Menu

La sopravvivenza della tua organizzazione -Assess the Risk

Scenario:

Attualmente, non ci sono ruoli/personale/ruoli di rete o di sicurezza informatica a tempo pieno assegnati; il tuo supporto di rete è fornito da un gruppo di dipendenti che gestiscono i problemi di rete oltre al loro normale lavoro.

Quando è necessario un aggiornamento importante o viene acquistata una nuova attrezzatura, hai un consulente che ha assistito l’organizzazione per anni.

Il consulente ha formato il tuo personale per gestire la maggior parte delle operazioni quotidiane. Il consulente fornirà supporto entro 24-48 ore, in caso di problemi.

Finora, tutto ha funzionato bene. Tuttavia, con la crescita dell’organizzazione e l’evoluzione del panorama delle minacce alla rete e alla sicurezza, la capacità del tuo team di operare e gestire con successo la rete e di portare a termine anche le attività lavorative primarie sta mettendo a dura prova.

Stai esaminando opzioni come l’assunzione di personale di rete dedicato, l’implementazione della soluzione cloud di un fornitore o qualche tipo di opzioni ibride.

Valutare il rischio
Prima di prendere una decisione sull’opportunità di investire in personale di rete dedicato o di esternalizzare le esigenze di rete, valuta cosa stai facendo attualmente. Come valuteresti il rischio informatico per il sistema attuale?

Uno dei primi passi per prendere decisioni sui rischi informatici è identificare le esigenze di protezione delle informazioni. Qual è il livello di rischio per la tua organizzazione se le tue informazioni non erano disponibili, se le tue informazioni sono state modificate o modificate da utenti non autorizzati o se le tue informazioni sono state divulgate senza autorizzazione?

Risposta: Rischio basso

Il rischio informatico potrebbe essere un rischio basso con il seguente tipo di controlli implementati:

*Continuare a formare il “piccolo team” dedicato per mantenere in modo efficiente le attività richieste.
*Lavorare su un memorandum d’intesa (MOU) affinché il consulente continui a fornire o aumenti l’attuale livello di servizi.
*Eseguire un’analisi dei dati per identificare e classificare le informazioni in modo da poter implementare i meccanismi di protezione dei dati.
*Condurre analisi delle politiche e delle procedure esistenti per assicurarsi che siano aggiornate e rispettate. Ciò includerebbe controlli di accesso, formazione degli utenti e piani di emergenza.

Risposta: Rischio medio

Il rischio informatico potrebbe essere un rischio moderato con le seguenti azioni:

*Continuare a consentire al piccolo team di operare così com’è senza ulteriore formazione.
*Continuare a operare con il consulente in base alle necessità.
*Continua a operare così com’è con le attuali politiche in vigore.

Risposta: Rischio ALTO

Il rischio informatico potrebbe essere un rischio elevato con le seguenti azioni:

*Il piccolo team si esaurisce per il sovraccarico di lavoro e perdi le risorse chiave del personale.
*Dipendi fortemente dal consulente per fornire competenze. Lui/lei diventa un single point of failure.
*Non affronti la necessità di competenze in materia di sicurezza informatica man mano che l’organizzazione cresce e si espande.

Related Posts