Il NIST ha recentemente pubblicato il documento NISTIR 8272 "Impact Analysis
Tool for Interdependent Cyber Supply Chain Risks":
- https://csrc.nist.gov/publications/detail/nistir/8272/final.
Il documento è accompagnato da un applicativo per Windows, Mac OS e Linux.
Non sono riuscito ad approfondire molto l'approccio perché dovrei
soprattutto avere modo di usare lo strumento. Ad una prima lettura mi sembra
valido, anche se ho sempre molte riserve quando si tratta di "tool per la
valutazione del rischio".
Penso però che possa essere significativo per realtà di grandi dimensioni,
coinvolte in numerosi progetti IT o con molti prodotti IT da acquistare e
dove l'investimento nell'analisi permette di allocare correttamente le
risorse per controllare il rischio; per realtà di piccole o medie
dimensioni, dove analisi complesse non forniscono informazioni
significative, è sicuramente consigliabile un approccio molto più snello,
visto che è più semplice vedere dove il rischio è più elevato e quindi dove
investire più risorse per controllarlo.