L’analisi del rischio
Da un punto di vista matematico R = P x M ovvero il rischio è il prodotto della probabilità di un evento dannoso moltiplicata per la magnitudo dell’evento stesso. In parole povere, se un evento critico è probabile che avvenga, ma le conseguenze sono minime, il rischio è basso. Se un evento critico è rarissimo e le conseguenze sono minime il rischio è praticamente nullo. Tuttavia per giungere ad una conclusione occorre un’analisi attenta delle varie situazioni che si possono creare: quanto è probabile che un hacker prenda di mira la mia azienda o il mio Ente? Se accade a quali dati può avere accesso? Un’intrusione fisica nei locali a cosa può dare accesso?
E così via. Da queste analisi dovrebbero scaturire le azioni correttive. Se, ad esempio, devo dare accesso a dati poco sensibili ma tratto anche dati delicati, può avere senso separare fisicamente i server e limitare l’accesso ai dati maggiormente critici. Se una delle tante persone, per distrazione o per dolo non conserva la password ci si trova un secondo livello di protezione per i dati più sensibili. Se il locale server è troppo vicino ad un luogo di passaggio poco controllato, pensiamo ai corridoi di un’università o di un grande Ente pubblico, occorrerà cercare di spostarlo, oppure di proteggere molto bene l’accesso, magari con protezioni multiple meccaniche e digitali.
Insomma, l’analisi del rischio non solo non è facile, ma non è neppure sufficiente, se, una volta individuato il rischio, ci si limita ad ammirarlo senza far nulla.