1 00:00:03,000 --> 00:00:05,160 Bentornati. 2 00:00:05,160 --> 00:00:07,440 Una volta capito cos'è il risk, 3 00:00:07,440 --> 00:00:10,440 il prossimo passo è identificarlo (identify) e valutarlo (assess). 4 00:00:10,520 --> 00:00:13,520 Le organizzazioni non possono difendersi da ciò che non vedono. 5 00:00:14,040 --> 00:00:18,120 In questa lezione, copriremo come i team di cybersecurity trovano potenziali risks 6 00:00:18,440 --> 00:00:21,440 e come misurano i livelli di risk per prendere decisioni più intelligenti. 7 00:00:22,560 --> 00:00:25,560 La Risk identification inizia con tre domande chiave. 8 00:00:25,920 --> 00:00:29,440 Cosa dobbiamo proteggere? (Assets) 9 00:00:29,960 --> 00:00:32,080 2. Cosa potrebbe danneggiarlo? 10 00:00:32,080 --> 00:00:33,280 (Threats) 11 00:00:33,280 --> 00:00:35,880 3. Quali sono i nostri punti deboli? 12 00:00:35,880 --> 00:00:37,400 (Vulnerabilities) 13 00:00:37,400 --> 00:00:40,680 Metodi comuni includono asset inventories, 14 00:00:41,160 --> 00:00:42,480 threat modeling, 15 00:00:42,480 --> 00:00:45,080 e vulnerability scanning. 16 00:00:45,080 --> 00:00:48,120 L'obiettivo è creare un quadro completo del tuo risk landscape. 17 00:00:49,360 --> 00:00:52,360 Ci sono due approcci principali per valutare il risk. 18 00:00:52,440 --> 00:00:54,200 Qualitative usa 19 00:00:54,200 --> 00:00:57,960 il giudizio degli esperti per classificare il risk come high, medium, o low. 20 00:00:58,840 --> 00:01:02,160 Quantitative usa numeri e impatto finanziario 21 00:01:02,240 --> 00:01:05,240 per calcolare il risk in dollari o probabilità. 22 00:01:05,760 --> 00:01:07,040 Esempio: 23 00:01:07,040 --> 00:01:10,280 Qualitative: "Il Phishing è un risk HIGH." 24 00:01:11,520 --> 00:01:12,640 Quantitative: 25 00:01:12,640 --> 00:01:16,200 "Il Phishing causa $300,000 in perdite/anno." 26 00:01:17,160 --> 00:01:18,840 Entrambi i metodi hanno valore. 27 00:01:18,840 --> 00:01:21,840 La maggior parte delle organizzazioni usa un mix dei due. 28 00:01:22,800 --> 00:01:24,800 Molte organizzazioni seguono 29 00:01:24,800 --> 00:01:27,800 risk frameworks strutturati per standardizzare come valutano le threats. 30 00:01:28,320 --> 00:01:32,640 Quelli popolari includono Risk Management Framework (RMF) - governo 31 00:01:32,640 --> 00:01:34,680 USA e appaltatori. 32 00:01:34,680 --> 00:01:39,840 ISO 27005: Standard Internazionale per Information Security Risk. 33 00:01:40,560 --> 00:01:42,960 FAIR (Factor Analysis of Information 34 00:01:42,960 --> 00:01:45,960 Risk): si concentra sull'impatto finanziario. 35 00:01:46,360 --> 00:01:49,760 Questi frameworks offrono linee guida, passaggi, e liste di controllo 36 00:01:50,040 --> 00:01:53,040 per garantire un'analisi del risk coerente ed efficace. 37 00:01:54,000 --> 00:01:56,200 Il risk assessment non è solo manuale. 38 00:01:56,200 --> 00:01:58,000 Si basa su strumenti. 39 00:01:58,000 --> 00:02:01,320 Strumenti comuni includono vulnerability scanners 40 00:02:01,800 --> 00:02:05,520 come Nessus o OpenVAS per trovare debolezze tecniche. 41 00:02:06,360 --> 00:02:09,440 Piattaforme di asset management per tracciare ciò che necessita protezione. 42 00:02:10,080 --> 00:02:12,680 Risk registers per documentare risks, 43 00:02:12,680 --> 00:02:15,680 punteggi, proprietari, e risposte. 44 00:02:16,320 --> 00:02:19,000 Questi strumenti aiutano i team di sicurezza a lavorare più velocemente, 45 00:02:19,000 --> 00:02:22,200 ridurre i punti ciechi, e mantenere i risk assessments aggiornati. 