Dopo aver introdotto il concetto di rischio informatico e le sue principali conseguenze, analizziamo le procedure di valutazione di questo tipo di rischio.
La valutazione del rischio informatico ha l’obiettivo di identificare e prevenire le minacce che potrebbero colpire i sistemi informatici di un’organizzazione. Prevede quattro fasi fondamentali:
Identificazione dei beni informatici:
- Asset informatici (server, database, ecc.);
- Dati (informazioni personali, dati aziendali riservati, ecc.);
- Catalogazione degli asset informatici e dei dati sensibili.
Identificazione delle minacce:
- Individuazione delle minacce all’azienda (hacking, phishing, ecc.);
- Valutazione del livello di pericolosità di ciascuna minaccia;
- Catalogazione delle minacce.
Identificazione delle vulnerabilità:
- Individuazione delle vulnerabilità di ogni asset informatico (es. password deboli, bug software, ecc.);
- Valutazione del livello di pericolosità di ciascuna vulnerabilità;
- Catalogazione delle vulnerabilità.
Valutazione del rischio:
- Stima della probabilità di ogni minaccia e vulnerabilità individuate;
- Valutazione dell'impatto potenziale di ogni minaccia e vulnerabilità;
- Classificazione del rischio;
- Definizione dei parametri di valutazione del rischio (livello di criticità dell'asset, requisiti normativi e di sicurezza, impatto sul business, ecc.)
I processi di valutazione del rischio devono andare di pari passo con quelli di gestione del rischio e di controllo costante dei sistemi.