Dal SANS Newsbite, segnalo questo strumento pubblicato dal Department of
Health and Human Services (HHS) Office for Civil Rights (OCR) and National
Coordinator for Health Information Technology (ONC) degli USA:
-
https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment-tool.
Si può scaricare l'Excel e la questione risulta interessante perché non si
tratta di una vera e proprio valutazione del rischio, ma di due cose:
1- valutazione dei controlli di sicurezza; se non sono ottimali, sono
evidenziati per ulteriori riesami;
2- valutazione dell'impatto e della probabilità di alcuni eventi e
"vulnerabilità".
Controlli, eventi e vulnerabilità sono divisi in 7 famiglie. Il rischio però non viene calcolato considerando tutti e tre i parametri insieme.
Ecco quindi che ogni tanto mi viene il pensiero che, quando sento parlare di
"valutazione del rischio", ciascuno ha idee diverse su cosa si intende.
Nessun commento:
Posta un commento