Guida alla gestione dei rischi di protezione

Capitolo 4: Valutazione dei rischi

Pubblicato: 15/10/2004

In questa pagina

Cenni preliminari Pianificazione Raccolta dei dati facilitata Definizione delle priorità dei rischi Riepilogo

Cenni preliminari

Il processo di gestione dei rischi è costituito nel complesso da quattro fasi principali: valutazione dei rischi, supporto alle decisioni, implementazione dei controlli e misurazione dell'efficacia del programma. Il processo di gestione dei rischi mostra in che modo un programma formale possa fornire un percorso coerente per l'organizzazione di risorse limitate per la gestione dei rischi all'interno di un'organizzazione. I benefici si ottengono sviluppando un ambiente di controllo a costi ridotti che gestisce e misura i rischi a un livello accettabile.

La fase di valutazione dei rischi rappresenta un processo formale che ha lo scopo di identificare i rischi e definirne le priorità all'interno di un'organizzazione. Il processo di gestione dei rischi di protezione Microsoft fornisce istruzioni particolareggiate su come eseguire la valutazione dei rischi e suddivide la fase di valutazione dei rischi in tre attività:

1. Pianificazione —** **Definizione delle operazioni preliminari alla base di un efficace processo di valutazione dei rischi.

2. Raccolta dati facilitata — Raccolta delle informazioni sui rischi attraverso discussioni sull'argomento coordinate da un moderatore.

3. Definizione delle priorità dei rischi — Classificazione dei rischi identificati in un processo coerente e replicabile.

Il risultato della fase di valutazione dei rischi consiste in un elenco di rischi, con il relativo ordine di priorità, sul quale basare la fase successiva, descritta in dettaglio nel Capitolo 5, "Supporto alle decisioni".

Il seguente schema serve da riepilogo dell'intero processo di gestione dei rischi e mostra il ruolo della valutazione dei rischi nell'ambito del programma. Sono inoltre evidenziati i tre passaggi nei quali è suddivisa la fase di valutazione dei rischi.

Figura 4.1 Processo di gestione dei rischi di protezione Microsoft: fase di valutazione dei rischi

Questa sezione fornisce una breve panoramica sui tre passaggi in cui è suddivisa la fase di valutazione dei rischi: pianificazione, raccolta dei dati facilitata e definizione delle priorità dei rischi. Dopo questa sezione ne seguono altre che contengono la descrizione delle attività specifiche richieste per portare a termine la valutazione dei rischi in un ambiente reale.

Pianificazione

Un'adeguata pianificazione della valutazione dei rischi è fondamentale per il successo dell'intero programma di gestione dei rischi. La mancanza di un allineamento, di una definizione dell'ambito e dell'approvazione della fase di valutazione dei rischi compromette gravemente l'efficacia delle rimanenti fasi del programma. La valutazione dei rischi può risultare un processo complesso che richiede significativi investimenti per essere portato a termine. Le attività e le istruzioni fondamentali per la fase di pianificazione sono trattate nella sezione successiva di questo capitolo.

Raccolta dei dati facilitata

Al termine della pianificazione, il passaggio successivo prevede la raccolta delle informazioni relative ai rischi presso gli interessati dell'organizzazione. Tali informazioni verranno utilizzate anche nella fase di supporto alle decisioni. La raccolta dei dati facilitata consente di recuperare le seguenti informazioni:

• Beni dell'organizzazione — Qualsiasi elemento che riveste valore per l'azienda.

• Descrizione dei beni — Breve descrizione di ciascun bene, del relativo valore e della titolarità per semplificarne l'identificazione generale durante la fase di valutazione dei rischi.

• Pericoli relativi alla protezione — Cause o eventi che possono compromettere un bene, rappresentati da perdita della riservatezza, dell'integrità o della disponibilità del bene.

• Vulnerabilità — Punti deboli o assenza di controlli che possono essere sfruttati per compromettere un bene.

• Ambiente di controllo attuale — Descrizione dei controlli operati attualmente all'interno dell'organizzazione e della relativa efficacia.

• Controlli proposti — Idee generali per la riduzione dei rischi.

La raccolta dei dati facilitata rappresenta la parte più consistente della collaborazione e dell'interazione tra i gruppi durante la fase di valutazione dei rischi. La terza sezione di questo capitolo descrive dettagliatamente le attività e le procedure per la raccolta dei dati.

Definizione delle priorità dei rischi

Durante la raccolta dei dati facilitata, il Team di gestione dei rischi di protezione inizia la classificazione delle informazioni recuperate per definire le priorità dei rischi. La fase di definizione delle priorità dei rischi è la prima a richiedere un certo grado di soggettività. La definizione delle priorità, infatti, è un processo soggettivo in quanto comporta, essenzialmente, la capacità di prevedere il futuro. Poiché sui risultati della valutazione dei rischi si basano i futuri investimenti in risorse informatiche, determinare un processo trasparente con ruoli e responsabilità definiti è fondamentale per ottenere l'approvazione dei risultati e motivare l'adozione di misure per la riduzione dei rischi. Il processo di gestione dei rischi di protezione Microsoft fornisce le istruzioni per identificare i rischi e definirne le priorità in modo coerente e replicabile. Un approccio di tipo aperto e riproducibile consente al Team di gestione dei rischi di protezione di ottenere un rapido consenso, riducendo al minimo i potenziali ritardi causati dalla natura soggettiva dell'attività di definizione delle priorità. La quarta sezione di questo capitolo descrive dettagliatamente le attività e le procedure per la definizione delle priorità.

Elementi richiesti per la fase di valutazione dei rischi

Ciascun passaggio della fase di valutazione dei rischi contiene un elenco specifico di attività da eseguire e dei relativi elementi costitutivi. La fase stessa richiede solidi presupposti in opposizione a elementi specifici. Come descritto nel Capitolo 1, la fase di valutazione dei rischi richiede una leadership che si manifesta nella forma di supporto della dirigenza, approvazione degli interessati e ruoli e responsabilità ben definiti. Le sezioni indicate di seguito trattano dettagliatamente questi argomenti.

Partecipanti alla fase di valutazione dei rischi

La valutazione dei rischi richiede l'interazione tra i gruppi e l'assunzione di responsabilità da parte dei diversi interessati per le attività condotte nel corso del processo. Un'efficace procedura per ridurre la confusione di ruoli nel corso del processo consiste nel comunicare le verifiche e i bilanci correlati ai ruoli e alle responsabilità dei soggetti che partecipano alla gestione dei rischi. Durante la valutazione, è necessario comunicare il ruolo svolto dalle persone interessate e rassicurare queste ultime che il Team di gestione dei rischi di protezione agirà esclusivamente nell'ambito ad esso riservato. La seguente tabella contiene un riepilogo dei ruoli e delle responsabilità principali per le persone interessate in questa fase del processo di gestione dei rischi.

Tabella 4.1: Ruoli e responsabilità nel programma di gestione dei rischi

Ruolo	Responsabilità
Titolare dell'azienda	Stabilisce il valore dei beni aziendali
Gruppo protezione informatica	Determina l'impatto potenziale sui beni aziendali
IT - Progettazione	Progetta le soluzioni tecniche e calcola i costi di progettazione
IT - Operazioni	Progetta i componenti operativi della soluzione e calcola i costi operativi

