a. Un intervento sul rischio ha l’obiettivo di ridurlo; è molto improbabile, per non dire impossibile, che un rischio possa essere azzerato.
b. La mitigazione del rischio può essere perseguita con modalità e/o strumenti diversi e spesso con una combinazione degli stessi.
c. Il costo della mitigazione non deve superare il beneficio in termini di riduzione del rischio.
d. Gli strumenti di mitigazione introducono inevitabilmente ulteriore complessità, possono soffrire di imperfezioni ed errori di implementazione, è buona norma adottare solo quelli strettamente necessari.
È importante sapere che la mitigazione di un rischio può essere di tre tipi:
Amministrativo: policy / regolamenti, controlli manageriali e amministrativi, procedure, formazione ecc.
Tecnico / Logico: sistemi di controllo degli accessi, crittografia, dispositivi HW, sistemi SW ecc.
Fisico: serrature, accessi controllati, sensori, videocamere, allarme ecc.
I dispositivi utilizzati per mitigazione di un rischio sono denominati Controlli, possono avere finalità diverse tra loro e spesso sono complementari:
Prevenzione: regolamenti e procedure di sicurezza, training, sistema anti-malware, sistema antintrusione, controllo accessi, screen-saver, crittografia, firewall ecc.
Ispezione: monitoraggio, supervisione, controlli ecc.
Correzione: backup e restore, anti-malware, Security Operation Center (SOC)
Compensazione: sistemi ridondanti (server, apparati, connessioni) ecc.
Il valore a rischio, l’efficacia dei controlli, il costo dei controlli sono i criteri guidano il Fractional CISO e l’Azienda alla scelta della soluzione idonea.