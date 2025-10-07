Con l'imporsi della tecnologia in ogni attività del business, dalle operazioni giornaliere ai processi aziendali critici, i sistemi IT sono diventati sempre più grandi e complessi. L'esplosione dei servizi cloud, l'aumento del lavoro da remoto e la crescente dipendenza da fornitori terzi di servizi IT hanno aperto la rete dell'azienda media a un numero crescente di persone, dispositivi e software. A mano a mano che un sistema IT cresce, tuttavia, aumenta anche la sua superficie di attacco. Le iniziative di gestione del rischio informatico offrono alle aziende un modo per mappare e gestire le mutevoli superfici di attacco, migliorando il livello di sicurezza.

Anche il più ampio panorama minacce è in continua evoluzione. Ogni mese all'incirca 2.000 nuove vulnerabilità vengono aggiunte al database delle vulnerabilità nazionali NIST National Vulnerability Database (link esterno a ibm.com). Migliaia di nuove varianti di malware vengono rilevate mensilmente (link esterno a ibm.com), e questo è solo un tipo di minaccia informatica.

Sarebbe irrealistico e finanziariamente impossibile per un’azienda eliminare tutte le vulnerabilità e contrastare efficacemente ogni minaccia. La gestione del rischio informatico può offrire alle aziende un modo più pratico di gestire il rischio concentrando gli sforzi in materia di sicurezza delle informazioni su quelle minacce e vulnerabilità che hanno maggiori probabilità di recare danno. In questo modo, l'azienda non applica controlli costosi su asset di basso valore e non critici.

Le iniziative di gestione del rischio informatico possono inoltre aiutare le organizzazioni a ottemperare al Regolamento Generale sulla Protezione dei Dati (GDPR), all'Health Insurance Portability and Accountability Act (HIPAA), al Payment Card Industry Data Security Standard (PCI-DSS) e altre normative. Nel processo di gestione del rischio informatico le aziende considerano questi standard per la progettazione dei propri programmi di protezione. Report e dati generati durante la fase di monitoraggio possono aiutare le aziende a dimostrare di aver svolto la dovuta diligenza durante gli audit e le indagini su eventuali violazioni.

A volte alle aziende può essere richiesto di conformarsi a specifici framework di gestione del rischio. Le agenzie federali statunitensi devono aderire a entrambi i framework RMF e CSF del NIST. Anche i contractor federali possono essere sottoposti a tali framework, poiché i contratti governativi spesso si basano su standard NIST per stabilire i requisiti di sicurezza informatica.