Devi considerare l'obiettivo della tua analisi del rischio. Vuoi valutare le minacce e sapere se queste costituiscono un rischio per le tue risorse. Quindi (TL; DR :) si dovrebbe includere le misure attuali.
Per eseguire l'analisi dei rischi, se ci basiamo su modelli ISO27k, definiremo una formula di rischio, valuterò la tua vulnerabilità ed esposizione alle leccornie, quindi otterremo un livello di rischio attraverso il calcolo di questa formula. Se questo livello è superiore al tuo livello di accettazione, devi agire su di esso.
Non importa se includi o meno la misura attuale. Senza le contromisure, dovrebbe aumentare il livello al di sopra di tale soglia e costringerti ad aggiungere ulteriori informazioni sulla contromisura che hai posto per ridurre il rischio. Tuttavia, probabilmente è meglio prendere già in considerazione le misure esistenti e avere il fattore di rischio risultante già ok (non aggiungere al tuo lavoro).
L'efficacia della contromisura è un aspetto completamente diverso della gestione del rischio e dovrebbe apparire quantitativamente in altri documenti del sistema di gestione dei rischi. Se non riescono a essere efficienti, dovresti rivalutare i rischi e cambiarli.
"il rischio di una connessione" non è un elemento di rischio reale btw. "Furto di dati" o "Rappresentazione dell'utente" sono minacce alla tua azienda. Queste minacce possono sorgere a causa della vulnerabilità della connessione (tra l'altro). Questa vulnerabilità ha una probabilità di occorrenza specifica e un determinato impatto se ha successo sulla tua attività. L'obiettivo dell'analisi del rischio è identificare le vulnerabilità, le minacce correlate, gli impatti e la plausibilità del successo di un attacco, se si subisce un costo elevato oppure no. Se sì, devi fare qualcosa al riguardo.
Per concludere, non vedo alcun reale vantaggio nel non prendere in considerazione le contromisure già in vigore per l'analisi del rischio. Se sei preoccupato dell'efficienza, dovresti fare riferimento agli indicatori del tuo ISMS.