giovedì 4 ottobre 2007

Gestione del rischio (1)

Risk Management

Introduzione

La gestione del rischio comprende tutte le attività necessarie dal riconoscimento e consapevolezza fino allo sviluppo di strategie che possano attenuare il rischio.

Una strategia può portare a diversi tipi di comportamento; per esempio "evitare il rischio", "ridurre l'effetto negativo", "trasferire il rischio ad una terza parte (assicurazione, contratti manutenzione)"; "accettare le conseguenze"


Un risk management non ha quindi il compito di eliminare i rischi, ma di ridurlo all'interno di un livello accettato dalla specifica azienda.

Una attenta analisi deve considerare che le minacce possono provenire da differenti sorgenti, come per esempio: l'ambiente, la tecnologia, le persone.

Risk Analysis

Una analisi dei rischi necessita innanzi tutto una classificazione.

Nella tabella T1 è riportata una classificazione a due livelli, avendo suddiviso le minaccie in tre classi.

Il passo successivo è la valutazione della probabilità dell'evento.

Sono considerazioni in parte soggettive e comunque dipendenti dalle specifiche condizioni del sistema in esame.

Nella tabella T1 si propone una semplice scala da 0 a 3, indicando con 0 evento che non si verificherà mai e con 3 evento altamente probabile.


Se si vuole misurare il rischio occorre prendere in considerazione almeno un altro parametro: l'impatto che il danno avrà sul sistema.

Anche in questo caso viene proposta la stessa scala da 0 a 3.

La misura del rischio può essere calcolata moltiplicando i due valori identificati (il risultato sarà dato da una scala con sette distinti valori che vanno da 0 a 9).

Infine (ultima colonna), bisogna prendere delle decisioni e decidere se il rischio sarà tollerato, o se deve essere ridotto.

Tabella T1 - Classificazione rischi - azioni adottate o da adottare

Descrizione del Rischio (minacccia o vulnerabilità)

Probabilità dell'evento

Impatto del danno

Misura del rischio

Trattamento adottato




T=Tollerato
R=Ridotto
E=Eliminato
F=Trasferito

P: da 0 a 3

D: da 0 a 3

M=PxD

Comportamento





R1

furto di Login

2

3

6

R

R2

Mancanza di consapevolezza, negligenza

3

2

6

R

R3

Comportamento disonesto o fraudolento

1

3

3

R

R4

Errore umano

2

1

2

R

Tecnologia





R5

Virus e programmi malware

1

3

3

R

R6

Spamming

1

1

1

R

R7

Danni dolosi

1

3

3

R

R8

Funzionamento improprio, non disponibilità o deterioramento dispositivi

2

2

4

T

R9

Accessi esterni remoti non autorizzati

2

3

3

R

R10

Intrusione nella rete

1

3

3

R

Ambiente





R11

Accesso non autorizzato in aree sensibili

1

3

3

R

R12

Furto di dispositivi

2

3

6

R

R13

Eventi catastrofici (terremoti, fulmini, incendi, allagamenti, ...): naturali o dolosi.

1

3

3

F

R14

Guasti ai sistemi di infrastruttura (impianto elettrico, condizionamento...)

1

2

2

R

R15

Errore tecnico umano

2

2

4

R

R16

Altri eventi

0

0

0

R

(segue)




1 commento:

Anonimo ha detto...

sul tema della gestione del rischio volevo segnalare il portale www.cineas.it in cui ci sono molte notizie sulle migliore pratiche di gestione del rischio a 360°.