Il NIST ha pubblicato la NISTIR 8286A "Identifying and Estimating
Cybersecurity Risk for Enterprise Risk Management":
- https://csrc.nist.gov/publications/detail/nistir/8286a/final.
L'ho letta un po' velocemente, ma devo dire che contiene cose molto
interessanti. Si tratta quasi di un lungo articolo su alcune questioni
relative alla valutazione del rischio relativo alla sicurezza delle informazioni.
Vorrei segnalare che propone una valutazione del rischio in qualche modo più
semplice di quella che di solito vediamo. In sostanza chiede di enumerare le
minacce e per ciascuna di esse di indicare la probabilità e l'impatto. Solo
a un certo punto suggerisce di indicare su cosa la minaccia può avere impatti.
Ho trovato interessante la tabella 1, con esempi su come esplicitare la
tolleranza al rischio (i "criteri di rischio" o "criteri di accettabilità
del rischio" ad alto livello) e può suggerire alcune soluzioni a molti.
C'è una tabella 4 con una discussione sulle possibili distorsioni (bias)
quando si valuta il rischio e anche questo l'ho trovato molto interessante.
Altre cose mi lasciano perplesso, ma vale comunque la pena buttarci un
occhio.
Nessun commento:
Posta un commento