Aggiornamenti recenti Maggio 13th, 2025 9:00 AM
Ott 02, 2023 Marina Londei Approfondimenti, RSS 0
La maggior parte dei leader di cybersecurity segue un approccio qualitativo per l’analisi del rischio informatico. Questo approccio mettere in relazione la probabilità che si verifichi un incidente di sicurezza con l’impatto che avrà sull’organizzazione per classificare il rischio in categorie predefinite (basso, medio, alto, critico).
Come sottolinea Fawaz Rasheed di Security Week, è difficile definire con certezza questi limiti perché mancano delle misure oggettive a corredo. Il confine tra rischio “alto” e “critico” è molto sottile e non è facile distinguere quando finisce una categoria e comincia l’altra.
In secondo luogo, nel compilare queste matrici spesso le imprese non considerano la tolleranza al rischio per le diverse aree operative: alcuni reparti hanno livelli di tolleranza più alti di altri, e se non si tiene in considerazione questa differenza la descrizione del rischio aziendale rimane incompleta e imprecisa.
Credits: HayDimitriy- Depositphotos
Un altro errore è quello di non prendere in considerazione l’impatto finanziario del rischio: le imprese tendono a valutare le conseguenze sull’operatività dei sistemi e la disponibilità dei servizi, ma usano indicatori precisi per la perdita economica. Misurare l’impatto finanziario serve a dare la giusta priorità agli interventi di sicurezza e a programmare gli investimenti in modo da ridurre al massimo le perdite.
L’analisi quantitativa consente di misurare gli impatti del rischio in maniera più precisa. In questo approccio si utilizza una scala di valori da associare al rischio che prendono in considerazione il valore di ogni risorsa, la frequenza delle minacce e la probabilità di una perdita in seguito a un incidente.
Le aziende sono ancora riluttanti a fare questo passo perché l’approccio viene considerato troppo complesso, soprattutto nella fase iniziale di misurazione. In molti casi c’è anche un problema di comfort zone: i CIO non vogliono rinnovare i metodi di valutazione del rischio perché hanno familiarità con i vecchi approcci e non vedono il bisogno di cambiare.
I leader di sicurezza continuano a basarsi sulla propria esperienza e sull’intuizione per definire i livelli di rischio e gli impatti, ma con questo metodo si rischia di commettere sempre gli stessi errori e di non avere un metro di paragone oggettivo.
Migrare da un approccio qualitativo a uno quantitativo non è semplice e può rivelarsi un processo anche molto lungo, ma non si possono ignorare i benefici che ne derivano. L’analisi quantitativa del rischio informatico è più accurata rispetto a metodi più tradizionali, e può aiutare le aziende a migliorare la sicurezza dei sistemi e ottimizzare gli investimenti.
Mar 25, 2025 0
Mar 10, 2025 0
Nov 25, 2024 0
Ott 21, 2024 0
Mag 13, 2025 0
Mag 12, 2025 0
Mag 12, 2025 0
Mag 09, 2025 0
Mag 12, 2025 0
Stando all’ultimo report sulle minacce al settore...Mag 06, 2025 0
Le minacce informatiche continuano a evolversi e, anche se...Apr 29, 2025 0
Secondo una recente analisi pubblicata dal Threat...Apr 18, 2025 0
I ricercatori di Cisco Talos hanno pubblicato una nuova...Apr 15, 2025 0
La diffusione dell’IA e il progressivo miglioramento...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 13, 2025 0
Il ransomware è l’incubo di ogni organizzazione...Mag 12, 2025 0
Stando all’ultimo report sulle minacce al settore...Mag 12, 2025 0
Il CERT-AGID ha registrato un’attività particolarmente...Mag 09, 2025 0
Il gruppo ransomware LockBit ha subito una compromissione...Mag 09, 2025 0
Qualche giorno fa i ricercatori di Aikido hanno individuato...