I controlli e i bilanci tattici correlati diventeranno evidenti nelle seguenti sezioni che analizzano più da vicino i passaggi di pianificazione, raccolta dei dati facilitata e definizione delle priorità dei rischi della fase di valutazione dei rischi. #### Strumenti disponibili per la fase di valutazione dei rischi Durante il processo di valutazione dei rischi vengono raccolti i dati sui rischi, che verranno utilizzati per definirne le priorità. Per portare a termine questa fase, vengono forniti tre strumenti. Gli strumenti sono contenuti nella cartella Strumenti e modelli creata durante la decompressione dell'archivio contenente questa guida e i relativi file. - **Modello per la raccolta dati** (SRMGTool1-Data Gathering Tool.doc). Questo modello è utile per facilitare le discussioni in cui vengono raccolte le informazioni sui rischi. - **Modelli per la definizione delle priorità dei rischi** (GGRPStrumento2-Livello rischi sommario.xls e GGRPStrumento3-Priorità rischi livello dettagliato.xls). Modelli Microsoft® Excel che semplificano la definizione delle priorità dei rischi. - **Programmazione di esempio** (SRMGTool4-Sample Project Schedule.xls). Questo esempio può essere consultato per la pianificazione delle attività richieste in questa fase. Puoi trovare ulteriori informazioni utili nell’appendice B: Beni del sistema informatico più diffusi #### Risultato richiesto per la fase di valutazione dei rischi Il risultato della fase di valutazione dei rischi consiste in un elenco di rischi, ordinati in base alla priorità, che include una classificazione qualitativa e stime quantitative da utilizzare nella fase di supporto alle decisioni, descritta nel capitolo successivo. [](#mainsection)[Inizio pagina](#mainsection) ### Pianificazione La fase di pianificazione è, verosimilmente, la più importante per assicurarsi l'approvazione e il sostegno degli interessati durante l'intero processo di valutazione dei rischi. L'approvazione degli interessati è fondamentale, poiché il Team di gestione dei rischi di protezione necessita della loro attiva partecipazione. Il sostegno è altrettanto importante in quanto i risultati della valutazione possono influenzare le attività di definizione del budget degli interessati, nel caso in cui siano richiesti nuovi controlli per la riduzione dei rischi. Le attività principali della fase di pianificazione sono un adeguato allineamento della fase di valutazione dei rischi ai processi aziendali, un'adeguata definizione dell'ambito della valutazione e l'approvazione delle persone interessate. La sezione seguente esamina più dettagliatamente queste tre attività e descrive i fattori che ne determinano il successo. #### Allineamento È opportuno iniziare la fase di valutazione dei rischi prima del processo di definizione del budget aziendale. L'allineamento consente di ottenere più facilmente il sostegno della dirigenza e aumenta la visibilità all'interno dell'organizzazione e dei gruppi IT, durante lo sviluppo dei budget per l'anno fiscale successivo. Anche un'appropriata definizione dei tempi di attuazione contribuisce a ottenere il consenso durante la valutazione poiché permette agli interessati di partecipare attivamente al processo di pianificazione. Il Gruppo protezione informatica è spesso considerato un team reattivo che interrompe l'attività dell'organizzazione informando all'improvviso le unità aziendali di mancati controlli o interruzioni del lavoro. Una definizione ponderata dei tempi della valutazione è essenziale per ottenere sostegno e contribuire alla consapevolezza che la protezione dell'organizzazione è una responsabilità comune e inderogabile. Un altro vantaggio di eseguire una valutazione dei rischi consiste nel dimostrare che il Gruppo protezione informatica può essere considerato un partner proattivo anziché solo un team addetto all'implementazione di criteri durante le emergenze. Questa guida contiene un esempio di definizione dei tempi di un progetto, allo scopo di allineare il processo di valutazione dei rischi all'organizzazione. Naturalmente, il Team di gestione dei rischi di protezione non deve tenere per sé le informazioni sui rischi in attesa che venga completato il ciclo di definizione dei budget. L'allineamento dei tempi della valutazione è solo una procedura derivata dall'esperienza dei reparti IT Microsoft nel condurre i processi di valutazione. **Nota:** un adeguato allineamento del processo di gestione dei rischi al ciclo di pianificazione dei budget può contribuire positivamente alle attività di controllo interne o esterne. Tuttavia, il coordinamento e la definizione dell'ambito per le attività di controllo sono argomenti che non rientrano nelle finalità di questa guida.   #### Definizione dell'ambito Durante le attività di pianificazione, è necessario definire in modo chiaro l'ambito della valutazione dei rischi. Per un'efficace gestione dei rischi all'interno dell'organizzazione, l'ambito della valutazione dei rischi deve documentare tutte le funzioni dell'organizzazione incluse nella valutazione. Se le dimensioni dell'organizzazione non consentono una valutazione dei rischi a livello aziendale, indicare chiaramente l'area dell'organizzazione da includere nell'ambito di applicazione e definire le relative persone interessate. Come discusso nel Capitolo 2, per le organizzazioni che eseguono per la prima volta programmi di gestione dei rischi è consigliabile iniziare a esercitarsi con il processo di valutazione dei rischi nelle unità aziendali meglio conosciute. Ad esempio, selezionando un'applicazione specifica per le risorse umane o l'assistenza IT, ad esempio l'accesso remoto, si contribuisce a dimostrare il valore del processo e a creare interesse per una valutazione dei rischi condotta a livello aziendale. **Nota:** in molti casi le organizzazioni non definiscono in modo preciso l'ambito della valutazione dei rischi. Prima di proseguire nel processo, le aree dell'organizzazione da valutare devono essere chiaramente identificate ed è necessario ottenere l'approvazione della dirigenza. L'ambito di applicazione deve essere discusso più volte e compreso in tutte le riunioni con le persone interessate che si svolgono durante il processo. Anche nella fase di pianificazione è necessario definire l'ambito di applicazione della valutazione dei rischi. Nel settore che si occupa della protezione informatica il termine "valutazione" viene utilizzato in modi diversi e ciò può creare confusione per le persone interessate non in possesso di competenze tecniche. Le valutazioni delle vulnerabilità, ad esempio, vengono eseguite per identificare i punti deboli di una configurazione o di un'operazione da un punto di vista tecnologico. Il termine valutazione della conformità può essere utilizzato per indicare un controllo o una misurazione dei controlli esistenti rispetto a criteri formali. Il processo di gestione dei rischi di protezione Microsoft definisce la valutazione dei rischi come *il processo che identifica e definisce le priorità dei rischi per la protezione delle risorse informatiche di un'organizzazione*. Questa definizione può essere adattata in base alle esigenze delle singole organizzazioni. Ad esempio, alcuni Team di gestione dei rischi di protezione possono includere la sicurezza personale nell'ambito della valutazione dei rischi. #### Approvazione delle persone interessate La valutazione dei rischi richiede la partecipazione attiva degli interessati. La procedura consigliata è una collaborazione informale con gli interessati per assicurare la comprensione dell'importanza della valutazione, dei ruoli di ciascuno e dell'impegno, in termini di tempo, richiesto. Qualsiasi moderatore esperto in processi di valutazione dei rischi dirà che esiste una differenza tra l'approvazione del progetto e l'approvazione dei tempi e delle priorità del progetto da parte delle persone interessate. Per ottenere il sostegno di queste persone, è opportuno presentare anticipatamente le strategie e le attività relative alla valutazione dei rischi da eseguire. La presentazione anticipata può comprendere una riunione informale con gli interessati prima della richiesta di un impegno formale. Sottolineare l'importanza a lungo termine di una valutazione proattiva per gli interessati identificando i controlli che possono evitare l'interruzione delle future attività di protezione. Riportare come esempi gli incidenti precedenti relativi alla sicurezza in quanto rappresentano un modo efficace per ricordare agli interessati l'impatto potenziale sull'organizzazione. **Nota:** per facilitare la comprensione del processo da parte di queste persone coinvolte, preparare un breve riepilogo in cui vengono indicate la giustificazione e l'importanza della valutazione. Comunicare il riepilogo al maggior numero di persone possibile. L'efficacia di questo metodo sarà evidente quando le persone interessate cominceranno a discutere della valutazione tra loro. Il riepilogo generale proposto in questa guida fornisce un valido punto di partenza per comunicare l'importanza del processo di valutazione dei rischi. #### Preparazione al successo: fissare gli obiettivi Fissare obiettivi appropriati evitando le esagerazioni. Fissare obiettivi ragionevolmente raggiungibili è essenziale per la riuscita della valutazione dei rischi, poiché il processo richiede un notevole contributo da parte di gruppi diversi che devono rappresentare, preferibilmente, l'intera organizzazione. Inoltre, i partecipanti devono accettare e comprendere i fattori per il successo dei rispettivi ruoli e del processo in generale. Se anche uno solo dei gruppi coinvolti non dimostra consapevolezza o partecipazione attiva, l'efficacia dell'intero programma potrebbe venire compromessa. Quando si costruisce il consenso nel corso della pianificazione, delineare gli obiettivi rispetto ai ruoli, alle responsabilità e al livello di partecipazione richiesto degli altri interessati. È inoltre opportuno comunicare le difficoltà che la valutazione prospetta. Ad esempio, descrivere in modo chiaro i processi di identificazione dei rischi e di definizione delle priorità per evitare possibili malintesi. #### Considerazione della soggettività I titolari delle aziende diventano talvolta nervosi se un gruppo esterno (in questo caso il Gruppo protezione informatica) prospetta possibili rischi per la sicurezza che potrebbero influenzare negativamente le priorità fiscali. È possibile stemperare questa naturale tensione definendo le aspettative riguardanti gli obiettivi del processo di valutazione dei rischi e assicurare gli interessati che i ruoli e le responsabilità verranno rispettati nel corso del processo. In particolare, il Gruppo protezione informatica deve riconoscere che è il titolare dell'azienda a definire il valore dei beni aziendali. Questo significa anche che le persone interessate devono affidarsi all'esperienza del Gruppo protezione informatica per la valutazione della probabilità che esistano pericoli per l'organizzazione. Prevedere il futuro è un'attività estremamente soggettiva. I titolari delle aziende devono accettare il fatto che il Gruppo protezione informatica utilizzerà la propria personale esperienza per valutare le probabilità di rischio. Definire fin dall'inizio queste relazioni e mostrare le credenziali, le competenze e gli obiettivi comuni del Gruppo protezione informatica e dei titolari delle aziende. Al termine della fase di pianificazione, definendo ruoli e responsabilità e fissando gli obiettivi appropriati, si saranno predisposte le basi per iniziare le fasi di attuazione del processo di valutazione dei rischi: la raccolta dei dati facilitata e la definizione delle priorità dei rischi. Le prossime due sezioni trattano in dettaglio queste fasi prima di passare al Capitolo 5 in cui verrà descritta la fase di supporto alle decisioni. [](#mainsection)[Inizio pagina](#mainsection) ### Raccolta dei dati facilitata La sezione introduttiva di questo capitolo include una panoramica del processo di valutazione dei rischi, che comprende tre attività principali: pianificazione, raccolta dei dati facilitata e definizione delle priorità dei rischi. Una volta completate le attività di pianificazione, si procede alla raccolta dei dati relativi alla protezione presso le persone interessate dell'organizzazione. Queste informazioni vengono utilizzate per identificare i rischi e definirne le priorità. Questa sezione è suddivisa in tre parti. La prima descrive in dettaglio il processo di raccolta dei dati concentrandosi sui fattori per il successo della raccolta delle informazioni sui rischi. La seconda parte spiega le procedure dettagliate di raccolta dei dati sui rischi attraverso riunioni coordinate da un moderatore con le persone interessate con o senza competenze tecniche. La terza parte descrive le procedure per raggruppare i dati raccolti in un insieme di dichiarazioni di impatto, come descritto nel Capitolo 3. Per concludere il processo di valutazione dei rischi, l'elenco di dichiarazioni di impatto fornisce le indicazioni per il processo di definizione delle priorità, descritto nella sezione successiva. #### Procedure consigliate per la raccolta dei dati È lecito chiedersi quale sia il vantaggio di rivolgere a persone prive di esperienza tecnica nel campo della sicurezza domande precise sui rischi legati alle risorse informatiche. Le valutazioni dei rischi condotte nei reparti IT Microsoft dimostrano l'enorme importanza di richiedere il parere degli interessati con o senza competenze tecniche riguardo ai rischi per i beni aziendali di cui sono responsabili. I professionisti del campo della protezione informatica devono inoltre acquisire una conoscenza dettagliata delle difficoltà da parte degli interessati di tradurre le informazioni sui rispettivi ambienti in rischi classificati per priorità. Le riunioni a scopo di collaborazione con gli interessati aiutano questi ultimi a comprendere i rischi in modo che sia per loro possibile identificarli e valutarli. Inoltre, le persone coinvolte controllano o influenzano le spese destinate alle risorse IT. Se non comprendono l'impatto potenziale per l'organizzazione, il processo di allocazione delle risorse diventa notevolmente più complicato. I titolari delle aziende, inoltre, modellano la cultura aziendale e influenzano il comportamento degli utenti. Può trattarsi di uno strumento estremamente efficace nella gestione dei rischi. Quando vengono individuati dei rischi, il Gruppo protezione informatica chiede il sostegno degli interessati in termini di allocazione delle risorse e approvazione dell'identificazione e della definizione delle priorità relative ai rischi. I gruppi per la protezione informatica che non dispongono di un programma proattivo per la gestione dei rischi possono ricorrere alla paura come strumento di convincimento nei confronti dell'organizzazione. Tuttavia, si tratta di una strategia a breve termine poco efficace. Il Gruppo protezione informatica deve ottenere il sostegno dell'organizzazione se il programma di gestione dei rischi deve essere applicato a lungo termine. Il primo passo per ottenere tale consenso è organizzare un incontro diretto con le persone interessate. ##### Come ottenere il sostegno I titolari delle aziende hanno ruoli ben definiti nell'ambito del processo di valutazione dei rischi. Sono infatti responsabili dell'identificazione dei beni della propria azienda e della valutazione dei costi delle potenziali conseguenze a cui tali beni sono soggetti. La formalizzazione di tale responsabilità consente di dividere il successo del programma di gestione dei rischi in parti uguali tra il Gruppo protezione informatica e i titolari delle aziende. La maggior parte dei professionisti del campo della protezione informatica e degli interessati che non possiedono competenze tecniche non individuano immediatamente questa relazione. In qualità di esperti nella gestione dei rischi, i professionisti di protezione informatica devono assumersi l'iniziativa di colmare il divario di conoscenze durante le discussioni sui rischi. Come citato nel capitolo precedente, per agevolare la creazione di questa relazione, è utile avvalersi di un promotore all'interno della dirigenza. ##### Discussioni e interrogazioni Numerose tecniche di gestione dei rischi richiedono che il Gruppo protezione informatica rivolga agli interessati domande esplicite, classificando quindi le risposte. Un esempio di domanda che è possibile rivolgere è la seguente: "Potrebbe descrivermi quali criteri adotta per garantire un'appropriata segmentazione degli incarichi?" oppure "Quale processo segue per analizzare i criteri e le procedure utilizzati?". È opportuno tenere in considerazione il tono dell'incontro e a chi si rivolge. Una valida regola è prediligere le domande che hanno una finalità chiara per favorire discussioni collaborative tra le due parti. In questo modo è anche possibile per gli interessati trasmettere l'effettivo significato delle risposte e non limitarsi a cercare di comunicare al moderatore per la valutazione dei rischi le informazioni che questi si aspetta. La finalità di una discussione sui rischi è analizzare l'organizzazione e i potenziali rischi per la protezione e non eseguire un controllo dei criteri già documentati. Benché il contributo degli interessati senza competenze tecniche sia prezioso, non è generalmente sufficiente. Il Team di gestione dei rischi di protezione, che opera in modo indipendente dal titolare dell'azienda, deve comunque eseguire ricerche, identificare e tenere in considerazione tutti i rischi per ciascun bene. ##### Come ottenere la collaborazione La protezione informatica è una funzione aziendale difficile poiché il compito