Ripasso rapido: Gestione del rischio – ISC2 CC

Cosa devi sapere davvero

La gestione del rischio è il processo con cui una organizzazione identifica, valuta e tratta i rischi che possono danneggiare sistemi, dati, persone, processi o servizi.

Per ISC2 CC devi capire che la sicurezza non consiste solo nel bloccare minacce, ma nel ridurre il rischio a un livello accettabile per l’organizzazione. Non tutti i rischi possono essere eliminati: alcuni vengono mitigati, altri accettati, trasferiti o evitati.

Concetti chiave

• Asset: qualcosa che ha valore per l’organizzazione, come dati, sistemi, applicazioni o servizi.
• Minaccia: evento o attore che può causare un danno.
• Vulnerabilità: debolezza che può essere sfruttata da una minaccia.
• Rischio: possibilità che una minaccia sfrutti una vulnerabilità causando un impatto.
• Impatto: conseguenza negativa se il rischio si concretizza.
• Probabilità: possibilità che un evento accada.
• Rischio residuo: rischio che rimane dopo l’applicazione dei controlli.
• Mitigazione: riduzione del rischio tramite controlli.
• Accettazione: decisione consapevole di tollerare un rischio.
• Trasferimento: spostamento parziale del rischio, ad esempio tramite assicurazione o outsourcing.
• Evitamento: eliminazione dell’attività che genera il rischio.

Differenze da non confondere

Concetto	Significato principale
Asset	Risorsa da proteggere
Minaccia	Qualcosa che può causare danno
Vulnerabilità	Debolezza sfruttabile
Rischio	Probabilità e impatto di un evento dannoso
Impatto	Danno o conseguenza negativa
Probabilità	Possibilità che accada
Rischio residuo	Rischio rimasto dopo i controlli
Mitigazione	Riduzione del rischio
Accettazione	Tollerare consapevolmente il rischio
Trasferimento	Spostare parte del rischio
Evitamento	Eliminare l’attività rischiosa

Asset, minacce e vulnerabilità

La gestione del rischio parte dagli asset. Un asset può essere un database, un server, una applicazione, un account privilegiato, una rete, un servizio cloud o una informazione sensibile.

Una minaccia può essere un attaccante, un malware, un errore umano, un guasto tecnico, un incendio, una perdita di connettività o un fornitore compromesso.

Una vulnerabilità è una debolezza che rende possibile o più probabile un danno: password deboli, sistemi non aggiornati, configurazioni errate, assenza di backup, accessi eccessivi o mancanza di formazione.

Il rischio nasce quando una minaccia può sfruttare una vulnerabilità su un asset importante.

Probabilità e impatto

Il rischio viene spesso valutato combinando probabilità e impatto.

La probabilità indica quanto è possibile che un evento accada.

L’impatto indica quanto sarebbe grave il danno se l’evento accadesse.

Un evento molto probabile ma con impatto basso può essere meno critico di un evento raro ma con impatto molto alto. Per questo la gestione del rischio deve considerare entrambe le dimensioni.

Risk assessment

Il risk assessment è la valutazione del rischio. Serve a capire quali rischi esistono, quanto sono rilevanti e quali priorità assegnare.

Un processo semplice può includere:

• identificare gli asset;
• identificare minacce e vulnerabilità;
• stimare probabilità e impatto;
• valutare il livello di rischio;
• decidere quali controlli applicare;
• documentare e monitorare il rischio nel tempo.

Per ISC2 CC devi ricordare che il risk assessment aiuta a prendere decisioni basate sul rischio, non solo su percezioni o paura.

Risk treatment

Dopo aver valutato un rischio, bisogna decidere come trattarlo. Le strategie principali sono:

• mitigare;
• accettare;
• trasferire;
• evitare.

Queste opzioni sono molto frequenti nei quiz.

Mitigazione del rischio

Mitigare significa ridurre il rischio applicando controlli.

Esempi:

• applicare patch;
• usare MFA;
• configurare firewall;
• fare backup;
• formare gli utenti;
• segmentare la rete;
• monitorare gli accessi;
• rimuovere privilegi eccessivi.

La mitigazione non elimina sempre il rischio. Spesso lo riduce a un livello più accettabile.

Accettazione del rischio

Accettare un rischio significa decidere consapevolmente di tollerarlo.

Questa scelta può avere senso quando:

• il rischio è basso;
• il costo del controllo è troppo alto;
• l’impatto è limitato;
• l’organizzazione decide che il rischio residuo è accettabile.

Attenzione: accettare un rischio non significa ignorarlo. Deve essere una decisione consapevole, documentata e approvata.

Trasferimento del rischio

Trasferire un rischio significa spostarne una parte verso un soggetto esterno.

Esempi:

• assicurazione cyber;
• outsourcing;
• contratti con fornitori;
• servizi gestiti;
• accordi di responsabilità.

Il trasferimento non elimina completamente il rischio. Anche se un fornitore gestisce un servizio, l’organizzazione resta responsabile della propria sicurezza e della protezione dei dati.

Evitamento del rischio

Evitare un rischio significa eliminare l’attività che lo genera.

Esempio: se una applicazione obsoleta espone dati sensibili e non può essere protetta adeguatamente, l’organizzazione può decidere di dismetterla.

L’evitamento può essere efficace, ma non è sempre possibile, perché alcune attività sono necessarie per il business.

Rischio residuo

Il rischio residuo è il rischio che rimane dopo aver applicato i controlli.

Esempio:

• rischio iniziale: accesso non autorizzato ad account aziendali;
• controllo applicato: MFA;
• rischio residuo: phishing avanzato, furto di sessione o errore umano.

Il punto chiave è che la sicurezza riduce il rischio, ma raramente lo porta a zero.

Errori comuni nei quiz

• Confondere minaccia, vulnerabilità e rischio.
• Pensare che il rischio possa sempre essere eliminato completamente.
• Confondere mitigazione e trasferimento.
• Pensare che accettare un rischio significhi ignorarlo.
• Dimenticare che il rischio residuo rimane anche dopo i controlli.
• Pensare che il trasferimento del rischio elimini ogni responsabilità.
• Valutare il rischio solo in base alla probabilità senza considerare l’impatto.
• Dimenticare che la gestione del rischio deve essere documentata e riesaminata.

Mini scenario d’esame

Una azienda scopre che un vecchio server contiene dati sensibili e non riceve più aggiornamenti di sicurezza. Decide di sostituirlo con un sistema supportato e di migrare i dati.

Questa è una forma di mitigazione del rischio, perché l’organizzazione riduce la probabilità di compromissione applicando una soluzione più sicura.

Se invece decidesse di spegnere definitivamente il servizio perché non più necessario, sarebbe un esempio di evitamento del rischio.

Mini checklist prima del quiz

Prima di iniziare il quiz dovresti saper spiegare:

• cosa significa rischio;
• la differenza tra minaccia e vulnerabilità;
• cosa sono probabilità e impatto;
• cosa significa risk assessment;
• cosa significa mitigare un rischio;
• quando un rischio può essere accettato;
• cosa significa trasferire un rischio;
• cosa significa evitare un rischio;
• cosa indica il rischio residuo;
• perché i rischi devono essere monitorati nel tempo.