostra organizzazione e ci ha fornito il rapporto. Una delle "minacce" identificate dal venditore è "Furto" e le nostre 4 sedi di uffici sono state elencate tra le risorse sotto il tipo "Posizione fisica".

Nel rapporto finale, la probabilità e la frequenza di Theft hanno ricevuto il valore di 1 ciascuno per i nostri 4 uffici. Ho trovato strano che il furto di un luogo fisico sia contrassegnato come probabile, anche se il valore assegnato a quella minaccia è 1 (meno probabilmente su una scala da 1 a 3).

Inizialmente, ho ipotizzato che la probabilità fosse stata segnalata per furto di dispositivi, apparecchiature o IP da parte di un insider, ma quelle cose erano identificate come risorse diverse e il loro rischio era stimato per il furto.

Le mie domande sono:

1) È una pratica industriale che a "Furto di un luogo fisico" venga assegnato il minor valore di probabilità?

2) È accettabile in un Risk Assessment assegnare un valore pari a zero per la probabilità di minacce come questa?

Cosa mi manca?

    
posta Sree 24.05.2017 - 13:21
fonte

1 risposta

2

Le scale di valutazione del rischio sono in genere di natura qualitativa; sono "migliori ipotesi". Da questa prospettiva, non puoi mai classificare la probabilità di un evento come 0, perché diventa una misura quantitativa di certezza. Quindi, anche l'evento più improbabile è valutato su 0. In una scala a 3 punti, cioè 1.

Quindi, per rispondere alla tua seconda domanda, no, non vedrai uno 0 su una valutazione del rischio.

Ma, seriamente, il furto di un edificio? Normalmente, le cose così improbabili che accadono, o le cose se accadessero comporterebbero un rischio molto maggiore in altre aree, sono considerate fuori dallo scopo.

Tecnicamente, c'è una possibilità che i marziani possano volare giù e rubare il tuo ufficio, quindi se il furto del tuo ufficio è in ambito, verrà valutato 1, ma non dovrebbe rientrare nello scope. Metteremo in discussione il preparatore del report perché un evento del genere è stato considerato nell'ambito ...

    
risposta data 24.05.2017 - 13:49
fonte

Leggi altre domande sui tag

Vogliamo dare a una parte esterna l'accesso ad un ambiente demo. Come facciamo a garantire che solo loro ottengano l'accesso solo alla loro versione dell'ambiente? Il ransomware può essere eseguito senza chiedere conferma all'utente? [duplicare]