di ridurre i rischi viene spesso interpretato come una riduzione della praticità d'uso o della produttività dei dipendenti. Le discussioni coordinate da un moderatore possono servire per ottenere la collaborazione delle persone interessate. Le normative, le questioni relative alla riservatezza, la pressione dei concorrenti e la maggiore consapevolezza dei consumatori hanno portato i dirigenti e i responsabili dei processi decisionali aziendali a riconoscere che la sicurezza è una componente aziendale di fondamentale importanza. È necessario dimostrare agli interessati l'importanza della gestione dei rischi e dei ruoli di ciascuno nell'ambito dell'intero programma. In alcuni casi, la creazione di relazioni tra il gruppo per la protezione delle informazioni e gli interessati risulta più produttiva dei dati veri e propri raccolti durante gli incontri. Si tratta di un risultato minore e tuttavia importante nel processo di gestione dei rischi nel suo complesso. #### Preparazione delle discussioni sui rischi Prima di iniziare una discussione sui rischi, il Team di gestione dei rischi di protezione deve dedicare il tempo necessario alla ricerca e all'identificazione di ciascun elemento da includere nella discussione. Le informazioni riportate di seguito descrivono le procedure più efficaci da seguire e definiscono, in modo più esauriente, ciascun elemento richiesto per la determinazione dei rischi in preparazione delle discussioni con gli interessati. ##### Identificazione dei suggerimenti per la valutazione dei rischi Il team addetto alla valutazione dei rischi deve effettuare un'adeguata preparazione in vista dell'incontro con gli interessati. In questo modo l'azione del team è più efficace e le discussioni risultano più produttive se il team possiede una conoscenza adeguata dell'organizzazione, dell'ambiente tecnico e delle attività di valutazione condotte in passato. Il seguente elenco può essere utilizzato per la raccolta di dati che servono da punto di partenza per il processo di valutazione dei rischi. - **Nuovi elementi aziendali** — Richiamare le informazioni sulle priorità aziendali o su eventuali cambiamenti intervenuti dopo l'ultima valutazione. Prestare attenzione, in particolare, ad eventuali fusioni e acquisizioni. - **Valutazione dei rischi precedenti** — Riesaminare le passate valutazioni, utili come punto di riferimento. Il team addetto alla valutazione dei rischi può dover adattare la nuova valutazione al lavoro svolto in precedenza. - **Controlli** — Raccogliere i rapporti di controllo disponibili che rientrano nell'ambito di applicazione della valutazione dei rischi. I risultati dei controlli devono essere tenuti in considerazione nella valutazione e durante la scelta delle nuove soluzioni di controllo. - **Incidenti alla sicurezza** — Gli incidenti avvenuti sono utili per identificare i beni più importanti, comprendere il valore dei beni e individuare le vulnerabilità più diffuse e i difetti nelle procedure di controllo. - **Eventi settoriali** — Identificare le nuove tendenze all'interno dell'organizzazione e le influenze esterne. Norme statali, leggi e attività internazionali possono incidere notevolmente sull'atteggiamento da adottare verso i rischi di protezione. L'identificazione di nuove tendenze può richiedere un notevole sforzo in termini di ricerca e valutazione da parte dell'organizzazione. Può essere utile assegnare a personale dedicato il compito di eseguire questa analisi nel corso dell'anno. - **Comunicati  —  **Riesaminare i problemi noti relativi alla sicurezza identificati sul Web attraverso newsgroup e comunicando direttamente con i produttori software. - **Indicazioni per la protezione informatica** — Eseguire ricerche per determinare la disponibilità di nuove tendenze, nuovi strumenti o nuove tecniche per la gestione dei rischi. È possibile utilizzare gli standard del settore per ottimizzare o giustificare il processo di valutazione dei rischi o per identificare nuove strategie di controllo. Gli standard internazionali rappresentano un altro punto di riferimento fondamentale. In questa guida vengono trattati concetti relativi a numerosi standard, ad esempio l'ISO (International Standards Organization) 17799. Un'attenta valutazione e applicazione degli standard consente di utilizzare il lavoro di altri professionisti e offrire un certo grado di credibilità agli interessati dell'organizzazione. Può essere utile fare riferimento a standard specifici durante le discussioni sui rischi per garantire che la valutazione copra tutte le aree applicabili di protezione delle informazioni. #### Identificazione e classificazione dei beni L'ambito di applicazione della valutazione dei rischi definisce le aree dell'organizzazione da esaminare nelle discussioni per la raccolta dei dati. Per avviare le discussioni sui rischi, è necessario identificare i beni aziendali che rientrano in questo ambito. I beni vengono definiti come tutti gli elementi che rivestono un valore per l'organizzazione. I beni possono essere non tangibili, ad esempio la reputazione dell'azienda e le informazioni digitali, e tangibili, ad esempio l'infrastruttura fisica. L'approccio più efficace consiste nel definire i beni aziendali, ad esempio le informazioni sugli account in un'applicazione per la gestione della clientela, con il massimo grado di specificità. Durante la definizione dei beni non è necessario discutere delle dichiarazioni di impatto. Le dichiarazioni di impatto definiscono le perdite o i danni potenziali per l'organizzazione. Un esempio di dichiarazione di impatto può essere la disponibilità di dati sugli account in un'applicazione per la gestione della clientela. Le dichiarazioni di impatto verranno trattate più approfonditamente in seguito, durante la discussione sui rischi. Tenere presente che ciascun bene può includere probabilità di impatto diverse identificate durante la discussione. Durante l'identificazione dei beni, è necessario anche identificare o confermare il titolare di ciascun bene. L'identificazione della persona o del gruppo responsabile di un bene risulta spesso più difficile di quanto possa apparire. Nel corso delle discussioni sui rischi coordinate da un moderatore, documentare i titolari di beni specifici. Queste informazioni possono essere utili durante il processo di definizione delle priorità per confermare le informazioni e comunicare i rischi direttamente al responsabile del bene. Per semplificare la classificazione dei beni è possibile raggrupparli in scenari aziendali, ad esempio, transazioni bancarie online e sviluppo di codice sorgente. Quando si collabora con persone interessate non in possesso di competenze tecniche, iniziare la discussione sui beni delineando gli scenari aziendali. Successivamente, documentare i beni specifici all'interno di ogni scenario. Una volta identificati i beni, l'altra responsabilità del titolare dell'azienda è di classificare ciascun bene in termini di impatto potenziale sull'organizzazione. La classificazione dei beni è una componente chiave della determinazione complessiva dei rischi. Le sezione riportata di seguito fornisce utili indicazioni per tale processo. ##### Beni I beni aziendali possono essere tangibili o non tangibili. È necessario definire ciascun tipo di bene nel modo appropriato per consentire ai titolari delle aziende di determinare il valore dei beni per l'organizzazione. Entrambe le categorie di beni richiedono che gli interessati forniscano una valutazione indicando la perdita finanziaria diretta e l'impatto finanziario indiretto. I beni tangibili includono l'infrastruttura fisica, ad esempio i centri dati, i server e la proprietà. I beni non tangibili includono i dati o altre informazioni digitali che rivestono un valore per l'organizzazione, ad esempio le transazioni bancarie, i calcoli degli interessi, nonché i piani di sviluppo e le specifiche dei prodotti. In base alle esigenze dell'organizzazione, può essere utile una terza definizione dei beni del servizio IT. Il servizio IT include beni tangibili e non tangibili. Ad esempio, un servizio IT di posta elettronica aziendale comprende server fisici e utilizza una rete fisica. Tuttavia, il servizio può contenere dati riservati in formato digitale. Anche il servizio IT deve essere considerato un bene poiché ad esso sono generalmente associati titolari diversi per i dati e i beni fisici. Il titolare del servizio di posta elettronica, ad esempio, è responsabile della disponibilità dell'accesso al servizio e dell'invio dei messaggi. Tuttavia, il servizio di posta elettronica non può essere responsabile della riservatezza dei dati finanziari contenuti nei messaggi o dei controlli fisici ai server di posta utilizzati. Ulteriori esempi di servizi IT includono la condivisione di file, la memorizzazione, il collegamento in rete, l'accesso remoto e la telefonia. ##### Classi di beni I beni che rientrano nell'ambito di applicazione della valutazione devono essere assegnati a un gruppo qualitativo o classe. La suddivisione in classi semplifica la definizione delle probabilità di impatto complessive dei rischi di protezione. Inoltre, le classi consentono all'organizzazione di dedicare la massima attenzione ai beni considerati critici. Modelli di valutazione dei rischi diversi definiscono classi di beni diverse. Il processo di gestione dei rischi di protezione Microsoft utilizza tre classi di beni per misurare il valore di un bene per l'organizzazione. Perché solo tre classi? Questo tipo di raggruppamento consente un'adeguata diversificazione e riduce il tempo richiesto per discutere e scegliere la designazione della classe appropriata. Il processo di gestione dei rischi di protezione Microsoft definisce le seguenti tre classi qualitative di beni: ad alto impatto aziendale, a medio impatto aziendale e a basso impatto aziendale. Durante la fase di definizione delle priorità dei rischi, questo processo fornisce anche le indicazioni per quantificare i beni. In base alle esigenze dell'organizzazione, è possibile scegliere di quantificare i beni durante le discussioni sui rischi coordinate da un moderatore. In questo caso, tenere presente il tempo necessario per ottenere l'approvazione per la quantificazione dei valori finanziari durante la discussione sui rischi. Il processo consiglia di attendere fino a quando non vengono identificati tutti i rischi e definite le rispettive priorità per ridurre il numero di rischi che richiedono ulteriore analisi. **Nota:** per ulteriori informazioni sulla definizione e la classificazione delle informazioni e dei sistemi di informazioni, fare riferimento alla pubblicazione speciale 800-60 del National Institute of Standards and Technology (NIST) intitolata "Mapping Types of Information and Information Systems to Security Categories" e alla pubblicazione 199 del Federal Information Processing Standards (FIPS), "Security Categorization of Federal Information and Information Systems". ###### Alto impatto aziendale L'impatto sulla riservatezza, l'integrità o la disponibilità di questi beni causa perdite gravi o irreversibili all'organizzazione. L'impatto può essere espresso in termini puramente finanziari o può riflettere una perdita indiretta o l'appropriazione indebita di strumenti finanziari, la produttività dell'organizzazione, danni alla reputazione o gravi responsabilità legali e di conformità alle normative. L'elenco riportato di seguito contiene alcuni esempi di beni appartenenti alla classe Alto impatto aziendale: - **Credenziali di autenticazione** — Ad esempio password, chiavi crittografiche private e token hardware. - **Materiale aziendale riservato** — Ad esempio dati finanziari e proprietà intellettuale. - **Beni soggetti a specifici requisiti normativi** — Ad esempio leggi sui dati finanziari, previdenziali, di sicurezza delle informazioni e direttiva UE sulla protezione dei dati. - **Dati personali** — Qualsiasi informazione che può consentire a un pirata informatico di identificare i clienti e i dipendenti di un'azienda o venire a conoscenza delle relative caratteristiche personali. - **Dati per l'autorizzazione di transazioni finanziarie** — Ad esempio numero e data di scadenza di carte di credito. - **Profili finanziari** — Ad esempio rapporti sul credito dei clienti o dichiarazioni dei redditi individuali. - **Profili medici** — Ad esempio numeri di cartelle cliniche o identificatori biometrici. Per proteggere la riservatezza dei beni di questa classe, l'accesso è riservato a scopo organizzativo limitato o per finalità di tipo "necessità di sapere". Il numero di utenti che hanno accesso a questi dati deve essere esplicitamente gestito dal titolare del bene. Un'opportuna considerazione deve essere riservata all'integrità e alla disponibilità dei beni inclusi in questa classe. ###### Medio impatto aziendale L'impatto sulla riservatezza, l'integrità o la disponibilità di questi beni causa perdite di media gravità all'organizzazione. Perdite di media entità che non producono un impatto grave o irreversibile ma interrompono le normali funzioni dell'organizzazione determinando la necessità di controlli proattivi per ridurre al minimo l'impatto all'interno della classe. L'impatto può essere espresso in termini puramente finanziari o può riflettere una perdita indiretta o l'appropriazione indebita di strumenti finanziari, la produttività aziendale, danni alla reputazione o gravi responsabilità legali e di conformità alle normative. L'uso di questi beni è riservato a gruppi specifici di dipendenti e/o a personale autorizzato esterno all'azienda con legittime esigenze aziendali. Di seguito sono riportati esempi di beni appartenenti alla classe Medio impatto aziendale: - **Informazioni aziendali interne** — Elenchi di dipendenti, dati di ordini di acquisto, progetti dell'infrastruttura di rete, informazioni contenute in siti Web interni e dati in condivisioni di file per esclusivo uso aziendale interno. ###### Basso impatto aziendale I beni che non sono inclusi nelle classi di alto o medio impatto vengono classificati come a basso impatto aziendale e non richiedono misure di protezione formali o controlli aggiuntivi oltre a quelli delle procedure standard per la protezione dell'infrastruttura. Questi beni vengono generalmente diffusi pubblicamente nei casi in cui la divulgazione non autorizzata non comporterebbe significative perdite finanziarie o problemi legali o di conformità alle normative, interruzione delle attività o svantaggi competitivi rilevanti. Esempi di beni a basso impatto aziendale includono, senza limitazioni: - Struttura organizzativa ad alto livello. - Informazioni di base sulla piattaforma operativa IT. - Accesso in lettura a pagine Web pubbliche. - Chiavi crittografiche pubbliche. - Comunicati stampa, brochure di prodotti e white paper già pubblicati e documentazione acclusa a prodotti distribuiti. - Informazioni aziendali o beni tangibili obsoleti. #### Organizzazione delle informazioni sui rischi Ai rischi sono associati numerosi componenti relativi a beni, pericoli, vulnerabilità e controlli. Il moderatore per la valutazione dei rischi deve essere in grado di determinare quale componente del rischio viene discusso senza interrompere il flusso della conversazione. Per semplificare l'organizzazione della discussione, fare riferimento al modello di discussione sui rischi (GGRPStrumento1-Strumento per la raccolta dati.doc) incluso nella sezione Strumenti che consente ai partecipanti di identificare i componenti associati a un rischio. Il modello consente inoltre all'incaricato della redazione del verbale sulla valutazione dei rischi di registrare in modo uniforme le informazioni sui rischi presentate nei diversi incontri. Il modello può essere compilato seguendo un ordine qualsiasi. Tuttavia, in base all'esperienza, è consigliabile attenersi alla sequenza generata dalle seguenti domande che consentono ai partecipanti alla discussione di comprendere i componenti dei rischi e acquisire nuove informazioni: - Quale bene si sta proteggendo? - Quale valore riveste il bene per l'organizzazione? - Da quale pericolo si sta tentando di proteggere il bene (pericoli noti e potenziali)? - In che modo potrebbero verificarsi perdite o esposizione a rischi? - Qual è la portata della potenziale esposizione al rischio per il bene? - Quali sono le misure attualmente adottate per ridurre la probabilità o la portata dei danni al bene? - Quali misure potrebbero essere ancora adottate per ridurre ulteriormente questa probabilità in futuro? Le domande sopra riportate vengono tradotte dall'esperto in protezione informatica in termini e categorie specifici per la valutazione dei rischi da utilizzare per definire le priorità dei rischi. Tuttavia, gli interessati potrebbero non avere familiarità con questi termini e non sono responsabili di definire le priorità dei rischi. L'esperienza insegna che evitando l'uso di termini specialistici sulla protezione informatica, come pericoli, vulnerabilità e contromisure, si migliora la qualità della discussione e si aiutano i partecipanti senza competenze tecniche a non sentirsi a disagio. Un altro vantaggio dell'uso di termini funzionali per discutere i rischi è quello di ridurre la possibilità che altri tecnici intervengano sui dettagli di termini specifici. In questa fase del processo, è molto più importante identificare le aree generali di rischio anziché discutere delle diverse definizioni di pericolo e vulnerabilità. Il moderatore per la valutazione dei rischi deve attendere la fine della discussione per risolvere eventuali dispute sulle definizioni e la terminologia relative ai rischi. ##### Organizzazione in base al modello di difesa a più livelli L'incaricato