Ogni azienda ed organizzazione è esposta a rischi di un attacco informatico. Gli approcci possibili verso queste minacce sono di quattro tipi:
-
Mitigazione del rischio: vengono implementati controlli di sicurezza, rafforzate le politiche e le procedure di sicurezza, viene fatta formazione al personale, vengono adottati strumenti adeguati e se necessario viene modificato l’ambiente infrastrutturale.
-
Trasferimento del rischio: viene stipulata una polizza assicurativa in grado di coprire le perdite causate da un incidente informatico. Va notato che difficilmente una polizza assicurativa sarà in grado di risarcire il danno di immagine che un attacco produce.
-
Accettazione del rischio: non viene presa nessuna misura di sicurezza accettando il rischio di subire un attacco ed una perdita economica per l’azienda in caso di incidente.
Va considerato che i responsabili dell’azienda, potrebbero essere chiamati a rispondere di fronte alla legge della negligenza con cui hanno trattato alcuni dati, che le aziende custodiscono. -
Interruzione delle attività a rischio: si sceglie di interrompere le attività che stanno mettendo a rischio la sicurezza. Considerato che la capacità di aggressione ad un sistema informatico è talmente elevata, che se si dovessero interrompere tutte le attività che comportano un rischio informatico, occorrerebbe interrompere l’utilizzo di ogni mezzo tecnologico.
La soluzione in grado di eliminare il rischio in modo assoluto non è presente, la capacità dei criminali informatici è molto elevata ed in continua evoluzione, esistono strumenti molto efficaci per la mitigazione del rischio, in grado di ridurre notevolmente l’esposizione al rischio, proporzionalmente al livello di adeguatezza della soluzione rispetto la minaccia.
Una azienda con notevole esposizione al rischio di attacco, potrebbe scegliere in aggiunta alle soluzione di mitigazione del rischio di stipulare una polizza assicurativa.
Questo approccio sembra a prima vista particolare e poco diffuso, mentre invece è una pratica molto diffusa. Quando acquistiamo un certificato SSL, con un pò di attenzione si noterà che il certificato ci viene fornito con una assicurazione che copre i danni subiti da un eventuale attacco, entro un massimale che cambia per ciascuna tipologia di certificato.
Questo è un esempio di mitigazione del rischio (Crittografia del canale di comunicazione) con un trasferimento del rischio (polizza assicurativa).