Esempio di Analisi del Rischio: Come Valutare i Rischi
Apr 6, 2020
Le organizzazioni si trovano a lottare con rischi su più fronti, inclusi la cybersecurity, la responsabilità, gli investimenti e altro. L'analisi del rischio, o valutazione del rischio, è il primo passo nel processo di gestione del rischio. L'analisi del rischio IT si concentra sui rischi che minacce sia interne che esterne pongono alla disponibilità, riservatezza e integrità dei tuoi dati. Durante l'analisi del rischio, un'azienda identifica i rischi e il livello di conseguenze, come le potenziali perdite per l'azienda, se si verifica un incidente.
Il processo di analisi del rischio comporta la definizione degli asset (sistemi IT e dati) a rischio, delle minacce che ogni asset affronta, di quanto sia critica ogni minaccia e di quanto il sistema sia vulnerabile a tale minaccia. È saggio adottare un approccio strutturato e basato su progetti per l'analisi del rischio, come quelli offerti in NIST SP 800-30 o ISO/IEC 27005:2018 e 31010:2019.
L'analisi dei rischi è importante per molteplici motivi. I professionisti IT che sono responsabili di mitigare i rischi nell'infrastruttura spesso hanno difficoltà a decidere quali rischi debbano essere risolti il prima possibile e quali possono essere affrontati in seguito; l'analisi dei rischi li aiuta a stabilire le giuste priorità. Inoltre, molti requisiti normativi e di conformità includono l'security risk assessment come componente obbligatorio.
In questo articolo, esamineremo un esempio di analisi del rischio e descriveremo i componenti chiave del processo di analisi del rischio IT.
Esempio di analisi del rischio
Le seguenti sezioni illustrano i componenti chiave di un documento di analisi del rischio.
Introduzione
Questa parte spiega il perché e il come il processo di valutazione è stato gestito. Include una descrizione dei sistemi esaminati e specifica l'assegnazione delle responsabilità necessarie per fornire e raccogliere le informazioni e analizzarle.
Scopo
In questa sezione, si definisce lo scopo di una valutazione dettagliata di un sistema IT. Ecco un esempio:
Secondo la valutazione annuale del rischio aziendale, < system name > è stato identificato come un sistema potenzialmente ad alto rischio. Lo scopo della valutazione del rischio è identificare le minacce e le vulnerabilità relative a < system name > e individuare piani per mitigare tali rischi.
Ambito
In questa sezione, si definisce l'ambito della valutazione del sistema IT. Descrivere i componenti del sistema, gli utenti e altri dettagli del sistema che devono essere considerati nella valutazione del rischio.
L'obiettivo di questa valutazione del rischio è valutare l'uso delle risorse e dei controlli (implementati o pianificati) per eliminare e/o gestire le vulnerabilità sfruttabili da minacce interne ed esterne a < system name >.
Descrizione del sistema
Elenca i sistemi, l'hardware, il software, le interfacce o i dati che vengono esaminati e quali di essi sono fuori dall'ambito di valutazione. Questo è necessario per analizzare ulteriormente i confini del sistema, le funzioni, la criticità e la sensibilità del sistema e dei dati. Ecco un esempio:
< system name > è composto da < components, interfaces > che elaborano dati < sensitive / critical / regulated >. < system name > si trova < details on physical environment >. Il sistema fornisce < core functions >.
Partecipanti
Questa sezione include un elenco dei nomi dei partecipanti e dei loro ruoli. Dovrebbe includere i proprietari delle risorse, i team IT e di sicurezza, e il team di valutazione dei rischi.
Approccio di valutazione
Questa sezione spiega tutta la metodologia e le tecniche utilizzate per la valutazione dei rischi. Ad esempio:
Il rischio sarà determinato in base a un evento minaccioso, la probabilità che tale evento si verifichi, le vulnerabilità del sistema note, i fattori di mitigazione e l'impatto sulla missione dell'azienda. La fase di raccolta dei dati include l'identificazione e l'intervista del personale chiave nell'organizzazione e la revisione dei documenti. Le interviste si concentreranno sull'ambiente operativo. Le revisioni dei documenti forniscono al team di valutazione del rischio una base per valutare la conformità con le politiche e le procedure.
