ISO 27001Risk

Risk assessment per il DR: il metodo che adottiamo

Un metodo qualitativo+quantitativo che porta in 4 ore a una matrice rischio-impatto utilizzabile davvero, non un PDF da archiviare.

2 min di lettura

TL;DR

Risk assessment per il DR in 4 ore: identificate i sistemi critici, mappate le minacce, valutate impatto e probabilità, decidete il trattamento. Output: una matrice 5×5 con i rischi prioritizzati. ISO 27005 + ISO 31000 come framework di riferimento.

I 4 passaggi

1. Identificazione degli asset (45 min)

Lista dei sistemi critici con metadati:

  • nome, ambiente, owner;
  • tipo dato (personale, finanziario, operativo);
  • valore di business (alto, medio, basso);
  • dipendenze ICT.

Output: foglio di calcolo con 10-30 asset.

2. Mappatura minacce (60 min)

Per ogni asset identificare 3-5 minacce rilevanti:

  • guasto hardware;
  • ransomware;
  • errore umano;
  • attacco mirato;
  • evento fisico (incendio, alluvione);
  • guasto fornitore esterno.

Per il DR le ultime quattro pesano di più.

3. Valutazione impatto e probabilità (90 min)

Scala 1-5 per ciascuno:

  • impatto: trascurabile, basso, medio, alto, critico;
  • probabilità: rara, improbabile, possibile, probabile, certa.

Risk score = impatto × probabilità.

4. Trattamento del rischio (45 min)

Per ogni rischio sopra una soglia (tipicamente score ≥ 12):

  • accettare (motivato in scrittura);
  • mitigare (con azioni concrete e responsabili);
  • trasferire (assicurazione);
  • evitare (cambio architettura).

Output: matrice di rischio + piano di trattamento.

Errori da evitare

  • score con 50 voci: troppo dettagliato, paralizza. Stare a 10-30 asset.
  • probabilità "stimate" senza dati: usare dati storici aziendali e benchmark di settore.
  • non aggiornarlo: vale 12 mesi, poi è da rifare.

Template usabile in mezza giornata

Cinque colonne in foglio elettronico:

| Asset | Minaccia | Impatto (1-5) | Probabilità (1-5) | Score | Trattamento | |---|---|---|---|---|---| | ERP | Ransomware | 5 | 4 | 20 | Mitigare: DR + EDR | | File server | Guasto storage | 3 | 3 | 9 | Accettare |

Esempio funzionante in 3-4 ore.

Sefthy come risposta a molte mitigazioni

Per tutti i rischi che si mitigano con DR (che sono la maggior parte sopra impatto 3), Sefthy è una risposta diretta. Documentate "mitigazione: Sefthy DR PRO con RTO 10 min, contratto N. X".

FAQ

ISO 27005 è obbligatoria?

No, è una linea guida. ISO 31000 è il framework generale del rischio. La vostra metodologia può variare purché sia coerente.

Quanti rischi target?

Per una PMI: 50-150 rischi totali, 10-20 sopra soglia "alta".

Per la BIA, Business Impact Analysis. Per A.5.30, Annex A.5.30.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo