Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
analisi e gestione del rischio informatico
Tipologia: Slide
1 / 23
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!
ing. Daniele Perucchini
Fondazione Ugo Bordoni
individuare quali siano le minacce informatiche a cui si è esposti individuare le vulnerabilità del proprio sistema informativo valutare l'impatto nel caso in cui le minacce si concretizzino
definire ed implementare contromisure (tecniche, procedurali, organizzative) adeguate a mitigare il rischio con un impegno commisuratoai potenziali impatti accettare consapevolmente il rischio residuo
In definitiva l'analisi dei rischi pone le basi perché si possano scegliere lecontromisure senza provare a indovinare, e si possano bilanciare talicontromisure rispetto ai rischi e ai costi delle stesse. Il processo di analisi dei rischi è richiesto, direttamente o indirettamente,da normative comunitarie e nazionali e dai principali standard diriferimento (Standard ISO 17799 - ISO27001, ISF Standard of GoodPractice, CobiT ("Control Objectives of IT Governance" dell' ISACA),GMITS ("Guidelines for the Management of IT Security“))
Le metodologie esistenti in merito alla conduzione di un'analisi dei rischisono molteplici e spesso si presentano con differenti obiettivi ocaratteristiche, anche se si basano su alcuni concetti, elementi e passaggiprocedurali comuni. Nessuna è particolarmente migliore dell'altra. Però è importantecomprendere quale tipologia di approccio sia più idonea utilizzare.Caratteristiche:
livello di approfondimento dell'analisi modalità di assegnazione dei valori (sistema di misurazione dei rischi) ripetibilità e frequenza del processo di analisi.
concettuale, quando è destinata al management ed è orientataall'organizzazione e ai processi operativo, quando è destinata allo specialista o al responsabile dei sistemiinformatici, e orientata, quindi, alla singole tecnologie e al contesto, appunto,operativo.
Un'analisi di tipo operativo è più orientata alla valutazione dettagliata eapprofondita della sicurezza delle singole tecnologie, sistemi e specificiambiti di rete e si prefigge di (ad esempio): comprendere le vulnerabilità, minacce e rischi a cui sono esposte lesingole tecnologie e le informazioni trattate definire architetture e standard tecnologici di sicurezza proporre percorsi operativi per la correzione delle debolezze riscontrate
Nello scegliere una metodologia è importante scegliere una metrica La misurazione di tipo quantitativo si basa su elementi monetari e statistici Le metodologie qualitative in generale non richiedono dati statistici, e sibasano su una scala di valori (basso, medio, alto, vitale, critico). Taliapprocci, apparentemente più superficiali e meno precisi, in realtà sirivelano spesso più onesti La metodologia quantitativa apparente ovvero semiquantitativa è un mixdelle precedenti
non fotografano la situazione della sicurezza in un dato momento, madanno gli elementi per analizzare e gestire continuamente edinamicamente il rischio la valutazione e gestione dei rischi diventa parte integrante dei processi diimplementazione, manutenzione e monitoraggio dei sistemi informativi comportano un decentramento in termini di responsabilità nella gestionedei rischi, con il coinvolgimento di tutte le funzioni aziendali a più livelli, erichiedono un mandato che parte dal Top-Management e che coinvolgetutta l‘Organizzazione
Gli approcci statici
realizzano una fotografia dello stato attuale della sicurezza richiedono revisioni periodiche, con scadenze temporali diverse, aseconda del livello di profondità dell'analisi
normalmente sono gestiti sotto la responsabilità di funzioni aziendali specifiche, in genere in ambito ICT (ICT Manager, Security Officer,Comitato per la Sicurezza, ecc.); quindi le altre funzioni aziendali sonocoinvolte solo passivamente.
processi organizzazione tecnologie.