Valutazione dei rischi informatici

Dopo aver introdotto il concetto di rischio informatico e le sue principali conseguenze, analizziamo le procedure di valutazione di questo tipo di rischio.

Valutazione dei rischi informatici

La valutazione del rischio informatico ha l’obiettivo di identificare e prevenire le minacce che potrebbero colpire i sistemi informatici di un’organizzazione. Prevede quattro fasi fondamentali:

Identificazione dei beni informatici: 
  • Asset informatici (server, database, ecc.); 
  • Dati (informazioni personali, dati aziendali riservati, ecc.); 
  • Catalogazione degli asset informatici e dei dati sensibili. 
Identificazione delle minacce: 
  • Individuazione delle minacce all’azienda (hacking, phishing, ecc.);
  • Valutazione del livello di pericolosità di ciascuna minaccia;
  • Catalogazione delle minacce.
Identificazione delle vulnerabilità: 
  • Individuazione delle vulnerabilità di ogni asset informatico (es. password deboli, bug software, ecc.); 
  • Valutazione del livello di pericolosità di ciascuna vulnerabilità;
  • Catalogazione delle vulnerabilità.
Valutazione del rischio: 
  • Stima della probabilità di ogni minaccia e vulnerabilità individuate; 
  • Valutazione dell'impatto potenziale di ogni minaccia e vulnerabilità; 
  • Classificazione del rischio; 
  • Definizione dei parametri di valutazione del rischio (livello di criticità dell'asset, requisiti normativi e di sicurezza, impatto sul business, ecc.)

I processi di valutazione del rischio devono andare di pari passo con quelli di gestione del rischio e di controllo costante dei sistemi.