Identificazione e valutazione dei rischi
Qui inizia la parte fondamentale della valutazione del rischio di information security risk, dove si compilano i risultati del lavoro di valutazione sul campo.
Contenuti correlati selezionati:
Inventario dei dati
Identificate e definite tutti gli asset di valore nell'ambito: server, dati critici, dati regolamentati o altri dati la cui esposizione avrebbe un impatto maggiore sulle operazioni aziendali. Ad esempio:
Tipo di dati | Descrizione | Livello di sensibilità (Alto, Moderato, Basso) |
|---|---|---|
|
Informazioni personali identificabili |
|
Alta |
|
Informazioni finanziarie |
|
Alto |
Utenti del sistema
Descrivi chi sta utilizzando i sistemi, con dettagli sulla posizione dell'utente e sul livello di accesso. Puoi usare l'esempio qui sotto:
Nome del sistema | Categoria utente | Livello di accesso (Lettura, Scrittura, Completo) | Numero di utenti | Organizzazione domestica | Posizione geografica |
|---|---|---|---|---|---|
|
<Name of business application> |
Utente regolare |
Lettura/Scrittura |
10 |
ABC Group |
Atlanta |
Identificazione delle minacce
Sviluppare un catalogo di fonti di minaccia. Descrivere brevemente i rischi che potrebbero influenzare negativamente le operazioni dell'organizzazione, dalle violazioni della sicurezza e dagli errori tecnici agli errori umani e ai guasti dell'infrastruttura:
Fonte della minaccia | Azione minacciosa |
|---|---|
|
Criminale informatico |
|
|
Insider malintenzionato |
|
|
Dipendenti |
|
|
Reputazione |
|
|
Organizzativa (pianificazione, programmazione, stima, controllo, comunicazione, logistica, risorse e budget) |
|
|
Azioni legali e amministrative |
|
|
Tecnico |
|
|
Ambientale |
|
Identificazione delle vulnerabilità
Valuta quali vulnerabilità e debolezze potrebbero permettere alle minacce di violare la tua sicurezza. Ecco un esempio:
Vulnerabilità | Descrizione |
|---|---|
|
Scarsa forza della password |
Le password utilizzate sono deboli. Gli aggressori potrebbero indovinare la password di un utente per ottenere l'accesso al sistema. |
|
Mancanza di un piano di recupero dei disastri |
Non ci sono procedure per garantire il funzionamento continuo del sistema in caso di un'interruzione significativa dell'attività o di un disastro. |
Determinazione del rischio
Qui, valutate la probabilità che minacce e vulnerabilità causino danni e l'entità di tali conseguenze.
Determinazione della Probabilità di Rischio
Durante questo passaggio, concentrati sulla valutazione della probabilità di rischio — la possibilità che un rischio si verifichi.
Livello | Definizione di probabilità | Esempio |
|---|---|---|
|
Alta |
La fonte della minaccia è altamente motivata e sufficientemente capace, e i controlli per prevenire che la vulnerabilità venga sfruttata sono inefficaci. |
Divulgazione, modifica o distruzione non autorizzata e malevola delle informazioni |
|
Moderato |
La fonte della minaccia è motivata o capace, ma sono in atto dei controlli che potrebbero impedire l'esercizio efficace della vulnerabilità. |
Errori e omissioni involontari |
|
Basso |
La fonte della minaccia manca di motivazione o capacità, oppure sono in atto dei controlli per prevenire, o almeno ostacolare significativamente, l'attuazione della vulnerabilità. |
Interruzioni IT dovute a disastri naturali o causati dall'uomo |
Analisi dell'impatto
Eseguire un'analisi dell'impatto del rischio per comprendere le conseguenze per l'azienda in caso di incidente. L'analisi del rischio può includere valutazioni qualitative del rischio per identificare i rischi che rappresentano il maggiore pericolo, come la perdita di dati, il downtime del sistema e le conseguenze legali. La valutazione quantitativa del rischio è facoltativa ed è utilizzata per misurare l'impatto in termini finanziari.