del verbale e il moderatore della valutazione dei rischi raccolgono una notevole quantità di dati. Il modello di difesa a più livelli consente di organizzare in modo più efficace le discussioni relative a tutti gli elementi di rischio. Questa organizzazione fornisce una struttura e agevola il processo di raccolta delle informazioni a livello aziendale da parte del Team di gestione dei rischi di protezione. Un esempio di struttura di difesa a più livelli è incluso nel modello di discussione sui rischi ed è illustrato nella Figura 4.2 riportata di seguito. La sezione intitolata "Organizzazione delle soluzioni di controllo" del Capitolo 6, "Implementazione delle soluzioni di controllo e misurazione dell'efficacia del programma", contiene una descrizione più dettagliata del modello di difesa a più livelli. .gif "Figura 4.2 Modello di difesa a più livelli") **Figura 4.2 Modello di difesa a più livelli** Un altro utile strumento che integra il modello di difesa a più livelli è il riferimento allo standard ISO 17799 per l'organizzazione delle domande e delle risposte relative ai rischi. Il riferimento a uno standard completo come l'ISO 17799 consente inoltre di coordinare in modo più efficace le discussioni sui rischi che riguardano aree aggiuntive, ad esempio legale, dei criteri, dei processi, del personale e dello sviluppo di applicazioni. ##### Definizione di pericoli e vulnerabilità Le informazioni sui pericoli e le vulnerabilità forniscono la prova tecnica utilizzata per definire le priorità dei rischi all'interno di un'azienda. Dal momento che molte delle persone interessate senza competenze tecniche potrebbero non avere familiarità con esposizioni ai pericoli specifiche a cui sono soggette le rispettive attività, è possibile che al moderatore per la valutazione dei rischi venga richiesto di fornire alcuni esempi per agevolare l'inizio della discussione. In quest'area, è utile condurre un'attività di ricerca preliminare per consentire ai titolari delle aziende di identificare e comprendere i rischi a cui sono soggetti i rispettivi ambienti. Ad esempio, ISO 17799 definisce i pericoli come causa di impatto potenziale sull'organizzazione. Il NIST definisce un pericolo come un evento o un'entità in grado di provocare danni al sistema. L'impatto derivante da un pericolo è generalmente definito utilizzando concetti come riservatezza, integrità e disponibilità. Il riferimento a standard industriali è particolarmente utile durante le ricerche su pericoli e vulnerabilità. Per le finalità della discussione sui rischi coordinata da un moderatore, può essere utile tradurre pericoli e vulnerabilità in termini familiari, più facilmente riconoscibili dagli interessati senza competenze tecniche. Ad esempio, è possibile chiedere quale evento si sta cercando di evitare o quali danni si temono per il bene. La maggior parte degli impatti per l'azienda può essere classificata in termini di riservatezza del bene e di integrità o disponibilità del bene per il prosieguo dell'attività aziendale. Provare a utilizzare questo approccio se gli interessati hanno difficoltà a comprendere il significato di pericolo per i beni dell'organizzazione. Un esempio comune di pericolo per l'organizzazione è rappresentato dalla violazione dell'integrità dei dati finanziari. Una volta definito l'evento che si sta cercando di evitare, il compito successivo è determinare a quali pericoli è esposta l'organizzazione. Una vulnerabilità è il punto debole di un bene o di un gruppo di beni che può essere sfruttato per comprometterne la sicurezza. In altre parole, le vulnerabilità rappresentano la tecnica o il *modo* in cui i pericoli possono manifestarsi. Come ulteriore riferimento, il NIST definisce la vulnerabilità come una condizione o un punto debole (o l'assenza di) nelle procedure di protezione o nei controlli tecnici, fisici e di altro tipo che possono essere sfruttati per compromettere la sicurezza di un bene. Una vulnerabilità diffusa per gli host è, ad esempio, la mancata applicazione di aggiornamenti di protezione. Combinando gli esempi di pericoli e vulnerabilità sopra riportati, è possibile produrre la seguente affermazione: "Gli host su cui non vengono installate le patch disponibili sono soggetti a una violazione dell'integrità dei dati finanziari in essi contenuti". Un errore comune quando si esegue una valutazione dei rischi è concentrarsi esclusivamente sulle vulnerabilità tecnologiche. L'esperienza insegna invece che le vulnerabilità più significative spesso si determinano per l'assenza di processi definiti o per un'assegnazione inadeguata delle responsabilità relative alla protezione delle informazioni. Durante il processo di raccolta dei dati, non vanno pertanto ignorati gli aspetti organizzativi e dirigenziali legati alla protezione delle informazioni. Ad esempio, estendendo il concetto di vulnerabilità dovuta alla mancata applicazione di aggiornamenti di protezione, accennato in precedenza, l'incapacità di implementare gli aggiornamenti sui sistemi gestiti può portare alla violazione dell'integrità delle informazioni finanziarie memorizzate in tali sistemi. L'assegnazione di responsabilità e l'applicazione di criteri per la protezione delle informazioni può rivelarsi un problema organizzativo in molte aziende. **Nota:** durante il processo di raccolta dei dati, è possibile individuare gruppi comuni di pericoli e vulnerabilità. È importante monitorare questi gruppi per determinare se controlli simili possono ridurre la probabilità di una serie di rischi. ##### Valutazione dell'esposizione al rischio di un bene Al termine della discussione sulla valutazione dei rischi coordinata dal moderatore attraverso l'identificazione dei beni, dei pericoli e delle vulnerabilità, l'attività successiva è raccogliere le stime delle persone interessate sulla portata dei danni potenziali al bene, indipendentemente dalla classe in cui il bene è stato incluso. La portata dei potenziali danni viene definita come esposizione al rischio del bene. Come già discusso in precedenza, il titolare dell'azienda è responsabile dell'identificazione e della stima delle perdite potenziali per il bene o per l'organizzazione. Per sintetizzare, la classe del bene, l'esposizione al rischio e la combinazione di pericoli e vulnerabilità definiscono l'impatto complessivo sull'organizzazione. L'impatto viene quindi combinato con la probabilità per giungere a un'adeguata definizione dei rischi, come descritto nel Capitolo 3. Il moderatore per la valutazione dei rischi inizia la discussione utilizzando i seguenti esempi di categorie qualitative della potenziale esposizione al rischio per ciascuna combinazione di pericolo e vulnerabilità associata a un bene: - Competitività - Legale/conformità alle normative - Disponibilità operativa - Reputazione nel settore Per ciascuna categoria, aiutare gli interessati a inserire le stime in uno dei seguenti tre gruppi: - **Esposizione alta** — Grave o completa perdita del bene - **Esposizione media** — Perdita limitata o di media gravità - **Esposizione bassa** — Perdita di lieve entità o nessuna perdita La sezione sulla definizione delle priorità di questa guida fornisce le indicazioni per aggiungere ulteriori particolari alle categorie di esposizione sopra elencate. Come già per il processo di quantificazione dei beni, il processo di gestione dei rischi di protezione Microsoft raccomanda di attendere fino alla fase di definizione delle priorità dei rischi prima di definire ulteriormente i livelli di esposizione. **Nota:** se per gli interessati risulta difficile scegliere i livelli di esposizione durante le discussioni coordinate da un moderatore, ampliare la descrizione di pericoli e vulnerabilità per comunicare il livello potenziale di danni o perdite per i beni. Un altro utile strumento è rappresentato da esempi noti di violazione dei sistemi di protezione. Se è richiesta ulteriore assistenza, presentare i livelli di esposizione in modo più dettagliato, come descritto nella sezione sulla definizione delle priorità riportata più avanti in questo capitolo. ##### Stima delle probabilità di pericoli Una volta che gli interessati hanno elaborato le stime dell'impatto potenziale sui beni aziendali, il moderatore per la valutazione dei rischi raccoglie le opinioni degli interessati sulla probabilità del verificarsi di tale impatto. In questo modo, si conclude la discussione sui rischi offrendo a queste persone la possibilità di comprendere il processo teorico di identificazione dei rischi di protezione. Fare presente che spetta al Gruppo protezione informatica l'eventuale decisione sulla stima delle probabilità di impatto per l'organizzazione. Questa discussione può essere considerata informale e rappresenta un metodo per ottenere la collaborazione degli interessati. Utilizzare le seguenti indicazioni per stimare la probabilità relativa a ciascun pericolo e a ciascuna vulnerabilità identificati nella discussione: - **Alta** — Verosimile, uno o più impatti previsti in un anno - **Media** — Probabile, un impatto previsto ogni due o tre anni - **Bassa** — Improbabile, nessun impatto previsto in tre anni Questo processo richiede, in molti casi, un'analisi degli incidenti che si sono verificati negli ultimi anni. In base a quanto richiesto, discutere degli incidenti recenti per aiutare gli interessati a comprendere l'importanza della protezione e il funzionamento dell'intero processo di gestione dei rischi. Il processo di gestione dei rischi di protezione Microsoft associa un intervallo di tempo di un anno alla categoria di probabilità Alta in quanto i controlli di protezione delle informazioni richiedono spesso lunghi periodi di implementazione. Scegliendo una probabilità entro un massimo di un anno si richiama l'attenzione sui rischi e si incoraggia l'adozione di misure per ridurre tali rischi nel successivo ciclo di definizione del budget. Una probabilità alta, unita a un impatto di livello grave, costringe gli interessati a discutere dei rischi con il Team di gestione dei rischi di protezione. Il Gruppo protezione informatica deve essere consapevole della responsabilità che si assume nella stima delle probabilità di impatto. Il passo successivo è raccogliere le opinioni degli interessati sui possibili controlli in grado di ridurre la probabilità che gli impatti identificati abbiano luogo. Questa discussione deve essere considerata una sessione di confronto e non di critica o di bocciatura delle idee. È utile ripetere che lo scopo principale della discussione è illustrare tutti i componenti associati al rischio per favorire la comprensione del problema. La scelta effettiva delle misure per contrastare l'esposizione ai rischi avviene durante la fase di supporto alle decisioni. Per ciascun controllo potenziale identificato, riesaminare la discussione sulle probabilità per valutare il livello di riduzione delle occorrenze utilizzando le stesse categorie qualitative descritte precedentemente. Spiegare agli interessati che il concetto di riduzione della probabilità di rischi è la variabile principale per la gestione dei rischi a un livello accettabile. #### Coordinamento delle discussioni sui rischi Questa sezione descrive i preparativi per l'incontro per la discussione dei rischi e definisce le cinque attività da svolgere durante la discussione per la raccolta dei dati (determinazione dei beni e degli scenari, identificazione dei pericoli, identificazione delle vulnerabilità, stima dell'esposizione dei beni, identificazione dei controlli esistenti e probabilità di attacco). ##### Preparativi per l'incontro Un fattore di successo non immediatamente evidente e tuttavia decisivo è l'ordine nel quale si tengono le discussioni sui rischi. L'esperienza di Microsoft dimostra che maggiore è la quantità di informazioni che il Team di gestione dei rischi di protezione utilizza nell'incontro, più produttivo sarà l'esito dell'incontro. Una possibile strategia è creare una knowledge base dei rischi relativa all'organizzazione per sfruttare l'esperienza del team addetto alla protezione informatica e del personale IT. Incontrare per primo il Gruppo protezione informatica, quindi i team IT per aggiornare la propria conoscenza dell'ambiente. In questo modo, il Team di gestione dei rischi di protezione potrà disporre di maggiori informazioni sull'area dell'organizzazione associata a ciascun investitore. Ciò consente inoltre al Team di gestione dei rischi di protezione di condividere i progressi della valutazione dei rischi con gli interessati, in base a quanto richiesto. Seguendo questa procedura, organizzare discussioni sulla gestione dei rischi con i dirigenti verso la fine del processo di raccolta dei dati. I dirigenti spesso richiedono anticipatamente un'indicazione della direzione seguita dalla valutazione dei rischi. Questa richiesta non va confusa con il supporto e il sostegno da parte della dirigenza. La partecipazione dei dirigenti è necessaria all'inizio e durante tutto il processo di valutazione dei rischi. Dedicare il tempo necessario alla creazione di un elenco dei partecipanti invitati a ciascuna discussione sui rischi. Un valido modo di procedere consiste nell'organizzare incontri con gruppi di interessati con responsabilità e conoscenze tecniche simili. L'obiettivo è assicurare che i partecipanti siano tutti all'altezza del livello tecnico della discussione. Benché gruppi diversi di interessati possano trarre utili indicazioni ascoltando le opinioni altrui sui rischi per l'organizzazione, il processo di valutazione dei rischi deve continuare ad avere come obiettivo principale quello di raccogliere tutti i dati necessari nel periodo di tempo a disposizione. Una volta pianificate le discussioni sui rischi, studiare l'area dell'organizzazione associata a ciascuna persona interessata per acquisire familiarità con i rispettivi beni, pericoli, vulnerabilità e controlli. Come già accennato, queste informazioni consentono al moderatore per la valutazione dei rischi di mantenere la discussione nell'ambito appropriato e renderla produttiva. #### Coordinamento delle discussioni La discussione coordinata dal moderatore deve avere un tono informale. Tuttavia, il moderatore per la valutazione dei rischi deve condurre la discussione in modo che vengano trattati tutti gli argomenti necessari. L'esperienza dimostra che spesso le discussioni non seguono la scaletta pianificata. La situazione può sfuggire al controllo quando, ad esempio, gli interessati iniziano una discussione tecnica su nuove vulnerabilità o hanno già in mente soluzioni di controllo. Il moderatore per la valutazione dei rischi deve utilizzare i risultati delle ricerche condotte prima dell'incontro e la propria personale esperienza per sintetizzare la discussione tecnica e consentire all'incontro di proseguire. Con un'adeguata preparazione, un incontro con 4-6 interessati durerà all'incirca 60 minuti. Dedicare alcuni minuti della fase iniziale alla trattazione degli argomenti in scaletta ed evidenziare i ruoli e le responsabilità all'interno del programma di gestione dei rischi. Gli interessati devono comprendere chiaramente il proprio ruolo e il contributo che ci si aspetta da loro. Un altro valido modo di procedere consiste nel fornire a tutti gli interessati un foglio di lavoro con un esempio di discussione sui rischi da utilizzare per annotazioni individuali. Il foglio di lavoro può essere utilizzato anche come riferimento nel corso della discussione condotta dal moderatore per la valutazione dei rischi. Un'altra procedura consiste nell'arrivare in anticipo e disegnare uno schema del modello per la discussione sui rischi su una lavagna, in cui inserire i dati raccolti nel corso dell'incontro. Per un incontro di 60 minuti, la discussione dovrebbe seguire, approssimativamente, i tempi indicati di seguito: - **Presentazioni e panoramica sulla gestione dei rischi** – 5 minuti - **Ruoli e responsabilità** – 5 minuti - **Discussione sui rischi** – 50 minuti La discussione sui rischi viene suddivisa nelle seguenti sezioni: - **Determinazione dei beni e degli scenari aziendali**  - **Identificazione dei pericoli**  - **Identificazione delle vulnerabilità**  - **Valutazione dell'esposizione dei beni**  - **Stima della probabilità di pericoli**  - **Discussione dei controlli proposti**  - **Riepilogo dell'incontro e fasi successive**  L'andamento effettivo dell'incontro può variare a seconda del gruppo di partecipanti, del numero di rischi discussi e dell'esperienza del moderatore. Utilizzare queste indicazioni per stabilire il tempo relativo da dedicare a ciascuna attività della valutazione. Inoltre, valutare la possibilità di inviare il modello per la raccolta dei dati prima dell'incontro, se gli interessati hanno già esperienza con il processo di valutazione dei rischi. **Nota:** le restanti sezioni del capitolo includono esempi che spiegano l'uso degli strumenti menzionati nella fase di valutazione dei rischi. La società utilizzata negli esempi è un'azienda fittizia e il contenuto relativo ai rischi rappresenta solo una parte dei dati richiesti per una valutazione completa. La finalità dell'esempio è unicamente di dimostrare in che modo è possibile raccogliere e analizzare le informazioni utilizzando gli strumenti forniti in questa guida. Una dimostrazione completa di tutti gli aspetti del processo di gestione dei rischi di protezione Microsoft produce una notevole quantità di dati e non rientra nelle finalità di questa guida. La società fittizia è una banca al dettaglio di nome Woodgrove. Il contenuto relativo all'esempio è indicato dal titolo "Esempio di Woodgrove" all'inizio di ogni argomento. ##### Attività 1 - Determinazione dei beni e degli scenari