Come valutare i rischi in una azienda
Sicurezza informatica, cybersecurity sono tematiche entrate a far parte di prepotenza dell’ambito sanitario. Questa crescente attenzione è giustificabile dal fatto che le moderne tecnologie informatiche hanno e continueranno ad avere, un forte impatto sulle aziende e sulle organizzazione che operano con le nuove tecnologie a disposizione (ad esempio aziende nel settore IT).
La valutazione del rischio è dunque un processo in continuo miglioramento, in quanto nel tempo i fattori di rischio, esterni o interni, possono cambiare o presentarsi in forme impreviste. La struttura del processo di gestione del rischio passa attraverso le risposte alle seguenti domande:
- Cosa può succedere? (evento o minaccia);
- Se succede, quanto può essere negativo? (impatto);
- Con che frequenza può verificarsi tale evento?
- Quale è la probabilità che si verifichi?
Al termine di tale attività dovremmo essere in grado di capire quali comportamenti/azioni sono da evitare. Questo non è, però, sufficiente in quanto occorre anche identificare quali azioni è opportuno attuare come fattori fondamentali di successo. Anche qui strutturalmente si possono sintetizzare tre domande:
- Cosa posso fare? (mitigazione o minimizzazione del rischio);
- Quanto mi costa? (non solo in termini economici, ma anche di risorse, capacità, mezzi).
- Ne vale la pena?
Da quanto detto fino ad ora, emerge chiaramente una integrazione indissolubile tra gestione del rischio e gestione dei processi da parte dell’Organizzazione o azienda. Dunque per una corretta gestione dei rischi si definiscono i ruoli, le responsabilità e le attività necessarie per la gestione del rischio delle reti IT delle strutture aziendali per assicurarne la sicurezza e l’efficacia informatica.