Incidente | Conseguenza | Impatto |
|---|---|---|
|
Divulgazione non autorizzata di informazioni sensibili |
La perdita di riservatezza con gravi danni agli asset organizzativi. L'incidente può risultare nella costosa perdita di importanti beni materiali o risorse, e può violare, danneggiare o impedire significativamente la missione, la reputazione o gli interessi dell'organizzazione. |
Alto |
|
Interruzioni IT dovute a modifiche non autorizzate al sistema |
La perdita di disponibilità con un grave effetto avverso sulle operazioni organizzative. L'organizzazione è in grado di svolgere le sue funzioni principali, ma l'efficacia delle funzioni è notevolmente ridotta. |
Medium |
|
I dati non sensibili vengono persi a causa di modifiche non autorizzate ai dati o al sistema |
La perdita di integrità con un effetto limitato sulle operazioni organizzative, le risorse o gli individui. L'organizzazione è in grado di svolgere le sue funzioni principali, ma l'efficacia delle funzioni è notevolmente ridotta. |
Basso |
Valutazione del Livello di Rischio
Durante questa fase, i risultati dell'analisi dei rischi vengono confrontati con i criteri di valutazione del rischio. I risultati sono utilizzati per prioritizzare i rischi in base al livello di rischio.
Livello di impatto | Definizione del livello di rischio |
|---|---|
|
Alto |
C'è un forte bisogno di misure correttive. Il sistema può continuare a funzionare, ma un piano di azione correttivo deve essere messo in atto il prima possibile. |
|
Moderato |
Sono necessarie azioni correttive e deve essere sviluppato un piano per incorporare queste azioni entro un periodo di tempo ragionevole. |
|
Basso |
Il proprietario del sistema deve determinare se sono ancora necessarie azioni correttive o decidere di accettare il rischio. |
Risultati della valutazione dei rischi
Elenca i rischi nella tabella dei Risultati della Valutazione dei Rischi. Il rapporto dovrebbe descrivere le minacce e le vulnerabilità, misurare il rischio e fornire raccomandazioni per l'implementazione dei controlli.
Minaccia | Vulnerabilità | Mitigazione | Probabilità | Impatto | Rischio |
|---|---|---|---|---|---|
|
Uragano |
Interruzione di corrente |
Installate generatori di riserva |
Moderato |
Basso |
Basso |
|
Mancanza di un piano di disaster recovery |
Disaster recovery |
Sviluppare e testare un piano di recupero dai disastri |
Moderato |
Alta |
Moderato |
|
Gli utenti non autorizzati possono accedere al server e sfogliare file aziendali sensibili |
Accesso aperto a contenuti sensibili |
Eseguire il monitoraggio e il testing della sicurezza del sistema per garantire una protezione adeguata per <server name>. |
Moderato |
Alto |
Moderato |
Conclusione
L'analisi dei rischi ti consente di sapere quali rischi sono la tua priorità principale. Revisionando continuamente le aree chiave, come permessi, politica, dati e utenti, puoi determinare quali minacce rappresentano il rischio più elevato per il tuo ecosistema IT e adeguare i controlli necessari per migliorare la sicurezza e la conformità.
Condividi su
Scopri di più
Informazioni sull'autore
Ryan Brooks
Scopri di più su questo argomento
Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy
Il Triangolo CIA e la sua applicazione nel mondo reale
Cos'è la gestione dei documenti elettronici?
Analisi quantitativa del rischio: Aspettativa di perdita annuale
Creare utenti AD in massa e inviare le loro credenziali tramite PowerShell