aziendali La prima attività consiste nel raccogliere le definizioni dei beni aziendali fornite dagli interessati e che rientrano nell'ambito di applicazione della valutazione dei rischi. Utilizzare il modello per la raccolta dei dati, raffigurato di seguito, per inserire i beni tangibili e non tangibili o i servizi IT, come richiesto (GGRPStrumento1-Strumento per la raccolta dati.doc è inoltre disponibile nel set di strumenti incluso in questa guida). Per ciascun bene, aiutare gli interessati a scegliere la classe appropriata e a registrare il bene nel modello. Se richiesto, registrare anche il titolare del bene. Se per gli interessati risulta difficile scegliere la classe in cui includere un bene, verificare che il bene sia definito in modo dettagliato per semplificare la discussione. Se le difficoltà persistono, ignorare questa attività e attendere fino alla discussione dei pericoli e delle vulnerabilità. L'esperienza insegna che le persone interessate impiegano meno tempo a classificare i beni se hanno chiari i pericoli potenziali per il bene e per l'intera azienda. La discussione sui beni aziendali può essere limitata a poche e semplici domande. Si potrebbe chiedere di indicare, ad esempio, se il bene ha un'importanza critica per il successo dell'azienda e se può avere conseguenze materiali sui profitti. In caso di risposta affermativa, il bene può produrre un grave impatto sull'organizzazione. [.gif "Figura 4.3 Rappresentazione del modello per la raccolta dei dati (GGRPStrumento1)")](https://technet.microsoft.com/it-it/cc163154.rmch0403_big(it-it,technet.10).gif) **Figura 4.3 Rappresentazione del modello per la raccolta dei dati (GGRPStrumento1)** **Esempio di Woodgrove:** Woodgrove Bank dispone di una grande quantità di beni di elevato valore che vanno dai sistemi per il calcolo degli interessi ai dati personali sui clienti, a quelli finanziari e alla reputazione di istituto bancario affidabile. L'esempio di concentra su uno solo di questi beni (i dati finanziari sui clienti) per illustrare l'uso degli strumenti inclusi in questa guida. Una volta definita la titolarità del bene nell'incontro di discussione sui rischi, il Team di gestione dei rischi di protezione ha identificato il vicepresidente dei servizi per i consumatori come titolare del bene. Se emerge una disputa sull'identificazione dei rischi o su costose strategie per la loro riduzione, il titolare sarà l'interessato responsabile della decisione per individuare il rischio accettabile per Woodgrove Bank. Nell'incontro con i rappresentanti dei servizi per i consumatori, il Team di gestione dei rischi di protezione ha confermato che i dati finanziari sui clienti rappresentano un bene aziendale ad alto valore. ##### Attività 2 - Identificazione dei pericoli Utilizzare termini familiari per facilitare la discussione sui pericoli. La domanda potrebbe essere formulata nel modo seguente: "Che cosa si cerca di evitare che accada ai diversi beni?". Le discussioni devono essere incentrate sulla differenza tra *quello* che può verificarsi e *il modo* in cui può verificarsi. Formulare le domande utilizzando i concetti di riservatezza, integrità o disponibilità del bene e registrare le risposte nel modello per la raccolta dei dati. **Esempio di Woodgrove:** utilizzando i beni presentati precedentemente, è possibile identificare numerosi pericoli. Per brevità, l'esempio di concentra solo sul pericolo di perdita dell'integrità dei dati finanziari sui clienti. È possibile che esistano altri pericoli relativi alla disponibilità e alla riservatezza di tali dati. Tuttavia, questi altri aspetti non rientrano nelle finalità dell'esempio proposto. ##### Attività 3 - Identificazione delle vulnerabilità Per ciascun pericolo identificato, svolgere una sessione di confronto di idee sulle vulnerabilità, ad esempio discutendo del modo in cui il pericolo può manifestarsi. Incoraggiare gli interessati a fornire esempi tecnici specifici per documentare le vulnerabilità. A ciascun pericolo possono essere associate più vulnerabilità. Questo aspetto è già previsto e consente in seguito di identificare i controlli nella fase di supporto alle decisioni del processo di gestione dei rischi. **Esempio di Woodgrove:** prendendo in considerazione la possibilità di un pericolo per l'integrità dei dati finanziari sui clienti, il Team di gestione dei rischi di protezione ha sintetizzato le informazioni raccolte durante le discussioni sui rischi nelle seguenti tre vulnerabilità: 1. Appropriazione indebita di credenziali per la consulenza finanziaria da parte di un dipendente attendibile tramite attacchi di tipo non tecnico, ad esempio mediante l'individuazione di persone vulnerabili o intercettazione. 2. Appropriazione indebita di credenziali per la consulenza finanziaria in host della rete LAN sfruttando configurazioni di protezione non aggiornate. 3. Appropriazione indebita di credenziali per la consulenza finanziaria in host remoti o portatili sfruttando configurazioni di protezione non aggiornate. Tenere presente che questo scenario può includere numerose altre vulnerabilità. L'obiettivo è dimostrare in che modo le vulnerabilità vengono associate a determinati pericoli. Tenere inoltre presente che gli interessati potrebbero non essere in grado di descrivere le vulnerabilità in termini tecnici. Il Team di gestione dei rischi di protezione deve specificare ulteriormente la definizione di pericoli e vulnerabilità come richiesto. ##### Attività 4 - Stima dell'esposizione dei beni Il moderatore per la valutazione dei rischi conduce la discussione che ha per scopo quello di calcolare l'esposizione ai rischi per ciascuna combinazione di pericoli e vulnerabilità. Chiedere agli interessati di scegliere un livello di esposizione alto, medio o basso e registrare le risposte nel modello. Per i sistemi e i beni digitali, un'utile indicazione è quella di classificare l'esposizione a un livello alto se la vulnerabilità consente il controllo amministrativo del bene. **Esempio di Woodgrove:** una volta identificati pericoli e vulnerabilità, il moderatore per la valutazione dei rischi conduce la discussione con lo scopo di raccogliere informazioni sul livello potenziale di danni che le combinazioni di pericoli e vulnerabilità di cui si è discusso in precedenza possono causare all'azienda. Al termine della discussione, il gruppo è giunto alle seguenti conclusioni: - Una violazione dell'integrità condotta attraverso l'uso improprio di credenziali da parte di un dipendente attendibile può danneggiare l'azienda ma, presumibilmente, in modo limitato. In questo scenario, la portata del danno è limitata poiché ciascun consulente finanziario può accedere solo ai dati dei propri clienti. Il gruppo di discussione riconosce, pertanto, che un numero inferiore di credenziali oggetto di furto ridurrebbe il danno rispetto a un numero maggiore. - Una violazione dell'integrità condotta attraverso l'appropriazione indebita delle credenziali memorizzate negli host della LAN può causare danni gravi o consistenti. Questa situazione può verificarsi, in particolare, se viene condotto un attacco automatizzato in grado di raccogliere le credenziali di più consulenti finanziari in un breve periodo di tempo. - Anche una violazione dell'integrità condotta attraverso l'appropriazione indebita delle credenziali memorizzate sugli host mobili può causare danni gravi o consistenti. Il gruppo di discussione osserva che, in molti casi, le configurazioni di protezione sugli host remoti non sono avanzate quanto quelle dei sistemi della LAN. ##### Attività 5 - Identificazione dei controlli esistenti e delle probabilità di attacco La discussione sui rischi consente di avere un quadro più preciso delle opinioni degli interessati riguardo all'ambiente di controllo esistente e alla probabilità di sfruttarne le vulnerabilità e di ascoltare i suggerimenti su nuovi controlli da implementare. Il punto di vista degli interessati può discostarsi dall'effettiva implementazione ma rappresenta tuttavia un valido punto di riferimento per il Gruppo protezione informatica. Utilizzare questo punto nella discussione per ricordare agli interessati i rispettivi ruoli e responsabilità all'interno del programma di gestione dei rischi. Riportare i risultati nel modello. **Esempio di Woodgrove:** al termine della discussione sulla possibile esposizione dell'azienda in relazione ai pericoli e alle vulnerabilità identificati, gli interessati senza competenze tecniche non hanno sufficiente esperienza per esprimere un parere sulla probabilità di violazione di ciascun host. Tuttavia, gli interessati concordano sul fatto che gli host remoti, o quelli mobili, dispongono di un livello di gestione inferiore a quello degli host della LAN. Viene discussa la possibilità di richiedere ai consulenti finanziari di esaminare periodicamente i report sulle attività per individuare comportamenti non autorizzati. Queste opinioni vengono raccolte e verranno analizzate dal Team di gestione dei rischi di protezione durante la fase di supporto alle decisioni. ##### Riepilogo della discussione sui rischi A conclusione della discussione sui rischi, riepilogare brevemente i rischi identificati per portare a termine la riunione. Inoltre, ricordare agli interessati l'intero processo di gestione dei rischi e i relativi tempi di attuazione. Le informazioni raccolte durante la discussione sui rischi consentono agli interessati di partecipare attivamente al processo di gestione dei rischi e forniscono utili indicazioni al Team di gestione dei rischi di protezione. **Esempio di Woodgrove:** il moderatore per la valutazione dei rischi riepiloga la discussione sottolineando i beni, i pericoli e le vulnerabilità presi in esame. Il moderatore descrive inoltre più in generale il processo di gestione dei rischi e mette il gruppo di discussione a conoscenza del fatto che il Team di gestione dei rischi di protezione terrà in considerazione i suggerimenti del gruppo e di altri durante la stima della probabilità di impatto di ciascun pericolo e vulnerabilità. #### Definizione delle dichiarazioni di impatto L'ultima attività nella fase della raccolta dei dati facilitata è l'analisi delle informazioni raccolte nel corso delle varie discussioni sui rischi. La quantità di tali informazioni può essere notevole. Il risultato dell'analisi è un elenco di definizioni che descrivono il bene e la potenziale esposizione a rischi causata da pericoli e vulnerabilità. Come descritto nel Capitolo 3, tali definizioni vengono chiamate *dichiarazioni di impatto*. L'impatto è determinato dalla combinazione della classe del bene e del livello di esposizione del bene. Tenere presente che l'impatto rappresenta uno dei due fattori per la determinazione dei rischi che si combina con la probabilità che un evento si verifichi. Il Team di gestione dei rischi di protezione definisce le dichiarazioni di impatto raggruppando le informazioni raccolte durante le discussioni sui rischi, integrandovi eventuali altri impatti già identificati e includendo i dati sull'impatto derivanti dalle proprie osservazioni. Il Team di gestione dei rischi di protezione è responsabile di questa attività ma è opportuno che richieda informazioni aggiuntive agli interessati, in base alle necessità. La dichiarazione di impatto contiene il bene, la classificazione del bene, il modello di difesa a più livelli, la descrizione dei pericoli, la descrizione delle vulnerabilità e il grado di esposizione. Utilizzare le informazioni raggruppate nel modello di raccolta dei dati per definire la dichiarazioni di impatto per tutte le discussioni. La Figura 4.4 mostra le intestazioni di colonna applicabili del modello di riepilogo dei rischi per raccogliere dati specifici sull'impatto. [.gif "Figura 4.4 Foglio di lavoro per il riepilogo dei rischi: colonne Bene ed Esposizione (GGRPStrumento2)")](https://technet.microsoft.com/it-it/cc163154.rmch0404_big(it-it,technet.10).gif) **Figura 4.4 Foglio di lavoro per il riepilogo dei rischi: colonne Bene ed Esposizione (GGRPStrumento2)** **Esempio di Woodgrove:** le informazioni raccolte durante le discussioni sui rischi dell'esempio possono essere organizzate sviluppando le dichiarazioni di impatto. Il Team di gestione dei rischi di protezione può indicare la dichiarazione di impatto in una definizione, ad esempio "L'integrità di dati sui clienti ad alto valore può essere compromessa dall'appropriazione indebita delle credenziali memorizzate in host gestiti a distanza". Benché si tratti di un approccio accurato, la creazione di definizioni non si adatta a un numero elevato di rischi a causa di differenze nella scrittura e nella comprensione e della mancanza di dati organizzati (ordinamento o analisi dei rischi). Una tecnica più efficace consiste nell'immettere i dati sull'impatto nella tabella di riepilogo, come mostrato di seguito. [.gif "Figura 4.5 Esempio di Woodgrove: informazioni ottenute durante il processo di raccolta dati (GGRPStrumento2)")](https://technet.microsoft.com/it-it/cc163154.rmch0405_big(it-it,technet.10).gif) **Figura 4.5 Esempio di Woodgrove: informazioni ottenute durante il processo di raccolta dati (GGRPStrumento2)** **Nota:** la sezione successiva, intitolata "Definizione delle priorità dei rischi", fornisce ulteriori indicazioni sulla selezione e la documentazione del livello di impatto utilizzate nel processo di riepilogo dei rischi. #### Riepilogo dei dati raccolti Raggruppando le informazioni ottenute durante le discussioni per la raccolta dei dati in dichiarazioni di impatto distinte, il Team di gestione dei rischi di protezione ha completato le attività previste durante la raccolta dei dati facilitata della fase di valutazione dei rischi. La sezione successiva, "Definizione delle priorità dei rischi", descrive in dettaglio le attività previste in questa fase. Durante la definizione delle priorità, il Team di gestione dei rischi di protezione è responsabile del calcolo della probabilità relativa a ciascuna dichiarazione di impatto. Inoltre, esso unisce le probabilità di impatto con le stime eseguite determinando il grado di probabilità che un evento si verifichi. Il risultato è un elenco completo di rischi, classificati in ordine di priorità, con il quale si conclude la fase di valutazione dei rischi. Durante l'analisi dei rischi, è possibile identificare i rischi legati al verificarsi di un altro rischio. Ad esempio, se si verifica un'acquisizione di privilegi più elevati per un bene a basso impatto aziendale, è possibile che un bene ad alto impatto aziendale venga esposto a rischi. Benché si tratti di un ottimo esercizio, le dipendenze dei rischi possono determinare quantità notevoli di dati da raccogliere, registrare e gestire. Il processo di gestione dei rischi di protezione Microsoft consiglia di mettere in evidenza le dipendenze laddove possibile ma, generalmente, gestire attivamente tutte le dipendenze non è conveniente in termini di costi. L'obiettivo finale è identificare e gestire i rischi con priorità massima per l'azienda. [](#mainsection)[Inizio pagina](#mainsection) ### Definizione delle priorità dei rischi Come descritto nella sezione precedente, la fase di raccolta dei dati facilitata definisce le attività che producono un elenco di dichiarazioni di impatto per l'identificazione dei beni dell'organizzazione e dell'impatto potenziale di ciascuno di essi. Questa sezione descrive la fase successiva della valutazione dei rischi: la definizione delle priorità. Il processo di definizione delle priorità aggiunge un elemento di probabilità alla dichiarazione di impatto. Tenere presente che una determinazione dei rischi correttamente formulata richiede che venga specificato sia l'*impatto* sull'organizzazione sia la *probabilità* che tale impatto si verifichi. Il processo di definizione delle priorità può essere caratterizzato come la fase conclusiva della "definizione dei rischi più significativi per un'organizzazione". Il risultato finale è un elenco dei rischi, classificati in ordine di priorità, che verrà utilizzato come base nel processo di supporto alle decisioni, descritto nel Capitolo 5, "Supporto alle decisioni". Il Gruppo protezione informatica è il solo titolare del processo di definizione delle priorità. Il team può consultare gli interessati con o senza competenze tecniche ma è responsabile della determinazione della probabilità dei potenziali impatti sull'organizzazione. Applicando il processo di gestione dei rischi di protezione Microsoft, il livello di probabilità ha il potenziale di aumentare l'attenzione nei riguardi di un rischio ai livelli più alti dell'organizzazione oppure di ridurre l'attenzione in modo che il rischio venga accettato senza ulteriori discussioni. Il calcolo della probabilità di un rischio richiede che il Team di gestione dei rischi di protezione investa una notevole quantità di tempo per valutare, in modo approfondito, ciascuna combinazione prioritaria di pericoli e vulnerabilità. Ciascuna combinazione viene valutata e confrontata con i controlli attuali per stabilire l'efficacia di tali controlli e il grado di influenza sulla probabilità di impatto sull'organizzazione. Questo processo può essere eccessivamente impegnativo in organizzazioni di grandi dimensioni e può mettere in pericolo la decisione iniziale di investire risorse in un programma formale di gestione dei rischi. Per ridurre la quantità di tempo richiesta per la definizione delle priorità dei rischi, è possibile eseguire una valutazione suddividendo il processo in due attività: un processo a livello sommario e uno a livello dettagliato. Il processo a livello sommario produce, in tempi brevi, un elenco di rischi classificati in ordine di priorità