Fare un'attenta analisi dei rischi permette di acquisire consapevolezza e visibilità sul livello di sposizione al rischio del prorpio patrimonio informativaom e determinare così l'insieme delle contromisure da adottare per realizzare un sistema sicuro.

L'analisi dei rischi può essere divisa nelle seguenti f asi:

• individuare  tuttel le risorse del patrimonio informativo
• identificare leminacce a cui sono sottoposte le risorse individuate
• identificare le vulverabilità
• definire le contromisure

Proviamo a elencare una serie di possibili minacce, queste possono essere accidentali, di tipo ambientali, o deliberate, dolose.

Minacce:

• Sisma
• Allagamenti (inondazioni, uragani)
• Interruzione di corrente (sbalzi di tensione, linea elettrica instabile, fulmini, scariche elettrostatiche)
• Incendi
• Uso di armi
• Mancanza di aria condizionata (temperatura e umidità eccessive)
• Guasto hardware
• Polvere
• Radiazioni elettromagnetiche
• Furto
• Supporto di memoria diffettati (uso, deterioramento)
• Errore del personale (manutenzione, errore utente, mancanza di personale, uso non coreretto delle risorse)
• Uso illegale di software (esportazione, importazione)
• Software dannoso (malicious, guasto software)
• Uso di software da parte di utenti non autorizzati o in situazioni non autorizzate
• Masquerading dell'identificativo dell'utente
• Accesso non autorizzato alla rete (uso)
• Guasto tecnico della rete (danni linee, guasto dei servizi di comunicazione)
• Guasto dei servizi di comunicazione
• Errore trasmissione (indirizzamento non corretto dei messaggi, reidirizzamento)
• Sovraccarico di traffico (analisi)
• Intercettazioni(Eacverdropping)
• Infiltrazioni nelle comunicazioni

A seguito delle minacce elencate le possibili vulnerabilità possono essere:

Vulnerabilità

Per infrastruttura

• Mancanza di protezione fisica (allarmi, porte blindate, finestre con inferriate)
• Mancanza di controllo di accesso (porte e cassetti aperti, ..)
• Linea elettrica instabile
• Locazione in aree soggette a richi ambientali (sismi, allagamenti,..)

Per Hardware

• Mancanza di sistemi di rimpiazzo
• Suscettibilità a variazioni di tensione, temperatura, polvere, umidità, radiazioni elettromagnetiche, sporco
• Manutenzione scarsa
• Carenze di controllo di configurazione (aggiornamenti/ dei sistemi)

Per Comunicazioni

• Linee di comunicazione non protette
• Mancanza di autenticazione
• Trasmissione password in chiaro
• Mancanza di prova ricezione/invio
• Presenza di linne dial-up(modem analogico)
• Traffico sensibile non protetto
• Connessioni pubbliche non protette

Per Documenti cartacei

• Documenti non protetti o custoditi
• Carenza di prec auzioni nell'eliminazione
• Mancanza di controllo delle copie

Per il Software

• Mancanza di identificazione e/o autenticazione
• Mancanza del registro delle attività (log)
• Errori software
• Tabelle password non protette
• Assenza di password di gestione
• Scoretto affidamento dei diritti di accesso
• Permanenza di sessioni aperte in mancanza dell'utente
• Carenza di controllo di configurazione
• Carenza di documentazioni / manuali
• Mancanz adi copie di backup e istruzioni per il ripristino
• Incuria nella dismissione di supporti
• Interfaccia uomo-macchina non user-friendly

Per il Personale

• Mancanza di personale
• Mancanza di supervisore degli esterni
• Scarsa formazione sulla sicurezza
• Scarsa responsabilità
• Uso scoretto di harware e software
• Mancanza di istruzione /incarichi nell'utilizzo /abuso delle risorse tra diritti e doveri
• Procedure di reclutamento inadeguate