Risk Management
Introduzione
La gestione del rischio comprende tutte le attività necessarie dal riconoscimento e consapevolezza fino allo sviluppo di strategie che possano attenuare il rischio.
Una strategia può portare a diversi tipi di comportamento; per esempio "evitare il rischio", "ridurre l'effetto negativo", "trasferire il rischio ad una terza parte (assicurazione, contratti manutenzione)"; "accettare le conseguenze"
Un risk management non ha quindi il compito di eliminare i rischi, ma di ridurlo all'interno di un livello accettato dalla specifica azienda.
Una attenta analisi deve considerare che le minacce possono provenire da differenti sorgenti, come per esempio: l'ambiente, la tecnologia, le persone.
Risk Analysis
Una analisi dei rischi necessita innanzi tutto una classificazione.
Nella tabella T1 è riportata una classificazione a due livelli, avendo suddiviso le minaccie in tre classi.
Il passo successivo è la valutazione della probabilità dell'evento.
Sono considerazioni in parte soggettive e comunque dipendenti dalle specifiche condizioni del sistema in esame.
Nella tabella T1 si propone una semplice scala da 0 a 3, indicando con 0 evento che non si verificherà mai e con 3 evento altamente probabile.
Se si vuole misurare il rischio occorre prendere in considerazione almeno un altro parametro: l'impatto che il danno avrà sul sistema.
Anche in questo caso viene proposta la stessa scala da 0 a 3.
La misura del rischio può essere calcolata moltiplicando i due valori identificati (il risultato sarà dato da una scala con sette distinti valori che vanno da 0 a 9).
Infine (ultima colonna), bisogna prendere delle decisioni e decidere se il rischio sarà tollerato, o se deve essere ridotto.
| Tabella T1 - Classificazione rischi - azioni adottate o da adottare | |||||
| Descrizione del Rischio (minacccia o vulnerabilità) | Probabilità dell'evento | Impatto del danno | Misura del rischio | Trattamento adottato | |
|
|
|
| T=Tollerato | ||
| P: da 0 a 3 | D: da 0 a 3 | M=PxD | |||
| Comportamento |
|
|
|
| |
| R1 | furto di Login | 2 | 3 | 6 | R |
| R2 | Mancanza di consapevolezza, negligenza | 3 | 2 | 6 | R |
| R3 | Comportamento disonesto o fraudolento | 1 | 3 | 3 | R |
| R4 | Errore umano | 2 | 1 | 2 | R |
| Tecnologia |
|
|
|
| |
| R5 | Virus e programmi malware | 1 | 3 | 3 | R |
| R6 | Spamming | 1 | 1 | 1 | R |
| R7 | Danni dolosi | 1 | 3 | 3 | R |
| R8 | Funzionamento improprio, non disponibilità o deterioramento dispositivi | 2 | 2 | 4 | T |
| R9 | Accessi esterni remoti non autorizzati | 2 | 3 | 3 | R |
| R10 | Intrusione nella rete | 1 | 3 | 3 | R |
| Ambiente |
|
|
|
| |
| R11 | Accesso non autorizzato in aree sensibili | 1 | 3 | 3 | R |
| R12 | Furto di dispositivi | 2 | 3 | 6 | R |
| R13 | Eventi catastrofici (terremoti, fulmini, incendi, allagamenti, ...): naturali o dolosi. | 1 | 3 | 3 | F |
| R14 | Guasti ai sistemi di infrastruttura (impianto elettrico, condizionamento...) | 1 | 2 | 2 | R |
| R15 | Errore tecnico umano | 2 | 2 | 4 | R |
| R16 | Altri eventi | 0 | 0 | 0 | R |
(segue)
1 commento:
sul tema della gestione del rischio volevo segnalare il portale www.cineas.it in cui ci sono molte notizie sulle migliore pratiche di gestione del rischio a 360°.
Posta un commento