Il NIST ha pubblicato il documento NISTIR 8286 "Integrating Cybersecurity
and Enterprise Risk Management (ERM)":
- https://csrc.nist.gov/publications/detail/nistir/8286/final.
Stavo per classificarlo come "troppo verboso e senza elementi nuovi (incluso
un calcolo del rischio "quantitativo" che quantitativo non è)".
Ma arrivato a pagina 55, ecco un esempio di "Notional Enterprise Risk
Register": una tabella in cui sono elencati i rischi identificati, senza che
siano esaustivi e con un calcolo semplicissimo per il livello di rischio
("Exposure rating").
Questo esempio ci mostra come una valutazione del rischio possa essere molto
semplice, senza dover necessariamente usare software o calcoli complessi.
Ovviamente ritengo scorretto l'approccio "non esaustivo" per
l'identificazione dei rischi, ma penso sia utile considerare questo esempio.
Nessun commento:
Posta un commento