Il nostro fornitore di sicurezza ha appena condotto una valutazione del rischio per la nostra organizzazione e ci ha fornito il rapporto. Una delle "minacce" identificate dal venditore è "Furto" e le nostre 4 sedi di uffici sono state elencate tra le risorse sotto il tipo "Posizione fisica".
Nel rapporto finale, la probabilità e la frequenza di Theft hanno ricevuto il valore di 1
ciascuno per i nostri 4 uffici. Ho trovato strano che il furto di un luogo fisico sia contrassegnato come probabile, anche se il valore assegnato a quella minaccia è 1
(meno probabilmente su una scala da 1 a 3).
Inizialmente, ho ipotizzato che la probabilità fosse stata segnalata per furto di dispositivi, apparecchiature o IP da parte di un insider, ma quelle cose erano identificate come risorse diverse e il loro rischio era stimato per il furto.
Le mie domande sono:
1) È una pratica industriale che a "Furto di un luogo fisico" venga assegnato il minor valore di probabilità?
2) È accettabile in un Risk Assessment assegnare un valore pari a zero per la probabilità di minacce come questa?
Cosa mi manca?