martedì 21 giugno 2022

Security Risk Assessment Tool del US HHS

Dal SANS Newsbite, segnalo questo strumento pubblicato dal Department of
Health and Human Services (HHS) Office for Civil Rights (OCR) and National
Coordinator for Health Information Technology (ONC) degli USA:
-
https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-asse
ssment-tool
.

Si può scaricare l'Excel e la questione risulta interessante perché non si
tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono
evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e
"vulnerabilità".

Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però
non viene calcolato considerando tutti e tre i parametri insieme.

Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di
"valutazione del rischio", ciascuno ha idee diverse su cosa si intende.

Nessun commento:

Posta un commento