Sulla newsletter di Project:IN Avvocati vedo che ENISA ha pubblicato il
documenti "Interoperable EU Risk Management Toolbox":
-
https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox.
Non mi è piaciuto perché riprende l'approccio della ISO/IEC 27005:2018
(ricordo che è stata pubblicata la versione del 2022), ossia quello basato
su asset-minacce-vulnerabilità. Però questo approccio si ha unicamente
nell'ambito della sicurezza delle informazioni e fu inventato negli anni
Ottanta, quando l'informatica era completamente diversa da quella attuale (e
quando gli asset erano molto pochi). Oggi non ha senso pensare
all'interoperabilità di analisi basati su meccanismi vecchi e unici per una
certa materia.
Detto questo, trovo invece molto interessanti le appendici III - Toolbox
threat taxonomy (perché permette di verificare la completezza del proprio
approccio), IV - Toolbox impact scale (perché si può prendere come
riferimento per il proprio approccio; una scala per la probabilità di
accadimento è al paragrafo 2.3.1.4).
Segnalo infine che le scale per impatto e probabilità sono su 5 valori,
mentre si consiglia solitamente di prevedere un numero pari di valori, in
modo da evitare che venga scelto il valore di mezzo, che non darebbe
indicazioni utili.
Nessun commento:
Posta un commento