ed è simile alle procedure di triage utilizzate nel pronto soccorso delle strutture ospedaliere che consentono di assistere per primi i pazienti più gravi. La lacuna di questo processo è che produce un elenco contenente confronti tra i rischi solo a un livello elevato. Un lungo elenco sommario dei rischi in cui ogni rischio viene classificato come alto non fornisce indicazioni sufficienti al Team di gestione dei rischi di protezione né consente al team di classificare in ordine di priorità le strategie per la riduzione dei rischi. Ciononostante, questo processo consente ai team di valutare rapidamente il grado di priorità dei rischi allo scopo di identificare i rischi gravi e moderati, dando la possibilità al Team di gestione dei rischi di protezione di concentrare i propri sforzi solo sui rischi ritenuti più importanti. Il processo a livello dettagliato produce un elenco che include maggiori informazioni e che consente di distinguere più facilmente un rischio dall'altro. L'esame dettagliato dei rischi consente una classificazione dei rischi in ordine di importanza e include inoltre un quadro più preciso del potenziale impatto finanziario derivante da un rischio. Questo elemento quantitativo semplifica le discussioni sul costo dei controlli nel processo di supporto alle decisioni, trattato nel capitolo successivo. Alcune organizzazioni possono scegliere di non produrre un elenco sommario dei rischi. A prima vista, potrebbe sembrare che questa strategia consenta di risparmiare tempo, ma in realtà non è così. Riducendo al minimo il numero dei rischi inclusi nell'elenco dettagliato, il processo di valutazione dei rischi risulterà più efficace. Uno degli obiettivi principali del processo di gestione dei rischi di protezione Microsoft è semplificare il processo di valutazione dei rischi bilanciando l'aggiunta di granularità all'analisi dei rischi e la quantità di risorse richieste per calcolare i rischi. Nello stesso tempo, il processo consente di promuovere e preservare la chiarezza della logica impiegata, in modo da fornire agli interessati un quadro comprensibile dei rischi a cui è soggetta l'organizzazione. Alcuni rischi possono occupare la stessa posizione nei due elenchi (sommario e dettagliato). Tuttavia, i due tipi di classificazione forniscono informazioni sufficienti per determinare l'importanza del rischio per l'organizzazione e, se necessario, continuare con il processo di supporto alle decisioni. **Nota:** l'obiettivo finale della fase di valutazione dei rischi è definire i rischi prioritari per l'organizzazione. L'obiettivo della fase di supporto alle decisioni è determinare le azioni necessarie per la gestione di tali rischi. Il lavoro dei team spesso si arresta in questa fase, in attesa che gli interessati discutano dell'importanza dei diversi rischi. Per ridurre al minimo i possibili ritardi, implementare le attività indicate di seguito, in base a quanto più appropriato per l'organizzazione: 1. Definire, in termini non tecnici, i rischi per l'organizzazione di livello alto e intermedio prima di avviare il processo di definizione delle priorità. 2. Rivolgere particolare attenzione ai rischi che si trovano al limite tra il livello intermedio e quello alto. 3. Evitare di discutere le modalità di gestione dei rischi prima di averne definito l'importanza. Prestare attenzione alle persone interessate che hanno già in mente soluzioni da implementare e che tentano di individuare i rischi per fornire una giustificazione ai propri progetti. Nell'ultima parte di questa sezione vengono descritti i fattori di successo e le attività consigliate per la creazione di classificazioni sommarie e dettagliate dei rischi. Le attività e la Figura 4.6 riportate di seguito forniscono una panoramica della sezione e dei principali risultati dell'intero processo di definizione delle priorità dei rischi. #### Attività e risultati principali - **Attività 1 —** Creare l'elenco sommario utilizzando categorie generali per calcolare la probabilità di impatto sull'organizzazione.   - **Risultato —** Un elenco sommario che consente di identificare rapidamente i rischi prioritari per l'organizzazione. - **Attività 2 —** Esaminare l'elenco sommario insieme agli interessati per creare consenso sui rischi prioritari e selezionare i rischi da includere nell'elenco dettagliato. - **Attività 3** — Creare l'elenco dettagliato analizzando gli attributi dettagliati dei rischi nell'ambiente aziendale esistente. L'elenco contiene anche indicazioni per eseguire una stima quantitativa di ciascun rischio. - **Risultato** — Un elenco dettagliato che consente di esaminare approfonditamente i rischi di maggiore importanza per l'organizzazione. [.gif "Figura 4.6 Attività per la definizione delle priorità dei rischi")](https://technet.microsoft.com/it-it/cc163154.rmch0406_big(it-it,technet.10).gif) **Figura 4.6 Attività per la definizione delle priorità dei rischi** **Nota:** l'elenco dettagliato dei rischi verrà esaminato insieme agli interessati nel processo di supporto alle decisioni, descritto nel Capitolo 5. #### Preparazione al successo La definizione delle priorità dei rischi per un'organizzazione è un'attività complessa. Il Team di gestione dei rischi di protezione deve tentare di prevedere il futuro calcolando i tempi e le modalità dei potenziali impatti sull'organizzazione, quindi giustificare tali previsioni per ottenere il consenso degli interessati. Un errore comune commesso da molti team è "nascondere" le attività che consentono di determinare le probabilità e utilizzare formule per rappresentare le probabilità in termini di percentuali o altri numeri con i quali si presume che i titolari dell'azienda abbiano maggiore familiarità. L'esperienza che ha portato allo sviluppo del processo di gestione dei rischi di protezione Microsoft, tuttavia, indica che gli interessati sono più propensi ad accettare le analisi condotte dal Team di gestione dei rischi di protezione se viene presentata in modo chiaro la logica applicata durante il processo di definizione delle priorità. Tutto il processo deve essere ben chiaro agli interessati. La logica applicata alla definizione delle priorità deve essere della massima semplicità perché sia possibile ottenere rapidamente il consenso degli interessati e ridurre al minimo le incomprensioni. L'esperienza di Microsoft e di altre aziende nel processo di valutazione dei rischi dimostra che l'adozione delle procedure indicate di seguito semplifica il lavoro del Team di gestione dei rischi di protezione durante il processo di definizione delle priorità: - Analizzare i rischi durante il processo di raccolta dei dati. Poiché la definizione delle priorità dei rischi può richiedere tempi lunghi, è possibile tentare di individuare in anticipo i rischi più controversi avviando il processo di definizione delle priorità il prima possibile. Questa strategia può essere messa in atto grazie al fatto che il Team di gestione dei rischi di protezione è l'unico titolare del processo di definizione delle priorità. - Eseguire le ricerche appropriate per dare credibilità alla stima delle probabilità. Utilizzare i rapporti sui controlli precedenti e tenere in considerazione le tendenze del settore e gli incidenti di sicurezza interni, secondo quanto richiesto. Consultare gli interessati in base alle necessità per conoscere i controlli attualmente implementati e verificare la consapevolezza dell'esistenza di rischi specifici nei rispettivi ambienti. - Programmare un periodo di tempo sufficiente all'interno del progetto per condurre ricerche ed eseguire analisi sull'efficacia e la funzionalità dell'ambiente di controllo attuale. - Fare presente agli interessati che il Team di gestione dei rischi di protezione è responsabile della determinazione delle probabilità di rischio. Anche il promotore all'interno della dirigenza deve riconoscere il proprio ruolo e sostenere l'analisi condotta dal Team di gestione dei rischi di protezione. - Comunicare i rischi in termini aziendali. Evitare la tendenza a utilizzare un linguaggio minaccioso o un gergo tecnico nell'analisi delle priorità. Il Team di gestione dei rischi di protezione deve presentare i rischi utilizzando termini comprensibili per l'organizzazione, resistendo alla tentazione di esagerare il livello di potenziale pericolo. - Associare i rischi attuali a quelli precedenti. Durante la creazione dell'elenco sommario, includere i rischi identificati in precedenti valutazioni. In questo modo, il Team di gestione dei rischi di protezione può monitorare i rischi individuati in diverse valutazioni e fornire l'opportunità, se necessario, di aggiornare gli elementi dei rischi individuati in precedenza. Ad esempio, se non sono state adottate misure per la riduzione di un precedente rischio perché l'operazione richiedeva costi elevati, riesaminare la probabilità di occorrenza del rischio e riconsiderare eventuali modifiche alla soluzione di riduzione del rischio o ai costi. #### Definizione delle priorità dei rischi di protezione La sezione seguente descrive il processo di sviluppo dell'elenco sommario e dell'elenco dettagliato dei rischi. Può essere utile stampare i modelli di supporto per ciascun processo, disponibili nella sezione Strumenti. ##### Definizione delle priorità dei rischi a livello sommario L'elenco sommario utilizza la dichiarazione di impatto definita durante il processo di raccolta dei dati. La dichiarazione di impatto è il primo dei due elementi che consentono la creazione di un quadro riepilogativo. Il secondo elemento è il calcolo della probabilità eseguito dal Team di gestione dei rischi di protezione. Le tre attività indicate di seguito forniscono una panoramica del processo di definizione delle priorità a livello sommario: - **Attività 1** — Determinare il valore dell'impatto dalle dichiarazioni di impatto identificate nel processo di raccolta dei dati. - **Attività 2** — Calcolare la probabilità dell'impatto per l'elenco sommario. - **Attività 3** — Completare l'elenco sommario combinando i valori di impatto e probabilità per ciascuna definizione di rischio. ###### Attività 1 - Determinare il livello di impatto Le informazioni sulla classe del bene e sull'esposizione del bene identificate durante il processo di raccolta dei dati, devono essere sintetizzate in un unico valore che consente di determinare l'impatto. Tenere presente che l'impatto è dato dalla combinazione della classe e dal grado di esposizione del bene. La figura riportata di seguito consente di selezionare il livello di impatto per ciascuna dichiarazione di impatto. [.gif "Figura 4.7 Foglio di lavoro per l'analisi dei rischi: classe del bene e livello di esposizione (GGRPStrumento2)")](https://technet.microsoft.com/it-it/cc163154.rmch0407_big(it-it,technet.10).gif) **Figura 4.7 Foglio di lavoro per l'analisi dei rischi: classe del bene e livello di esposizione (GGRPStrumento2)** **Esempio di Woodgrove:** come si ricorderà, nell'esempio di Woodgrove sono state identificate tre dichiarazioni di impatto. Il seguente elenco riepiloga queste dichiarazioni attraverso la combinazione della classe del bene con il livello di esposizione: 1. Impatto dell'appropriazione indebita di credenziali da parte di un dipendente attendibile: classe del bene Alto impatto aziendale, livello di esposizione basso. Come mostrato nella figura sopra, questa combinazione determina un impatto medio. 2. Impatto della violazione di host della LAN: classe del bene Alto impatto aziendale, livello di esposizione alto. Questa combinazione determina un impatto alto. 3. Impatto della violazione di host remoti: classe del bene Alto impatto aziendale, livello di esposizione alto. Questa combinazione determina un livello di impatto alto. ###### Attività 2 - Calcolare la probabilità a livello sommario Utilizzare le stesse categorie di probabilità descritte nel processo di raccolta dei dati. Di seguito sono elencate le categorie di probabilità a cui fare riferimento: - **Alta** — Verosimile, uno o più impatti previsti in un anno - **Media** — Probabile, un impatto previsto ogni due o tre anni - **Bassa** — Improbabile, nessun impatto previsto in tre anni **Esempio di Woodgrove:** la definizione delle priorità dei rischi a livello sommario è la prima documentazione formale del calcolo delle probabilità di rischio eseguito dal Team di gestione dei rischi di protezione. Il team deve essere pronto a fornire prove o esempi che giustificano tali stime citando, ad esempio, incidenti precedenti o facendo riferimento all'efficacia dei controlli attuali. Il seguente elenco riepiloga i livelli di probabilità dell'esempio di Woodgrove. 1. Probabilità di appropriazione indebita di credenziali da parte di un dipendente attendibile: bassa. Woodgrove National Bank è sicura dell'attendibilità dei propri dipendenti. I responsabili accertano tale attendibilità tramite verifiche delle precedenti esperienze dei dipendenti ed eseguendo controlli casuali sull'attività di consulenza finanziaria. Non sono stati identificati incidenti precedenti di uso improprio di credenziali da parte dei dipendenti. 2. Probabilità di violazione di host della LAN: media. Il reparto IT ha di recente formalizzato il processo di aggiornamento delle patch e di configurazione per la LAN per eliminare le disomogeneità emerse negli anni precedenti. Data la natura decentralizzata dell'istituto bancario, i sistemi vengono talvolta identificati come non conformi ai requisiti. Tuttavia, negli ultimi mesi non sono stati segnalati incidenti. 3. Probabilità di violazione di host remoti: alta. Gli host remoti possono risultare non conformi ai requisiti per lunghi periodi di tempo. Si sono inoltre registrati di recente incidenti dovuti alla penetrazione di virus e worm negli host remoti. ###### Attività 3 - Completare l'elenco sommario dei rischi Una volta che il Team di gestione dei rischi di protezione ha calcolato la probabilità, utilizzare la figura riportata di seguito per selezionare la classificazione sommaria dei rischi. [.gif "Figura 4.8 Foglio di lavoro per l'analisi dei rischi: impatto e probabilità (GGRPStrumento2)")](https://technet.microsoft.com/it-it/cc163154.rmch0408_big(it-it,technet.10).gif) **Figura 4.8 Foglio di lavoro per l'analisi dei rischi: impatto e probabilità (GGRPStrumento2)** **Nota:** come appropriato per l'organizzazione, il livello di rischio dato da un impatto medio combinato con una probabilità media può essere definito come rischio alto. La definizione di livelli di rischio indipendenti dal processo di valutazione fornisce le indicazioni necessarie per la decisione finale. Tenere presente che GGRP è uno strumento che semplifica lo sviluppo di un programma completo e coerente per la gestione dei rischi. Ciascuna organizzazione deve definire il significato di rischio alto per il proprio ambiente aziendale. **Esempio di Woodgrove:** la combinazione dei livelli di impatto e probabilità produce la seguente classificazione dei rischi: 1. Rischio di appropriazione indebita di credenziali da parte di un dipendente attendibile: basso (impatto medio, probabilità bassa) 2. Rischio di violazione di host della LAN: alto (impatto alto, probabilità media) 3. Rischio di violazione di host remoti: alto (impatto alto, probabilità alta) Fare riferimento alla figura riportata di seguito in cui sono rappresentate tutte le colonne dell'elenco sommario, disponibili anche nel file GGRPStrumento2-Livello rischi sommario.xls. [.gif "Figura 4.9 Foglio di lavoro per l'analisi dei rischi: elenco sommario (GGRPStrumento2)")](https://technet.microsoft.com/it-it/cc163154.rmch0409_big(it-it,technet.10).gif) **Figura 4.9 Foglio di lavoro per l'analisi dei rischi: elenco sommario (GGRPStrumento2)** In base alle esigenze dell'organizzazione, è possibile aggiungere colonne supplementari per includere altre utili informazioni, come ad esempio una colonna "Data di identificazione" per distinguere i rischi identificati in valutazioni precedenti. È possibile inoltre aggiungere colonne per aggiornare le descrizioni dei rischi o segnalare eventuali modifiche al rischio avvenute dall'ultima valutazione. Il processo di gestione dei rischi di protezione Microsoft, inclusi gli strumenti disponibili, può essere personalizzato e adattato alle esigenze specifiche dell'organizzazione. **Esempio di Woodgrove:** la figura riportata di seguito completa l'esempio dell'elenco sommario dei rischi creato per Woodgrove Bank. Osservare che sono state aggiunte le colonne "Probabilità" e "Livello di rischio sommario" alle informazioni sulla dichiarazione di impatto per completare gli elementi richiesti per un'adeguata definizione dei rischi. [.gif "Esempio di elenco sommario dei rischi per Woodgrove Bank (GGRPStrumento2)")](https://technet.microsoft.com/it-it/cc163154.rmch0410_big(it-it,technet.10).gif) **Esempio di elenco sommario dei rischi per Woodgrove Bank (GGRPStrumento2)** ###### Riesame insieme agli interessati La successiva attività del processo di definizione delle priorità è analizzare i risultati del riepilogo insieme agli interessati. L'obiettivo è aggiornare gli interessati sul processo di valutazione dei rischi e richiederne i suggerimenti per la scelta dei rischi per i quali eseguire un'analisi dettagliata. Utilizzare i criteri indicati di seguito per la selezione dei rischi da includere nel processo di definizione dettagliata delle priorità: - **Rischi di livello alto** — Tutti i rischi classificati come alti devono essere inclusi nell'elenco dettagliato. Per ciascun rischio definito alto deve essere trovata una risoluzione al termine del processo di supporto alle decisioni. La soluzione può consistere, ad esempio, nell'accettare il rischio o sviluppare una