giovedì 9 dicembre 2021

NISTIR 8286A sulla valutazione del rischio

Il NIST ha pubblicato la NISTIR 8286A "Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management":
- https://csrc.nist.gov/publications/detail/nistir/8286a/final.

L'ho letta un po' velocemente, ma devo dire che contiene cose molto interessanti. Si tratta quasi di un lungo articolo su alcune questioni relative alla valutazione del rischio relativo alla sicurezza delle informazioni.

Vorrei segnalare che propone una valutazione del rischio in qualche modo più semplice di quella che di solito vediamo. In sostanza chiede di enumerare le minacce e per ciascuna di esse di indicare la probabilità e l'impatto. Solo a un certo punto suggerisce di indicare su cosa la minaccia può avere impatti.

Ho trovato interessante la tabella 1, con esempi su come esplicitare la tolleranza al rischio (i "criteri di rischio" o "criteri di accettabilità del rischio" ad alto livello) e può suggerire alcune soluzioni a molti.

C'è una tabella 4 con una discussione sulle possibili distorsioni (bias) quando si valuta il rischio e anche questo l'ho trovato molto interessante.

Altre cose mi lasciano perplesso, ma vale comunque la pena buttarci un occhio.

Nessun commento:

Posta un commento