46 00:02:23,520 --> 00:02:24,040 Il passo 47 00:02:24,040 --> 00:02:27,640 finale è trasformare il risk in azione. Per ogni risk identificato, 48 00:02:27,800 --> 00:02:30,360 devi scegliere una delle quattro strategie. 49 00:02:30,360 --> 00:02:31,920 Mitigate. 50 00:02:31,920 --> 00:02:35,760 Ridurre la likelihood o l'impact. 2. Transfer. 51 00:02:35,880 --> 00:02:38,160 Spostare il risk a un'altra parte, es. 52 00:02:38,160 --> 00:02:39,400 assicurazione. 53 00:02:39,400 --> 00:02:40,320 3. 54 00:02:40,320 --> 00:02:43,120 Accept: riconoscere e monitorare il risk. 55 00:02:43,120 --> 00:02:45,160 4. Avoid. 56 00:02:45,160 --> 00:02:48,160 Eliminare l'attività che causa il risk. 57 00:02:48,600 --> 00:02:51,600 Buone valutazioni guidano la leadership nella scelta della risposta giusta. 58 00:02:52,360 --> 00:02:54,560 Pronto per un piccolo quiz di riepilogo? 59 00:02:54,560 --> 00:02:55,520 Domanda uno. 60 00:02:55,520 --> 00:02:57,720 Quali tre elementi devi identificare? 61 00:02:57,720 --> 00:02:59,640 Cybersecurity risk. 62 00:02:59,640 --> 00:03:04,640 A budget, staff, policy. B Asset, Threat, Vulnerability. 63 00:03:04,880 --> 00:03:10,000 C Firewall, antivirus, logs. D Larghezza di banda, encryption, 64 00:03:10,000 --> 00:03:11,120 backups. 65 00:03:11,120 --> 00:03:14,120 Riflettici. 66 00:03:17,160 --> 00:03:19,640 La risposta corretta è B. 67 00:03:19,640 --> 00:03:22,440 Identificare il risk comporta trovare un asset, 68 00:03:22,440 --> 00:03:25,440 la threat ad esso, e la vulnerability sfruttata. 69 00:03:26,720 --> 00:03:27,840 Domanda due. 70 00:03:27,840 --> 00:03:31,440 Quale dei seguenti è un esempio di un qualitative risk assessment? 71 00:03:31,920 --> 00:03:35,680 A stimare $500,000 in perdite annuali per breach. 72 00:03:36,280 --> 00:03:39,840 B classificare un risk come "High" basandosi sull'opinione di esperti. 73 00:03:39,880 --> 00:03:43,520 C calcolare la likelihood come 0.03. 74 00:03:43,560 --> 00:03:46,920 D calcolare il costo del downtime. Pausa. 75 00:03:52,200 --> 00:03:54,120 La risposta corretta è B. 76 00:03:54,120 --> 00:03:56,840 Il punteggio di risk Qualitative usa il giudizio di esperti 77 00:03:56,840 --> 00:03:59,840 per etichettare i risks come high, medium, o low. 78 00:04:00,480 --> 00:04:04,520 Domanda finale quale delle seguenti è una risk response comune? 79 00:04:05,600 --> 00:04:08,520 A ritardare il risk fino all'anno prossimo. 80 00:04:08,520 --> 00:04:10,760 B fare il backup del risk. 81 00:04:10,760 --> 00:04:13,760 C fare transfer del risk a una terza parte. 82 00:04:14,280 --> 00:04:16,800 D criptare il risk. 83 00:04:16,800 --> 00:04:19,800 Considera la tua risposta. 84 00:04:23,280 --> 00:04:23,840 La scelta 85 00:04:23,840 --> 00:04:28,200 corretta è C puoi fare transfer del risk spesso 86 00:04:28,200 --> 00:04:32,360 tramite assicurazione o contratti per ridurre il suo impatto sulla tua organizzazione. 87 00:04:33,680 --> 00:04:35,120 Bel lavoro. 88 00:04:35,120 --> 00:04:38,800 Ora sai come le organizzazioni identificano e valutano il risk 89 00:04:39,080 --> 00:04:42,480 usando sia frameworks strutturati che strumenti pratici. 90 00:04:42,960 --> 00:04:46,560 Nella prossima lezione, esploreremo come i team fanno mitigate del risk 91 00:04:46,560 --> 00:04:51,000 applicando controls tecnici, fisici, e amministrativi. 92 00:04:51,600 --> 00:04:55,440 Continuiamo il tuo viaggio nella policy di sicurezza e nella strategia di risk.