Qualcuno sa di buoni Registri di rischio per iniziare a registrare i rischi per la sicurezza che si trovano al volo?
Il problema che sto avendo è che troviamo così tanto in un giorno, le cose cominciano a perdersi nelle e-mail e tendiamo a dimenticare i rischi che sono stati scoperti a causa di più incendi.
C'è qualcosa di sbagliato nel processo di valutazione del rischio se trovi nuovi rischi ogni giorno.
La mia ipotesi è che lo stai facendo a un livello molto basso e dovresti passare a comprendere l'impatto sul business. Il rischio è fondamentalmente qualcosa di conseguenza che potrebbe andare storto. Una vulnerabilità tecnica è non un rischio. Se scopri una nuova debolezza nel tuo webserver, questa è una vulnerabilità e non un rischio. Il rischio è, ad esempio, che i dati dei clienti potrebbero essere rubati o che il servizio potrebbe diventare non disponibile.
Se lo vedi così, scoprire una nuova vulnerabilità non creerebbe un nuovo rischio, ma influenzerebbe la valutazione di un rischio esistente, ed è così che dovrebbe essere. Quindi il tuo server ha più buchi di quanto pensassi, che aumenta la frequenza potenziale di perdita, o qualsiasi metodo di valutazione del rischio che stai usando (in FAIR, ad esempio, potrebbe ridurre la Resistenza alla Resistenza).
Anche se scopri modi completamente nuovi in cui, ad esempio, i dati personali potrebbero essere persi, il rischio è ancora la perdita di dati personali. Hai appena scoperto un nuovo percorso di attacco, non un nuovo rischio .
Questo non risponde direttamente alla tua domanda, ma risolverebbe il tuo problema. Sono abbastanza certo che il tuo attuale Registro dei rischi ti sarebbe utile se pensassi alle vulnerabilità come invece cambiano i parametri nei rischi esistenti.
In caso di aggiornamento in tempo reale, se ci si riferisce alla visibilità del rischio in tempo reale e all'assegnazione del rischio in movimento (adeguate azioni di valutazione e mitigazione da seguire con il processo di gestione del rischio), ci sono soluzioni disponibili.
Queste soluzioni sono categorizzate come applicazioni GRC (Governance Risk Compliance), il seguente diagramma illustra le funzionalità di tale piattaforma:
Fonte:
Le soluzioni GRC offrono un meccanismo per automatizzare il flusso di lavoro che aiuta a ridurre i costi e i tempi necessari per mantenere la gestione dei rischi. Questo aiuta a superare le sfide nel mantenere più eccelli, calcoli manuali, ecc.
Leggi altre domande sui tag risk risk-management risk-analysis business-risk risk-classification