Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Appendice A: Valutazioni dei rischi ad-hoc
Pubblicato: 15/10/2004
Nell'ambito del processo di gestione dei rischi di protezione Microsoft, la fase di valutazione dei rischi viene descritta come un'attività pianificata nell'ambito del più ampio programma di gestione dei rischi. Questa fase definisce le procedure necessarie per identificare i diversi scenari di rischio noti all'organizzazione e definirne le priorità. Si ottiene quindi un elenco di rischi ordinati in base alle priorità, a livello sia generale che dettagliato. La valutazione dei rischi programmata fornisce inoltre gli input per le fasi successive del programma di gestione dei rischi. Sebbene l'attività di valutazione dei rischi programmata offra un elevato valore, è normale che i rischi a cui è esposta un'organizzazione cambino e si evolvano continuamente. Per questo motivo il Team di gestione dei rischi di protezione deve utilizzare un processo definito per identificare e analizzare i rischi di protezione, indipendentemente dalla fase del ciclo di gestione dei rischi. Non è consigliabile posticipare l'analisi dei nuovi rischi fino alla successiva valutazione dei rischi programmata.
La necessità di comprendere immediatamente un nuovo rischio può emergere infatti in qualsiasi momento. Se ad esempio vi è disaccordo in merito al livello di rischio correlato con un pericolo potenziale o non ancora ben identificato, le varie persone interessate possono esprimere punti di vista divergenti proponendo soluzioni di riduzione dei rischi diverse. In questo caso, il Team di gestione dei rischi di protezione deve documentare una posizione definita in merito al rischio e guidare il processo di supporto alle decisioni, in modo analogo a quanto previsto dal programma di gestione dei rischi formale. Probabilmente verrà chiesto al Team di gestione dei rischi di protezione di creare requisiti funzionali per un determinato scenario che non possono e non devono essere definiti senza avere prima acquisito una conoscenza sufficiente di tutti gli elementi di rischio. In questa situazione è necessario procedere immediatamente a una valutazione dei rischi ad-hoc. È importante evitare di accogliere incondizionatamente le richieste di valutazione che tentano di utilizzare il processo di valutazione dei rischi in modo improprio al fine di giustificare l'utilizzo di soluzioni o distribuzioni preconcette. Il risultato della valutazione dei rischi deve essere una obiettiva determinazione dei rischi reali associati a un determinato problema.
Nel processo di gestione dei rischi di protezione Microsoft sono stati verificati molteplici scenari di rischio e in seguito classificati in base alle priorità. Nella valutazione dei rischi ad-hoc, i rischi vengono analizzati caso per caso. Una valutazione dei rischi ad-hoc è focalizzata su un unico scenario di rischio, ad esempio "Quali sono i rischi associati alla concessione dell'accesso alle reti senza fili agli utenti Guest aziendali?" oppure "Quali rischi si corrono consentendo agli utenti di periferiche mobili di connettersi alle risorse aziendali?". Nella valutazione dei rischi ad-hoc viene utilizzata la stessa metodologia descritta per il processo, tuttavia non è obbligatorio procedere alla definizione delle priorità dei rischi e delle soluzioni rispetto ad altri rischi aziendali. Una definizione di priorità formale può risultare necessaria solo nel caso in cui l'adozione della soluzione di riduzione dei rischi risulti costosa. Il confronto con rischi simili offre una prospettiva sufficiente per la definizione delle priorità della valutazione dei rischi ad-hoc. I risultati di questa valutazione verranno naturalmente incorporati nel processo formale nel modo appropriato.
Il modello di discussione sui rischi incluso nella sezione Strumenti di questa guida può essere utilizzato anche nell'ambito delle valutazioni dei rischi ad-hoc. È tuttavia possibile che per effettuare la raccolta dei dati sia sufficiente condurre alcune ricerche piuttosto che convocare una riunione con tutte le persone interessate. Il Team di gestione dei rischi di protezione dovrà comunque dare risposta alle domande fondamentali contenute nel modello, ma è possibile che i membri stessi del team siano in grado di fornire le informazioni richieste. Se, ad esempio, il Team sta cercando di capire i rischi associati ai dispositivi mobili, l'indagine sul tasso di perdita dei dispositivi potrebbe costituire un'informazione necessaria. I dati necessari possono anche essere raccolti mediante ricerche esterne o presso altri team IT responsabili della gestione dell'area assistenza.
La valutazione dei rischi ad-hoc può essere resa nota mediante un documento strutturato con le seguenti sezioni:
Riepilogo generale. Questa parte del documento deve riassumere i contenuti dell'intera valutazione e deve poter essere letta e compresa chiaramente anche come documento a se stante.
Elenco dei presupposti relativi all'ambito di applicazione e agli obiettivi della valutazione dei rischi ad-hoc.
Descrizione del bene sottoposto a protezione e del suo valore per l'azienda.
Determinazione dei rischi bene articolata, come descritto nel processo di gestione dei rischi di protezione Microsoft, che risponda alle domande seguenti:
Cosa si desidera evitare che accada al bene?
In quali modi può verificarsi la perdita o l'esposizione del bene?
Qual è l'entità della potenziale esposizione del bene?
Quali misure si stanno attualmente adottando per minimizzare la probabilità che il rischio si verifichi o per contenere l'impatto nel caso in cui le misure protettive non siano adeguate?
Qual è il rischio globale? Inclusione di un'affermazione del tipo "È altamente probabile che un eventuale attacco riesca a compromettere l'integrità dei beni digitali suscettibili di impatto medio e ciò rappresenta un rischio elevato per l'organizzazione".
Quali azioni potrebbero ridurre le probabilità di rischio future?
Quale sarebbe il rischio globale dopo l'implementazione dei controlli potenziali?
Una singola valutazione dei rischi può contenere molteplici scenari di pericolo. Nell'esempio della concessione dell'accesso alle reti senza fili agli utenti Guest aziendali, un primo scenario potrebbe essere quello di un utente Guest che attacca un altro utente Guest, un secondo scenario potrebbe prevedere un attacco esterno ai danni di uno degli utenti Guest e un terzo scenario potrebbe essere l'utilizzo improprio dell'accesso al fine di attaccare un obiettivo tramite Internet. È opportuno sviluppare una determinazione dei rischi per tutti gli scenari possibili.
Una volta compresi chiaramente i rischi, può essere sufficiente darne comunicazione. Un altro obiettivo della valutazione può essere la determinazione dei requisiti funzionali da parte del Team di gestione dei rischi di protezione. Se vengono generati requisiti funzionali, questi devono essere collegati ai rischi specifici corrispondenti. Un documento di valutazione dei rischi che prevede requisiti funzionali di protezione è un efficace strumento che aiuta le aziende a comprendere i rischi esistenti e ad adottare la soluzione di riduzione ottimale.