Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


analisi e gestione del rischio informatico, Slide di Informatica

analisi e gestione del rischio informatico

Tipologia: Slide

2017/2018

Caricato il 15/01/2018

GiorgioStoppardi
GiorgioStoppardi 🇮🇹

4.5

(8)

13 documenti

1 / 23

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Analisi e gestione del rischio
ing. Daniele Perucchini
Fondazione Ugo Bordoni
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17

Anteprima parziale del testo

Scarica analisi e gestione del rischio informatico e più Slide in PDF di Informatica solo su Docsity!

Analisi e gestione del rischio

ing. Daniele Perucchini

Fondazione Ugo Bordoni

[email protected]

ISCOM e infrastrutture critiche

www.iscom.gov.it

Presupposti per la analisi e lagestione del rischio

Sensibilizzazione

Organizzazione e governo

Analisi dei rischi

Politiche e procedure

Costante monitoraggio e allineamento del sistema diprotezione

3) Analisi dei rischi

L'analisi dei rischi è fondamentale per acquisire conoscenzadelle minacce e delle vulnerabilità che incombonosull'organizzazione e per poter dirigere sforzi e risorse (perdefinizione limitati) a difesa delle aree più a rischio.

Finalità dell’analisi dei rischi

individuare quali siano le minacce informatiche a cui si è esposti individuare le vulnerabilità del proprio sistema informativo valutare l'impatto nel caso in cui le minacce si concretizzino

definire ed implementare contromisure (tecniche, procedurali, organizzative) adeguate a mitigare il rischio con un impegno commisuratoai potenziali impatti accettare consapevolmente il rischio residuo

In altre parole

In definitiva l'analisi dei rischi pone le basi perché si possano scegliere lecontromisure senza provare a indovinare, e si possano bilanciare talicontromisure rispetto ai rischi e ai costi delle stesse. Il processo di analisi dei rischi è richiesto, direttamente o indirettamente,da normative comunitarie e nazionali e dai principali standard diriferimento (Standard ISO 17799 - ISO27001, ISF Standard of GoodPractice, CobiT ("Control Objectives of IT Governance" dell' ISACA),GMITS ("Guidelines for the Management of IT Security“))

Varie metodologie di analisi deirischi

Le metodologie esistenti in merito alla conduzione di un'analisi dei rischisono molteplici e spesso si presentano con differenti obiettivi ocaratteristiche, anche se si basano su alcuni concetti, elementi e passaggiprocedurali comuni. Nessuna è particolarmente migliore dell'altra. Però è importantecomprendere quale tipologia di approccio sia più idonea utilizzare.Caratteristiche:

livello di approfondimento dell'analisi modalità di assegnazione dei valori (sistema di misurazione dei rischi) ripetibilità e frequenza del processo di analisi.

Livello di approfondimento

Se si considera il livello di approfondimento con cui siconduce un'analisi dei rischi, essa può essere

concettuale, quando è destinata al management ed è orientataall'organizzazione e ai processi operativo, quando è destinata allo specialista o al responsabile dei sistemiinformatici, e orientata, quindi, alla singole tecnologie e al contesto, appunto,operativo.

Approfondimento operativo

Un'analisi di tipo operativo è più orientata alla valutazione dettagliata eapprofondita della sicurezza delle singole tecnologie, sistemi e specificiambiti di rete e si prefigge di (ad esempio): comprendere le vulnerabilità, minacce e rischi a cui sono esposte lesingole tecnologie e le informazioni trattate definire architetture e standard tecnologici di sicurezza proporre percorsi operativi per la correzione delle debolezze riscontrate

Modalità di assegnazione dei valoridel rischio

Nello scegliere una metodologia è importante scegliere una metrica La misurazione di tipo quantitativo si basa su elementi monetari e statistici Le metodologie qualitative in generale non richiedono dati statistici, e sibasano su una scala di valori (basso, medio, alto, vitale, critico). Taliapprocci, apparentemente più superficiali e meno precisi, in realtà sirivelano spesso più onesti La metodologia quantitativa apparente ovvero semiquantitativa è un mixdelle precedenti

Gli approcci dinamici/continuativi

non fotografano la situazione della sicurezza in un dato momento, madanno gli elementi per analizzare e gestire continuamente edinamicamente il rischio la valutazione e gestione dei rischi diventa parte integrante dei processi diimplementazione, manutenzione e monitoraggio dei sistemi informativi comportano un decentramento in termini di responsabilità nella gestionedei rischi, con il coinvolgimento di tutte le funzioni aziendali a più livelli, erichiedono un mandato che parte dal Top-Management e che coinvolgetutta l‘Organizzazione

Gli approcci statici

Gli approcci statici

realizzano una fotografia dello stato attuale della sicurezza richiedono revisioni periodiche, con scadenze temporali diverse, aseconda del livello di profondità dell'analisi

normalmente sono gestiti sotto la responsabilità di funzioni aziendali specifiche, in genere in ambito ICT (ICT Manager, Security Officer,Comitato per la Sicurezza, ecc.); quindi le altre funzioni aziendali sonocoinvolte solo passivamente.

La gestione dei rischi

L'analisi dei rischi consente di definire le opportunecontromisure da adottare. L'effettiva adozione dellecontromisure, la gestione e il monitoraggio nel tempodell'effettivo stato della sicurezza, costituiscono il Sistema digestione della sicurezza

Sistema di Gestione della Sicurezza

L'effettiva salvaguardia della sicurezza delle informazioniattraverso un'attenta gestione dei rischi richiede larealizzazione di un adeguato Sistema di Gestione dellaSicurezza (SGS) sviluppato secondo le tre dimensioni delproblema:

processi organizzazione tecnologie.