soluzione per la riduzione del rischio. - **Rischi borderline** — Creare un'analisi delle priorità dettagliata per i rischi definiti medi che richiedono una risoluzione. In alcune organizzazioni, è possibile includere nell'elenco dettagliato tutti i rischi di livello medio. - **Rischi controversi** — Se viene identificato un nuovo rischio, non ben conosciuto o sul quale gli interessati hanno pareri diversi, creare un'analisi dettagliata per agevolare un'adeguata comprensione del rischio da parte degli interessati. **Esempio di Woodgrove:** osservare che il rischio "Appropriazione indebita di credenziali da parte di un dipendente attendibile" è classificato come basso nell'elenco sommario dei rischi. In questa fase del processo di definizione delle priorità, tutti gli interessati possiedono un'adeguata comprensione del rischio. Nell'esempio di Woodgrove, questo rischio serve a illustrare il tipo di rischi che non è necessario includere nella fase di definizione dettagliata delle priorità. Nell'ultima parte dell'esempio Woodgrove, vengono definite solo le priorità dei rischi di violazione di host della LAN e remoti. ##### Definizione delle priorità dei rischi a livello dettagliato La creazione di un elenco dettagliato dei rischi è l'ultima attività del processo di valutazione dei rischi. La creazione di un elenco dettagliato costituisce una delle attività più importanti in quanto consente all'organizzazione di comprendere le cause alla base dei rischi prioritari per l'azienda. Al termine del processo di valutazione dei rischi, è sufficiente, in alcuni casi, comunicare agli interessati un rischio adeguatamente documentato per avviare un'azione risolutiva. Per le organizzazioni che non dispongono di un programma formale di gestione dei rischi, il processo di gestione dei rischi di protezione Microsoft può rappresentare un esempio estremamente utile. **Nota:** se un rischio è stato adeguatamente compreso da tutti gli interessati, le informazioni riepilogative possono essere sufficienti per individuare la soluzione appropriata di riduzione del rischio. L'elenco dettagliato dei rischi utilizza molte delle informazioni incluse nell'elenco sommario. Tuttavia, la creazione di un quadro dettagliato richiede che il Team di gestione dei rischi di protezione fornisca descrizioni più precise riguardo agli impatti e alle probabilità. Per ciascun rischio a livello sommario, verificare che tutte le combinazioni di pericolo e vulnerabilità siano univoche. In molti casi i rischi a livello sommario non vengono descritti in modo sufficiente per essere associati a controlli specifici dell'ambiente. In questo caso, potrebbe non essere possibile calcolare con precisione la probabilità di occorrenza di un rischio. È possibile, ad esempio, migliorare la descrizione del pericolo nella seguente definizione di rischio a livello riepilogativo in modo da descrivere due rischi distinti: **Definizione del rischio a livello sommario:** Entro un anno, i server ad alto valore potrebbero subire un impatto di media gravità a causa di un worm penetrato per il mancato aggiornamento della configurazione tramite l'implementazione di patch. **Definizione a livello dettagliato - 1:** Entro un anno, i server ad alto valore potrebbero *non essere disponibili per un periodo di tre giorni* a causa della propagazione di un worm penetrato per il mancato aggiornamento della configurazione tramite l'implementazione di patch. **Definizione a livello dettagliato - 2:** Entro un anno, i server ad alto valore potrebbero *subire una violazione con conseguente compromissione dell'integrità dei dati* a causa della propagazione di un worm penetrato per il mancato aggiornamento della configurazione tramite l'implementazione di patch. **Nota:** è consigliabile acquisire familiarità con l'analisi dettagliata dei rischi prima del processo di raccolta dei dati. In questo modo, il Team di gestione dei rischi di protezione potrà rivolgere domande specifiche durante le discussioni iniziali con gli interessati per la raccolta dei dati e ridurre al minimo l'esigenza di ulteriori incontri. L'elenco dettagliato dei rischi richiede inoltre indicazioni specifiche sull'efficacia dell'ambiente di controllo attuale. Una volta che il Team di gestione dei rischi di protezione è in possesso di un quadro preciso dei pericoli e delle vulnerabilità a cui è soggetta l'organizzazione, è possibile iniziare il lavoro analizzando le informazioni sui controlli esistenti. L'ambiente di controllo esistente determina la probabilità dei potenziali rischi per l'organizzazione. Se l'ambiente di controllo risulta adeguato, la probabilità di rischio per l'organizzazione è bassa. Se invece l'ambiente di controllo non è adeguato, è necessario definire una strategia di gestione dei rischi, ad esempio accettando il rischio o sviluppando una soluzione per la riduzione del rischio. È opportuno valutare i rischi indipendentemente dal livello di rischio finale. Ad esempio, se il rischio viene ritenuto accettabile, registrare questa indicazione per le valutazioni successive. L'ultimo elemento per la creazione dell'elenco dettagliato dei rischi è un calcolo di ciascun rischio in termini quantificabili (finanziari). L'attribuzione di un valore finanziario a un rischio non può essere eseguita fino a quando non si inizia la creazione dell'elenco dettagliato dei rischi a causa del tempo richiesto per ottenere il consenso di tutti gli interessati. Il Team di gestione dei rischi di protezione può avere l'esigenza di incontrare ancora gli interessati per raccogliere nuovi dati. Le quattro attività indicate di seguito delineano il processo per la creazione di un elenco dettagliato dei rischi. Può essere utile stampare il modello contenuto nella sezione Strumenti intitolato "GGRPStrumento3-Priorità rischi livello dettagliato.xls". Il risultato è un elenco dettagliato dei rischi a cui è soggetta l'organizzazione. Il calcolo quantitativo viene effettuato in base al valore dettagliato del rischio ed è descritto nella sezione successiva. - **Attività 1** — Determinare l'impatto e l'esposizione. - **Attività 2** — Identificare i controlli attuali. - **Attività 3** — Determinare la probabilità di impatto. - **Attività 4** — Determinare il rischio a livello dettagliato. ###### Attività 1 - Determinare l'impatto e l'esposizione Inserire innanzitutto la classe del bene, indicata nella tabella di riepilogo, nel modello dettagliato. Selezionare quindi l'esposizione del bene. Osservare che la classificazione dell'esposizione nel modello dettagliato aggiunge granularità rispetto al livello riepilogativo. La classificazione dell'esposizione nel modello dettagliato è rappresentata da un valore compreso tra 1 e 5. Come si ricorderà, la classificazione dell'esposizione definisce la portata dei danni a cui è soggetto il bene. I modelli riportati di seguito consentono di determinare la classificazione di esposizione appropriata per l'organizzazione. Poiché ogni valore di esposizione può influire sul livello di impatto sul bene, inserire tutti i valori massimi dopo aver immesso i numeri. Il primo numero dell'esposizione consente di misurare la portata dell'impatto derivato dalla violazione della riservatezza o dell'integrità dei beni aziendali. Il secondo numero consente di misurare l'impatto sulla disponibilità dei beni. [.gif "Figura 4.11 Foglio di lavoro per l'analisi dei rischi: valutazioni dell'esposizione di integrità o di riservatezza (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0411_big(it-it,technet.10).gif) **Figura 4.11 Foglio di lavoro per l'analisi dei rischi: valutazioni dell'esposizione di integrità o di riservatezza (GGRPStrumento3)** Una volta considerata la portata dei danni derivanti dai potenziali impatti sulla riservatezza e l'integrità, utilizzare la figura riportata di seguito per determinare il livello di impatto derivante dall'indisponibilità del bene. Selezionare il valore massimo come livello di esposizione da entrambe le tabelle. [.gif "Figura 4.12 Foglio di lavoro per l'analisi dei rischi: valutazioni dell'esposizione di disponibilità (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0412_big(it-it,technet.10).gif) **Figura 4.12 Foglio di lavoro per l'analisi dei rischi: valutazioni dell'esposizione di disponibilità (GGRPStrumento3)** La figura consente di raccogliere le valutazioni dell'esposizione per ciascun impatto potenziale. Se le discussioni per la raccolta dei dati non hanno fornito indicazioni sufficienti sui possibili livelli di esposizione, potrebbe essere necessario riesaminarli insieme al titolare del bene specifico. Come accennato nella sezione sulla raccolta dei dati, durante le discussioni sui rischi fare riferimento alle descrizioni dell'esposizione sopra riportate, in base alle necessità. **Esempio di Woodgrove:** il seguente elenco riepiloga le valutazioni dell'esposizione per i due rischi rimanenti: 1. Grado di esposizione al rischio di violazione di host della LAN: 4. L'impatto aziendale può essere grave e visibile esternamente, ma non dovrebbe danneggiare irrimediabilmente i dati finanziari di tutti i clienti. Per questo motivo è stato assegnato un grado di esposizione 4. 2. Grado di esposizione al rischio di violazione di host remoti: 4 (stessa valutazione del punto precedente). Una volta identificato il grado di esposizione, è possibile determinare il valore dell'impatto inserendo i dati nelle colonne appropriate del foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls, quindi calcolando il valore. Nel processo di definizione dettagliata dei rischi, l'impatto è il prodotto del valore della classe di impatto e del fattore di esposizione. A ciascun grado di esposizione viene assegnata una percentuale che indica la portata dei danni al bene. Questa percentuale viene definita fattore di esposizione. Il processo di gestione dei rischi di protezione Microsoft consiglia una percentuale di esposizione del 20% su una scala lineare 100; è possibile correggere questo valore in base alle esigenze dell'organizzazione. Ciascun valore dell'impatto è inoltre associato a un valore qualitativo che può essere alto, medio o basso. Questa classificazione è utile per comunicare il livello di impatto e registrare gli elementi di rischio durante i calcoli dettagliati dei rischi. È possibile fare riferimento alla figura riportata di seguito in cui sono mostrati i possibili valori dell'impatto per ciascuna classe. [.gif "Figura 4.13 Foglio di lavoro per l'analisi dei rischi: determinazione dei valori di impatto (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0413_big(it-it,technet.10).gif) **Figura 4.13 Foglio di lavoro per l'analisi dei rischi: determinazione dei valori di impatto (GGRPStrumento3)** **Esempio di Woodgrove:** la figura riportata di seguito mostra in che modo vengono determinati i valori delle classi di impatto, il grado di esposizione e il livello complessivo di impatto utilizzando l'esempio di Woodgrove. [.gif "Figura 4.14 Esempio di Woodgrove: illustrazione dei valori dettagliati della classe di impatto, del grado di esposizione e del valore dell'impatto (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0414_big(it-it,technet.10).gif) **Figura 4.14 Esempio di Woodgrove: illustrazione dei valori dettagliati della classe di impatto, del grado di esposizione e del valore dell'impatto (GGRPStrumento3)** ###### Attività 2 - Identificare i controlli attuali Il documento GGRPStrumento3-Priorità rischi livello dettagliato.xls descrive i controlli esistenti nell'organizzazione utilizzati per ridurre la probabilità di pericoli e vulnerabilità definita nella dichiarazione di impatto. Nei calcoli dettagliati delle probabilità viene inoltre valutato il grado di efficacia dei controlli. Tuttavia, la documentazione dei controlli applicabili è utile per la comunicazione degli elementi di rischio. Può essere utile organizzare la descrizione dei controlli nelle categorie note di gestione, operazioni o gruppi di controllo tecnico. Queste informazioni possono inoltre essere utilizzate nel processo di supporto alle decisioni descritto nel Capitolo 5. **Esempio di Woodgrove:** di seguito è riportato un esempio di elenco dei controlli principali per il "rischio di violazione di host della LAN". Per ulteriori descrizioni dei controlli, vedere il documento GGRPStrumento3-Priorità rischi livello dettagliato.xls. Osservare che la descrizione dei controlli può essere utilizzata anche come argomento per giustificare la valutazione del grado di esposizione: - I consulenti finanziari possono accedere solo ai propri account. Per questo motivo, il grado di esposizione è inferiore al 100%. - Le notifiche per l'implementazione di patch o l'aggiornamento degli host vengono inviate tempestivamente a tutti gli utenti tramite e-mail. - Lo stato dei programmi antivirus e gli aggiornamenti di protezione vengono misurati e applicati nella LAN a intervalli di alcune ore. Questo controllo riduce l'intervallo di tempo in cui gli host della LAN restano esposti al rischio di attacchi. ###### Attività 3 - Determinare la probabilità di impatto La classificazione della probabilità è costituita da due valori. Il primo valore determina la probabilità della vulnerabilità esistente nell'ambiente in base agli attributi della vulnerabilità e dei possibili attacchi. Il secondo valore determina la probabilità della vulnerabilità esistente in base all'efficacia dei controlli attuali. Ciascun valore è compreso in un intervallo da 1 a 5. Utilizzare le figure riportate di seguito per determinare la probabilità di ciascun impatto per l'organizzazione. Il grado di probabilità deve essere quindi moltiplicato per il livello di impatto per determinare il grado di rischio relativo. **Nota:** le figure 4.15 e 4.17 sono state utilizzate dal reparto IT di Microsoft per analizzare le probabilità dei rischi all'interno degli propri ambienti. Correggere il contenuto come richiesto per la propria organizzazione. Il Gruppo protezione informatica è titolare del processo di definizione delle priorità e ha l'incarico di adattare gli attributi delle priorità in base alle esigenze specifiche. È possibile, ad esempio, modificare le figure per mettere in risalto la vulnerabilità di applicazioni specifiche confrontate con le vulnerabilità dell'infrastruttura aziendale, nel caso in cui l'ambito della valutazione si concentri principalmente sullo sviluppo di applicazioni. L'obiettivo è disporre di un gruppo omogeneo di criteri per la valutazione dei rischi nel proprio ambiente. La figura riportata di seguito include questi attributi delle vulnerabilità: - **Numero di pirati informatici** — La probabilità di attacchi aumenta generalmente con l'aumentare del numero e delle capacità tecniche dei pirati informatici. - **Accesso remoto/locale** — La probabilità aumenta generalmente se è possibile sfruttare una vulnerabilità a distanza. - **Visibilità del metodo di attacco** — La probabilità aumenta generalmente se un metodo di attacco è noto e pubblicamente disponibile. - **Automazione del metodo di attacco** — La probabilità aumenta generalmente se un metodo di attacco può essere programmato per ricercare automaticamente le vulnerabilità in ambienti di grandi dimensioni. Tenere presente che la stima della probabilità di un attacco ha carattere soggettivo. Gli attributi sopra elencati consentono di determinare e giustificare le stime delle probabilità. Il Team di gestione dei rischi di protezione deve affidarsi e fare leva sulla propria competenza per scegliere e giustificare le previsioni. [.gif "Figura 4.15 Foglio di lavoro per l'analisi dei rischi: valutazione della vulnerabilità (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0415_big(it-it,technet.10).gif) **Figura 4.15 Foglio di lavoro per l'analisi dei rischi: valutazione della vulnerabilità (GGRPStrumento3)** Selezionare i valori appropriati nella figura seguente. [.gif "Figura 4.16 Foglio di lavoro per l'analisi dei rischi: valutazione del valore di probabilità (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0416_big(it-it,technet.10).gif) **Figura 4.16 Foglio di lavoro per l'analisi dei rischi: valutazione del valore di probabilità (GGRPStrumento3)** **Esempio di Woodgrove:** per gli host della LAN e remoti è estremamente probabile che tutti gli attributi delle vulnerabilità della categoria Alta verranno individuati all'interno e all'esterno dell'ambiente LAN di Woodgrove in un futuro prossimo. Per questo motivo, il valore della vulnerabilità è 5 per entrambi i rischi. Nella figura successiva viene valutata l'efficacia dei controlli esistenti. Il valore è soggettivo e si basa sull'esperienza del Team di gestione dei rischi di protezione nella valutazione del proprio ambiente di controllo. Rispondere a tutte le domande, quindi sommare i valori per determinare il livello di controllo finale. Un valore inferiore indica che i controlli sono efficaci e possono ridurre la probabilità di un attacco che sfrutta le vulnerabilità esistenti. [.gif "Figura 4.17 Foglio di lavoro per l'analisi dei rischi: valutazione dell'efficacia del controllo attuale (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0417_big(it-it,technet.10).gif) **Figura 4.17 Foglio di lavoro per l'analisi dei rischi: valutazione dell'efficacia del controllo attuale (GGRPStrumento3)** **Esempio di Woodgrove:** per illustrare la modalità di utilizzo dei valori che misurano l'efficacia dei controlli, la tabella riportata di seguito riepiloga solo i valori relativi al rischio di violazione di host della LAN. Per l'esempio completo, vedere il documento GGRPStrumento3-Priorità rischi livello dettagliato.xls: **Tabella 4.2. Esempio di Woodgrove — Valori dell'efficacia dei controlli**

