1.       le risorse dell’azienda che necessitano di protezione (dalle informazioni, al personale, ai beni) valutando, caso per caso, gli eventuali danni per l’organizzazione in caso di perdita, distruzione, azioni che determinano impedimento nella normale conduzione delle attività lavorative;

2.       le fonti di minaccia specifiche o generiche. Si tratta di risalire all’identificazione della potenziale minaccia, già palesata ed identificabile o generica e ricavabile da contesti storici e/o territoriali. In entrambi i casi, dovranno essere evidenziate le capacità tecniche e tattiche della minaccia. Lo scopo è quello di determinarne la forza e, soprattutto, quanto è elevato il suo livello di determinazione;

3.    in base ai dati ricavati dall’analisi della potenziale fonte di minaccia, si valutano i suoi possibili obiettivi riferiti alle risorse da proteggere. Vengono poi valutate, sempre in riferimento alle capacità tecnico/tattiche della minaccia, la validità delle misure di sicurezza adottate e si evidenziano gli eventuali gap rappresentati dalla discordanza fra “quello che è” e “quello che dovrebbe essere”. Anche in questo passo processuale, come nel precedente, l’analisi non viene ottenuta attraverso l’applicazione di ceck-list precostituite. Il contesto viene osservato attraverso gli occhi e la mente della possibile fonte di minaccia per rispondere alle domande essenziali: “cosa, come, quando colpire”.

4.    vengono poi applicate le necessarie contromisure e le strategie di security. Si tiene conto del rispetto del rapporto costi/benefici relativo ai costi delle misure di security rispetto al valore della risorsa da proteggere. Per questo fine, le risorse vengono suddivise ed analizzate per evidenziarne:

o        importanza e priorità per l’attività aziendale;

o        valore psicologico ed economico;

o        attrattività per scopi di distruzione o appropriazione;

o        vulnerabilità sotto il profilo della sorveglianza e difficoltà oggettive e soggettive per il mantenimento di un adeguato livello di security.

In questa fase, vengono utilizzate delle metodologie tipiche dell’Intelligence strategico-difensiva in ambito di threat assessment, che permettono di evidenziare una stima del potenziale interesse delle risorse aziendali per una fonte di minaccia e, di conseguenza, di collocare in maniera mirata gli strumenti difensivi, come il metodo C.A.R.V.E.R. (acronimo di: Criticality – Accessibility – Recuperability – Vulnerability – Effect – Recognizability), la Metodologia Delphi, l’Analisi Bayesiana