Risk Management
Introduzione
La gestione del rischio comprende tutte le attività necessarie dal riconoscimento e consapevolezza fino allo sviluppo di strategie che possano attenuare il rischio.
Una strategia può portare a diversi tipi di comportamento; per esempio "evitare il rischio", "ridurre l'effetto negativo", "trasferire il rischio ad una terza parte (assicurazione, contratti manutenzione)"; "accettare le conseguenze"
Un risk management non ha quindi il compito di eliminare i rischi, ma di ridurlo all'interno di un livello accettato dalla specifica azienda.
Una attenta analisi deve considerare che le minacce possono provenire da differenti sorgenti, come per esempio: l'ambiente, la tecnologia, le persone.
Risk Analysis
Una analisi dei rischi necessita innanzi tutto una classificazione.
Nella tabella T1 è riportata una classificazione a due livelli, avendo suddiviso le minaccie in tre classi.
Il passo successivo è la valutazione della probabilità dell'evento.
Sono considerazioni in parte soggettive e comunque dipendenti dalle specifiche condizioni del sistema in esame.
Nella tabella T1 si propone una semplice scala da 0 a 3, indicando con 0 evento che non si verificherà mai e con 3 evento altamente probabile.
Se si vuole misurare il rischio occorre prendere in considerazione almeno un altro parametro: l'impatto che il danno avrà sul sistema.
Anche in questo caso viene proposta la stessa scala da 0 a 3.
La misura del rischio può essere calcolata moltiplicando i due valori identificati (il risultato sarà dato da una scala con sette distinti valori che vanno da 0 a 9).
Infine (ultima colonna), bisogna prendere delle decisioni e decidere se il rischio sarà tollerato, o se deve essere ridotto.
Tabella T1 - Classificazione rischi - azioni adottate o da adottare | |||||
Descrizione del Rischio (minacccia o vulnerabilità) | Probabilità dell'evento | Impatto del danno | Misura del rischio | Trattamento adottato | |
|
|
| T=Tollerato | ||
P: da 0 a 3 | D: da 0 a 3 | M=PxD | |||
Comportamento |
|
|
|
| |
R1 | furto di Login | 2 | 3 | 6 | R |
R2 | Mancanza di consapevolezza, negligenza | 3 | 2 | 6 | R |
R3 | Comportamento disonesto o fraudolento | 1 | 3 | 3 | R |
R4 | Errore umano | 2 | 1 | 2 | R |
Tecnologia |
|
|
|
| |
R5 | Virus e programmi malware | 1 | 3 | 3 | R |
R6 | Spamming | 1 | 1 | 1 | R |
R7 | Danni dolosi | 1 | 3 | 3 | R |
R8 | Funzionamento improprio, non disponibilità o deterioramento dispositivi | 2 | 2 | 4 | T |
R9 | Accessi esterni remoti non autorizzati | 2 | 3 | 3 | R |
R10 | Intrusione nella rete | 1 | 3 | 3 | R |
Ambiente |
|
|
|
| |
R11 | Accesso non autorizzato in aree sensibili | 1 | 3 | 3 | R |
R12 | Furto di dispositivi | 2 | 3 | 6 | R |
R13 | Eventi catastrofici (terremoti, fulmini, incendi, allagamenti, ...): naturali o dolosi. | 1 | 3 | 3 | F |
R14 | Guasti ai sistemi di infrastruttura (impianto elettrico, condizionamento...) | 1 | 2 | 2 | R |
R15 | Errore tecnico umano | 2 | 2 | 4 | R |
R16 | Altri eventi | 0 | 0 | 0 | R |
(segue)
1 commento:
sul tema della gestione del rischio volevo segnalare il portale www.cineas.it in cui ci sono molte notizie sulle migliore pratiche di gestione del rischio a 360°.
Posta un commento