mercoledì 26 agosto 2020

Valutazione del rischio dei fornitori: strumento del NIST

Il NIST ha recentemente pubblicato il documento NISTIR 8272 "Impact Analysis Tool for Interdependent Cyber Supply Chain Risks":
- https://csrc.nist.gov/publications/detail/nistir/8272/final.

Il documento è accompagnato da un applicativo per Windows, Mac OS e Linux.

Non sono riuscito ad approfondire molto l'approccio perché dovrei soprattutto avere modo di usare lo strumento. Ad una prima lettura mi sembra valido, anche se ho sempre molte riserve quando si tratta di "tool per la valutazione del rischio".

Penso però che possa essere significativo per realtà di grandi dimensioni, coinvolte in numerosi progetti IT o con molti prodotti IT da acquistare e dove l'investimento nell'analisi permette di allocare correttamente le risorse per controllare il rischio; per realtà di piccole o medie dimensioni, dove analisi complesse non forniscono informazioni significative, è sicuramente consigliabile un approccio molto più snello, visto che è più semplice vedere dove il rischio è più elevato e quindi dove investire più risorse per controllarlo.