La compilazione delle check list sulle misure IT (Percorso D) permette di individuare le misure NON adottate: a questo punto l’organizzazione è chiamata a scegliere quali mettere in atto per ridurre il livello di rischio nel contesto dato.
Una best practice consiglia di assegnare ad ogni misura (controllo) il livello di priorità di adozione sulla base di questi due criteri:
1. la capacità di ridurre il rischio in base:
A. al contrasto delle vulnerabilità che espongono gli asset e le informazioni alle minacce
B. alla riduzione della probabilità con cui una specifica minaccia può concretizzarsi
C. alla minimizzazione dell’entità del danno agli asset, ai dati, al business, alle persone;
2. la semplicità (ed economicità) di implementazione della misura di sicurezza.
La combinazione dei due criteri determina tre livelli di priorità di adozione delle misure, come previsto nel “Framework Nazionale per la Cyber security e la Data Protection”:
Interventi a priorità ALTA, che incidono fortemente su uno o più fattori (1A,1B,1C) e sono da attuare indipendentemente dalla loro complessità realizzativa (2).
Interventi a priorità MEDIA, che riducono uno o più fattori (1A,1B,1C) e sono di semplice implementazione (2).
Interventi a priorità BASSA, che riducono uno o più fattori (1A,1B,1C) ma sono ad elevata complessità realizzativa (2) (ad esempio, cambiamenti organizzativi rilevanti e/o modifiche infrastrutturali significative).