Un modello di valutazione delle minacce è una rappresentazione del piano di un'organizzazione riguardante l'identificazione delle possibili minacce e i mezzi che implementerà per minimizzare o contrastare tali minacce. Tali modelli possono utilizzare fogli di calcolo, grafici, diagrammi di flusso, diagrammi o una serie di altri aiuti per illustrare i loro punti necessari.
Scopo
Lo scopo di un modello di valutazione delle minacce è quello di fornire alle organizzazioni la possibilità di identificare possibili minacce prima che si verifichino e di delineare modi per prevenirli o invertirne gli effetti. Man mano che un'organizzazione diventa sempre più grande e complessa, i vari tipi di minacce che affronta possono crescere in numero e grandezza, ed è importante avere un modello stabilito che l'organizzazione può utilizzare per organizzare e analizzare queste minacce e quindi implementare contromisure contro di esse. Cercare di minimizzare le minacce senza l'uso di un modello può essere fonte di confusione, inefficienza e persino controproducente.
usi
I modelli di valutazione delle minacce possono essere utili quando si tratta di questioni di responsabilità, come i rischi per la sicurezza che potrebbero indurre i clienti a presentare cause civili contro un rivenditore. Possono anche occuparsi di cose come la sicurezza del computer, che può essere estremamente importante per le aziende che si occupano di vasti depositi di informazioni sull'account del cliente, specialmente quando memorizzano informazioni come numeri di carte di credito, indirizzi e numeri di previdenza sociale. Prendendo nota delle possibili minacce e arrivando a modi di trattare con loro, le organizzazioni possono proteggere se stesse, la loro reputazione, i loro clienti e la società in generale.
Problemi principali
Secondo la "An Overview of Threat and Risk Assessment" di James Bayne per il SANS Institute, una fonte per la formazione sulla sicurezza delle informazioni, qualsiasi modello di valutazione delle minacce deve affrontare una serie di questioni chiave. Innanzitutto, deve identificare ciò che deve essere protetto, come le risorse fisiche o le informazioni sensibili. Secondo, deve identificare tutte le minacce e le vulnerabilità che l'organizzazione deve affrontare. In terzo luogo, deve delineare tutte le implicazioni di ciò che accadrebbe se qualcuno dei beni preziosi dovesse essere perso. In quarto luogo, deve fornire alcune soluzioni su come l'organizzazione può ridurre al minimo la sua esposizione a tali minacce.
Analizzando le minacce
Nel condurre una valutazione delle minacce, è necessario analizzare la natura e la gravità delle minacce che l'organizzazione deve affrontare. L'aspetto più importante della categorizzazione delle minacce è identificarli come umani o non umani. Una minaccia umana, ad esempio, sarebbe un hacker, un impiegato scontento, un impiegato addestrato impropriamente o un ladro. Una minaccia non umana sarebbe un disastro naturale o un guasto alle apparecchiature. Un modello di valutazione delle minacce deve aiutarti a elencare tutte queste minacce e a quantificarne il grado di gravità.