Domanda sull'efficacia dei controlli	Valore	Descrizione
Le responsabilità sono definite e applicate in modo efficace?	0 (sì)	Le responsabilità per la creazione di criteri e la conformità degli host sono definite in modo adeguato.
Le informazioni vengono comunicate e seguite in modo efficace?	0 (sì)	Agli utenti vengono inviate notifiche periodiche e condotte campagne di informazione di carattere generale.
I processi vengono definiti ed eseguiti in modo efficace?	0 (sì)	La misurazione e l'applicazione della conformità ai requisiti vengono documentate e monitorate.
La tecnologia o i controlli esistenti riducono i pericoli in modo efficace?	1 (no)	I controlli esistenti non consentono un'implementazione rapida delle patch nei sistemi vulnerabili.
Le procedure di controllo esistenti sono sufficienti per rilevare usi impropri o carenze nei controlli?	0 (sì)	I controlli delle misurazioni e della conformità sono efficaci, in base agli strumenti attualmente disponibili.
Somma di tutti gli attributi dei controlli:	1

A questo punto, aggiungere il valore della figura Vulnerabilità (Figura 4.16) al valore della figura Controlli attuali (Figura 4.17) e inserire il totale nel modello dettagliato. Fare riferimento al modello mostrato nella seguente figura. [.gif "Figura 4.18 Foglio di lavoro per l'analisi dei rischi: valutazione della probabilità con il controllo (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0418_big(it-it,technet.10).gif) **Figura 4.18 Foglio di lavoro per l'analisi dei rischi: valutazione della probabilità con il controllo (GGRPStrumento3)** **Esempio di Woodgrove:** il totale della valutazione della probabilità per l'esempio degli host della LAN è 6 (5 per la vulnerabilità e 1 per l'efficacia dei controlli). ###### Attività 4 - Determinare il rischio a livello dettagliato La figura riportata di seguito mostra il riepilogo dettagliato per valutare il livello di rischio di ciascun rischio identificato. Benché la valutazione di un rischio a livello dettagliato possa apparire un processo complicato, è possibile fare riferimento alla logica alla base di ciascuna attività di valutazione del rischio utilizzando le figure precedenti. La capacità di registrare tutte le attività nella definizione dei rischi si rivela particolarmente utile nel favorire la comprensione da parte degli interessati delle informazioni utilizzate nel processo di valutazione dei rischi. [.gif "Figura 4.19 Foglio di lavoro per l'analisi dei rischi: definizione del livello dettagliato di rischio (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0419_big(it-it,technet.10).gif) **Figura 4.19 Foglio di lavoro per l'analisi dei rischi: definizione del livello dettagliato di rischio (GGRPStrumento3)** **Esempio di Woodgrove:** la figura riportata di seguito illustra un esempio di elenco dettagliato dei rischi per Woodgrove Bank. Gli stessi dati sono presentati in GGRPStrumento3. [.gif "Figura 4.20 Esempio di Woodgrove Bank: elenco dettagliato dei rischi (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0420_big(it-it,technet.10).gif) **Figura 4.20 Esempio di Woodgrove Bank: elenco dettagliato dei rischi (GGRPStrumento3)** La figura precedente mostra il contenuto della valutazione del rischio e i relativi dati costitutivi. Come osservato in precedenza, la valutazione del rischio è il prodotto della valutazione dell'impatto (il cui valore è compreso tra 1 e 10) e la valutazione della probabilità (il cui valore è compreso tra 0 e 10). Il risultato rientra in un intervallo di valori compreso tra 0 e 100. Applicando la stessa logica utilizzata per la creazione dell'elenco sommario dei rischi, è possibile comunicare il rischio a livello dettagliato in termini qualitativi come alto, medio o basso. Ad esempio, un impatto medio e una probabilità alta producono una valutazione di rischio alto. Tuttavia, l'elenco dettagliato dei rischi specifica ulteriormente ciascun livello di rischio, come mostrato nella seguente figura. [.gif "Figura 4.21 Foglio di lavoro per l'analisi dei rischi: elaborazione di una classificazione qualitativa sommaria (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0421_big(it-it,technet.10).gif) **Figura 4.21 Foglio di lavoro per l'analisi dei rischi: elaborazione di una classificazione qualitativa sommaria (GGRPStrumento3)** I livelli dettagliati di rischio devono essere utilizzati solo come indicazione. Come discusso nel Capitolo 3, il Team di gestione dei rischi di protezione deve essere in grado di comunicare all'organizzazione, per iscritto, il significato di rischio alto, medio e basso. Il processo di gestione dei rischi di protezione Microsoft è semplicemente uno strumento per identificare e gestire i rischi in un'organizzazione in modo uniforme e replicabile. #### Quantificazione del rischio Come descritto nel Capitolo 2, il processo di gestione dei rischi di protezione Microsoft adotta in primo luogo un approccio qualitativo per identificare i rischi e definirne le priorità in modo tempestivo ed efficace. Tuttavia, quando si sceglie la strategia ottimale per la riduzione dei rischi, il calcolo del potenziale costo finanziario di un rischio è altrettanto importante. Pertanto, per i rischi ad alta priorità o controversi, il processo fornisce anche le indicazioni per eseguire stime quantitative. Le attività per la quantificazione dei rischi vengono eseguite dopo il processo di creazione dell'elenco dettagliato dei rischi a causa del tempo e delle risorse richiesti per raggiungere un accordo sulle stime finanziarie. È possibile che la quantificazione dei rischi di livello basso richieda tempi considerevoli se i rischi vengono quantificati in un momento precedente del processo. Naturalmente, una stima finanziaria è utile quando si confrontano i diversi costi delle strategie di riduzione dei rischi. Tuttavia, a causa della natura soggettiva della valutazione delle risorse non tangibili, non esiste un algoritmo universale per la quantificazione dei rischi. La procedura per il calcolo esatto delle perdite finanziarie può rallentare il processo di valutazione dei rischi a causa di possibili disaccordi tra gli interessati. Il Team di gestione dei rischi di protezione deve spiegare chiaramente che la stima quantitativa è solo uno dei numerosi valori che determinano la priorità o il costo potenziale di un rischio. Uno dei vantaggi dell'uso del modello qualitativo per definire prima le priorità dei rischi è la possibilità di utilizzare le descrizioni qualitative per l'applicazione coerente di un algoritmo quantitativo. Ad esempio, l'approccio quantitativo descritto di seguito utilizza la classe e i gradi di esposizione del bene identificati nelle discussioni sui rischi coordinate da un moderatore, documentati con gli interessati nella sezione di questo capitolo dedicata alla raccolta dei dati facilitata. Analogamente all'approccio qualitativo, la prima attività del metodo quantitativo è determinare il valore complessivo di un bene. La seconda attività consiste nel determinare la portata dei danni su un bene, seguita dal calcolo della probabilità che ciò avvenga. Per contribuire alla riduzione del grado di soggettività del calcolo quantitativo, il processo di gestione dei rischi di protezione Microsoft consiglia di utilizzare le classi dei beni per determinare il *valore complessivo* e il fattore di esposizione del bene per calcolare la *percentuale* di danni al bene. Questo approccio limita il risultato quantitativo a tre classi di beni e cinque fattori di esposizione o 15 possibili valori quantitativi del bene. Tuttavia, il valore che calcola la probabilità non è limitato. In base alle esigenze dell'organizzazione, è possibile scegliere di comunicare la probabilità in termini di intervallo di tempo o tentare di annualizzare il costo del rischio. L'obiettivo è trovare un equilibrio tra la facilità di scelta di una classificazione relativa dell'approccio qualitativo e la difficoltà di una valutazione finanziaria e del calcolo delle probabilità dell'approccio quantitativo. Le cinque attività descritte di seguito consentono di determinare il valore quantitativo: - **Attività 1** — Assegnare un valore monetario a ciascuna classe di beni dell'organizzazione. - **Attività 2** — Specificare il valore del bene per ciascun rischio. - **Attività 3** — Produrre un unico valore per rappresentare la previsione di perdita. - **Attività 4** — Determinare il tasso di occorrenza annuo (ARO). - **Attività 5** —  Determinare la previsione di perdita annua (ALE). **Nota:** le attività associate alla quantificazione dei rischi di protezione sono simili alle fasi utilizzate nel settore assicurativo per calcolare il valore dei beni, i rischi e la copertura appropriata. Al momento in cui questo documento è stato scritto, le polizze di assicurazione per i rischi legati alla protezione delle informazioni cominciavano a diffondersi. Man mano che il settore assicurativo acquisirà esperienza nella valutazione dei rischi legati alla protezione delle informazioni, strumenti come le tabelle attuariali per la protezione delle informazioni forniranno utili indicazioni per la quantificazione dei rischi. ##### Attività 1 - Assegnare valori monetari alle classi di beni Servendosi delle definizioni per le classi di beni descritte nella sezione sulla raccolta dei dati facilitata, iniziare la quantificazione dei beni che si adatta alla descrizione della classe ad alto impatto aziendale. In questo modo, il Team di gestione dei rischi di protezione potrà eseguire per prima la valutazione delle risorse più importanti per l'organizzazione. Per ciascun bene, assegnare valori monetari per le risorse tangibili e non tangibili dell'organizzazione. Utilizzare come riferimento le categorie seguenti per calcolare il costo di impatto complessivo per ciascun bene: - Costo per la sostituzione - Costi per la manutenzione - Costi di ridondanza/disponibilità - Reputazione dell'organizzazione/del settore - Produttività aziendale - Profitti annuali - Competitività - Efficienza operativa interna - Responsabilità legale/di conformità alle normative **Nota:** la cartella di lavoro GGRPStrumento3-Priorità rischi livello dettagliato contiene un foglio di lavoro che semplifica questo processo. Una volta calcolati i valori monetari per ciascuna categoria, sommare i valori per determinare la stima del bene. Ripetere il procedimento per tutti i beni rappresentati nella classe ad alto impatto aziendale. Il risultato è un elenco di beni prioritari e una stima approssimativa del relativo valore monetario per l'organizzazione. Ripetere il procedimento per i beni che rientrano nelle classi a medio e basso impatto aziendale. All'interno di ciascuna classe di beni, scegliere un solo valore monetario che rappresenti il valore della classe. Un approccio conservativo consiste nello scegliere il valore del bene più basso in ciascuna classe. Questo valore verrà utilizzato per rappresentare il valore di un bene in base alla relativa classe scelta dagli interessati durante le discussioni per la raccolta dei dati facilitata. Un tale approccio semplifica l'attività di assegnazione dei valori monetari per ciascun bene poiché utilizza le classi dei beni scelte nelle discussioni per la raccolta dei dati. **Nota:** un altro approccio per la valutazione dei beni consiste nel collaborare con il team addetto alla gestione dei rischi finanziari che può disporre della valutazione assicurativa e dei dati di copertura relativi a beni specifici.   ##### Uso delle indicazioni di materialità Se si incontrano difficoltà nella scelta dei valori delle classi dei beni attraverso il metodo sopra descritto, un altro approccio consiste nell'utilizzare le linee guida associate alla definizione di materialità nei rendiconti finanziari prodotti dalle società quotate in borsa degli Stati Uniti. La comprensione delle linee guida sulla materialità per un'organizzazione può essere utile per la scelta del valore di un bene per la stima quantitativa. Il Financial Accounting Standards Board (FASB) degli Stati Uniti afferma quanto segue in relazione ai rendiconti finanziari delle società quotate in borsa: "Le disposizioni di questo rendiconto non devono essere applicate alle voci non materiali". Per ulteriori informazioni, visitare il sito [www.sec.gov/interps/account/sab99.htm](http://www.sec.gov/interps/account/sab99.htm). Questa affermazione è da tenere in considerazione perché il FASB non utilizza un algoritmo per determinare la materialità di un bene e mette in guardia dall'utilizzare metodi esclusivamente quantitativi. Al contrario, afferma la necessità di valutare tutte le considerazioni pertinenti: "Il FASB ha rifiutato un approccio di tipo formulistico per eliminare 'l'oneroso obbligo di prendere decisioni sulla materialità' a favore di un approccio che tiene conto di tutte le considerazioni pertinenti". Sebbene non esista alcuna formula, la Security Exchange Commission degli Stati Uniti, nella pubblicazione Staff Accounting Bulletin No. 99, accetta l'uso di una regola di riferimento generale nella contabilità pubblica per semplificare l'individuazione di rendiconti materiali errati. Per ulteriori informazioni, visitare il sito [www.sec.gov/interps/account/sab99.htm](http://www.sec.gov/interps/account/sab99.htm). La regola di riferimento generale menzionata è il 5% dei valori del rendiconto finanziario. Ad esempio, un metodo per calcolare la materialità su un'entrata netta di 8 miliardi di dollari è di analizzare ulteriormente possibili rendiconti errati di 400 milioni di dollari o di un gruppo di rendiconti errati che assomma a 400 milioni di dollari. Le linee guida sulla materialità variano in modo significativo in base all'organizzazione. Utilizzare le linee guida che definiscono la materialità solo come riferimento. Il processo di gestione dei rischi di protezione Microsoft non ha l'obiettivo di rappresentare, in alcun modo, la posizione finanziaria di un'organizzazione. L'uso delle linee guida sulla materialità può essere utile per calcolare il valore di beni ad alto impatto aziendale. Tuttavia, le linee guida sulla materialità possono rivelarsi inutili se si scelgono stime di livello medio o basso. Tenere presente che la procedura di calcolo dell'impatto ha carattere soggettivo. L'obiettivo è selezionare i valori significativi per l'organizzazione. Un valido suggerimento per la determinazione dei valori medi e bassi è scegliere un valore monetario significativo in relazione all'importo speso dall'organizzazione in risorse informatiche. È possibile scegliere anche di fare riferimento ai costi attuali sui controlli specifici per la protezione da applicare a ciascuna classe di beni. Ad esempio, per i beni a medio impatto aziendale, è possibile confrontare il valore con le spese correnti per i controlli di base dell'infrastruttura di rete. Qual è, ad esempio, il costo complessivo stimato per il software, l'hardware e le risorse operative per fornire servizi antivirus all'organizzazione? Questa indicazione fornisce un riferimento per il confronto dei beni con un importo monetario noto dell'organizzazione. Ad esempio, un valore a medio impatto aziendale può essere valutato quanto o più della spesa corrente per i firewall di protezione dei beni. **Esempio di Woodgrove:** il Team di gestione dei rischi di protezione di Woodgrove ha collaborato con i principali interessati nell'assegnazione dei valori monetari per le classi dei beni. Poiché la gestione dei rischi è una pratica nuova in Woodgrove, la società ha deciso di utilizzare le linee guida sulla materialità come punto di partenza per la valutazione dei beni. La società ha programmato di rivedere le stime quando acquisirà maggiore esperienza. Woodgrove genera un'entrata netta annuale pari a circa 200 milioni di dollari. Applicando l'indicazione del 5% di materialità, alla classe di beni ad alto impatto aziendale viene assegnato un valore di 10 milioni di dollari. In base alle spese degli anni precedenti per le risorse informatiche di Woodgrove, gli interessati hanno scelto un valore di 5 milioni di dollari per i beni a medio impatto aziendale e di 1 milione di dollari per quelli a basso impatto. Questi valori sono stati scelti in quanto i grandi progetti IT utilizzati per supportare e proteggere i beni digitali di Woodgrove sono sempre rientrati in questo intervallo. Anche questi valori verranno rivalutati durante il successivo ciclo annuale di gestione dei rischi. ##### Attività 2 - Identificare il valore dei beni Una volta determinati i valori delle classi di beni dell'organizzazione, identificare e selezionare il valore appropriato per ciascun rischio. Il valore della classe di beni deve essere allineato al gruppo di classi di beni scelto dagli interessati durante le discussioni per la raccolta dei dati. Si tratta della stessa classe utilizzata per gli elenchi dei rischi sommario e dettagliato. Questo approccio riduce le dispute sul valore di un bene specifico poiché è già stato determinato il valore della classe a cui il bene appartiene. È opportuno ribadire che il processo di gestione dei rischi di protezione Microsoft tenta di trovare un equilibrio ottimale tra precisione ed efficacia. **Esempio di Woodgrove:** i dati finanziari sui clienti sono stati identificati come bene ad alto impatto aziendale durante le discussioni per la raccolta dei dati. Pertanto, il valore del bene viene calcolato in 10 milioni di dollari in base al valore Alto definito sopra. ##### Attività 3 - Produrre il valore di previsione di perdita singola (SLE) A questo punto del processo, è necessario determinare la portata dei danni per il bene. Utilizzare lo stesso grado di esposizione identificato nelle discussioni per la raccolta dei dati per determinare la percentuale di danni al bene. Questa percentuale viene definita fattore di esposizione. La stessa valutazione viene utilizzata per gli elenchi dei rischi sommario e dettagliato. Un approccio conservativo consiste nell'applicare una scala di slittamento lineare per ciascun valore del grado di esposizione. Il processo di gestione dei rischi di protezione Microsoft consiglia di utilizzare una scala di slittamento del 20% per ciascun valore del grado di esposizione. Questo valore può essere adattato in base alle esigenze delle singole organizzazioni. L'ultima operazione consiste nel moltiplicare il valore del bene per il fattore di esposizione per produrre la stima quantitativa dell'impatto. Nei modelli quantitativi tradizionali, questo valore è noto come valore di previsione di perdita singola (SLE), ad esempio il valore del bene moltiplicato per il fattore di esposizione. Fare riferimento alla seguente figura contenente un esempio di approccio quantitativo semplice. Osservare che nell'esempio riportato di seguito la classe ad alto impatto aziendale viene semplicemente divisa a metà per determinare i valori medi e bassi. È possibile che sia necessario correggere tali valori man mano che si acquisisce esperienza con il processo di valutazione dei rischi. [.gif "Figura 4.22 Foglio di lavoro per l'analisi dei rischi: quantificazione della previsione di perdita singola (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0422_big(it-it,technet.10).gif) **Figura 4.22 Foglio di lavoro per l'analisi dei rischi: quantificazione della previsione di perdita singola (GGRPStrumento3)** **Esempio di Woodgrove:** La figura riportata di seguito rappresenta i valori che consentono di determinare il valore SLE per i due rischi citati nell'esempio. [.gif "Figura 4.23 Esempio di valore SLE per Woodgrove Bank; valore in milioni di dollari (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0423_big(it-it,technet.10).gif) **Figura 4.23 Esempio di valore SLE per Woodgrove Bank; valore in milioni di dollari (GGRPStrumento3)** ##### Attività 4 - Determinare il tasso di occorrenza annuo (ARO) Una volta calcolata la previsione di perdita singola, è necessario integrare la probabilità per completare la stima di rischio finanziario. Un approccio comunemente utilizzato consiste nel calcolare la frequenza con cui il rischio potrebbe manifestarsi in futuro. Questo calcolo viene quindi convertito in una stima annua. Ad esempio, se il Gruppo protezione informatica ritiene che un rischio possa manifestarsi due volte in un anno, il tasso di occorrenza annuo sarà 2. Se un rischio ha una probabilità di manifestarsi una volta ogni tre anni, il tasso di occorrenza annuo sarà del 33% o 0,33. Per semplificare il calcolo delle probabilità, utilizzare l'analisi qualitativa descritta sopra nel calcolo dettagliato del rischio. La figura riportata di seguito può essere utilizzata come riferimento per identificare e comunicare il valore quantitativo che consente di determinare il tasso di occorrenza annuo. [.gif "Figura 4.24 Quantificazione del tasso di occorrenza annuo (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0424_big(it-it,technet.10).gif) **Figura 4.24 Quantificazione del tasso di occorrenza annuo (GGRPStrumento3)** La figura precedente serve solo da riferimento. Il Gruppo protezione informatica deve comunque scegliere un solo valore per rappresentare il tasso di occorrenza annuo. **Esempio di Woodgrove:** il Team di gestione dei rischi di protezione determina i seguenti tassi di occorrenza annui per i rischi indicati nell'esempio: 1. Tasso di occorrenza annuo del rischio relativo agli host della LAN: utilizzando la valutazione qualitativa di probabilità media, il Team di gestione dei rischi di protezione calcola che il rischio può verificarsi almeno una volta ogni due anni. Pertanto, il tasso di occorrenza annuo stimato è 0,5. 2. Tasso di occorrenza annuo del rischio relativo agli host remoti: utilizzando anche in questo caso la valutazione qualitativa di probabilità alta, il Team di gestione dei rischi di protezione calcola che il rischio può verificarsi almeno una volta all'anno. Pertanto, il tasso di occorrenza annuo stimato è 1. ##### Attività 5 - Determinare la previsione di perdita annua (ALE) Per completare l'equazione quantitativa, moltiplicare il tasso di occorrenza annuo con la previsione di perdita singola. Il prodotto ottenuto corrisponde alla previsione di perdita annua. Previsione di perdita annualizzata (ALE) = SLE \* ARO La previsione di perdita annuale tenta di rappresentare il costo potenziale del rischio su base annuale. Benché questo valore possa semplificare la stima dei costi per gli interessati che si occupano dei risultati finanziari, il Team di gestione dei rischi di protezione deve ribadire il concetto che l'impatto sull'organizzazione non può essere inserito come parte delle spese annue. Se viene identificato un rischio, l'impatto sull'organizzazione può raggiungere la portata massima. Una volta determinata la stima quantitativa del rischio, consultare il foglio di lavoro dei rischi dettagliati che contiene una colonna supplementare in cui sono riportate eventuali motivazioni o spiegazioni da includere nella stima quantitativa. Questa colonna consente di dare una giustificazione alla stima quantitativa e fornire eventuali prove a supporto dei calcoli eseguiti. **Esempio di Woodgrove:** la tabella riportata di seguito mostra i calcoli di base per la determinazione della previsione di perdita annua per ciascun rischio menzionato nell'esempio. Osservare che anche una sola modifica a uno dei valori può far variare significativamente il valore della previsione di perdita annua. Servirsi dei dati qualitativi per giustificare e determinare la stima quantitativa. [.gif "Figura 4.25 Esempio di valore ALE per Woodgrove Bank; valori in milioni di dollari (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163154.rmch0425_big(it-it,technet.10).gif) **Figura 4.25 Esempio di valore ALE per Woodgrove Bank; valori in milioni di dollari (GGRPStrumento3)** [](#mainsection)[Inizio pagina](#mainsection) ### Riepilogo La fase di valutazione dei rischi del ciclo di gestione dei rischi è necessaria per la gestione dei rischi all'interno di un'organizzazione. Durante le attività di pianificazione, raccolta dei dati facilitata e definizione delle priorità, tenere presente che lo scopo della fase di valutazione dei rischi non è solo quello di identificare i rischi e definirne le priorità ma di eseguire queste operazioni in modo efficace e tempestivo. Il processo di gestione dei rischi di protezione Microsoft utilizza un approccio misto che include un'analisi di tipo qualitativo, per identificare rapidamente i rischi e classificarli in ordine di importanza, e un'analisi di tipo quantitativo in cui vengono utilizzati attributi finanziari per definire ulteriormente i rischi identificati. #### Favorire il successo nella fase di supporto alle decisioni Al termine della definizione delle priorità dei rischi condotta dal Team di gestione dei rischi di protezione, è necessario avviare il processo di identificazione delle strategie appropriate di riduzione dei rischi. Per semplificare il compito degli interessati di identificare le possibili soluzioni di riduzione dei rischi, il team deve creare una serie di requisiti funzionali per consentire la definizione dell'ambito di applicazione della strategia per ciascun titolare della strategia di riduzione dei rischi. Le attività per la definizione di requisiti funzionali sono descritte all'interno del processo di supporto alle decisioni nel capitolo successivo (Capitolo 5, "Supporto alle decisioni"). [](#mainsection)[Inizio pagina](#mainsection)