Una strategia di sicurezza basata sul rischio è quella in cui un'organizzazione identifica precauzioni di sicurezza specifiche che dovrebbero essere prese in un ambiente di tecnologia dell'informazione (IT) e documenta quando e dove tali precauzioni dovrebbero essere applicate. Le strategie di sicurezza basate sul rischio aiutano le organizzazioni a identificare quali risorse digitali richiedono la massima protezione. Tre aree essenziali che un'azienda dovrebbe affrontare con una strategia di sicurezza basata sul rischio sono; quali sono le loro risorse di informazioni chiave, chi ha accesso a tali risorse / come sono protette e chi potrebbe voler rubare o danneggiare quelle risorse.
La sicurezza basata sul rischio dovrebbe essere pianificata attentamente e costantemente monitorata per garantire che le strategie supportino un approccio completo e approfondito alla sicurezza informatica. Le pratiche di sicurezza basate sul rischio più efficaci completano le altre strategie di gestione del rischio aziendale (ERM) dell'organizzazione.
Elementi della strategia di sicurezza basata sul rischio
Esistono cinque passaggi di base della strategia di sicurezza basata sul rischio che un'organizzazione dovrebbe seguire quando pratica la sicurezza basata sul rischio. Questi passaggi includono:
- Valutazione delle attività - In questa fase, un'organizzazione dovrebbe determinare quali e dove sono le sue risorse chiave e chi le possiede. Questo passaggio dovrebbe includere anche qualsiasi impatto aziendale e costi associati all'integrità o alla disponibilità di una risorsa compromessa valutata. L'obiettivo è garantire che le risorse più importanti per il funzionamento quotidiano di un'organizzazione abbiano un'elevata priorità.
- Identificazione delle minacce - L'organizzazione dovrebbe identificare gli attori malintenzionati che potrebbero voler rubare informazioni o danneggiare le risorse. Ciò include concorrenti, dipendenti arrabbiati o minacce non ostili come i lavoratori non addestrati. Altre potenziali minacce da tenere a mente includono disastri naturali come inondazioni o incendi. A ciascuna minaccia dovrebbe essere assegnato un livello di minaccia basato sulla sua probabilità che si verifichi.
- Identifica le vulnerabilità - Questo passaggio riguarda l'identificazione del potenziale software e delle vulnerabilità di rete. I test penna e gli strumenti di scansione automatizzata delle vulnerabilità possono aiutare in questo.
- Profilazione del rischio - Questo passaggio valuta la probabilità che una minaccia sfrutti una vulnerabilità. Le attività di profilazione valutano i presidi esistenti e misurano il rischio per asset specifici. L'obiettivo è assegnare a ciascuna risorsa il proprio punteggio di rischio.
- Trattamento del rischio - Questa fase ha comportato la decisione se tollerare, trattare o eliminare i rischi. È importante che ogni decisione sia documentata, con le motivazioni fornite per ogni scelta. I test di penetrazione dovrebbero essere utilizzati per simulare ogni minaccia e garantire la sicurezza di risorse specifiche. Questo processo dovrebbe essere ripetuto per ogni minaccia che è stata identificata.
Implementazione della strategia di sicurezza basata sul rischio
Sebbene l'implementazione della sicurezza basata sul rischio possa essere un'attività che richiede tempo, garantirà la sicurezza delle risorse informative e allineerà gli sforzi di sicurezza con gli obiettivi aziendali. Le discussioni tra professionisti della sicurezza e responsabili aziendali dovrebbero iniziare identificando le potenziali minacce e la probabilità che si verifichi una potenziale minaccia. Ciò consentirà alle parti interessate di iniziare ad assegnare i livelli di rischio a ciascuna minaccia e potenziale vulnerabilità.
Una volta completato questo lavoro, gli amministratori di rete possono rivedere i propri criteri di controllo degli accessi per verificare che l'organizzazione stia applicando il principio del privilegio minimo (PoLP). Una volta eseguito un audit dei controlli tecnici per garantire che tutto funzioni come previsto, è possibile avviare i test per simulare ciascuna minaccia.
Questo video spiega perché è importante ottenere supporto esecutivo durante l'implementazione di strategie di sicurezza basate sul rischio.