Modello analitico per l analisi dei rischi

Documenti analoghi
Modello vettoriale per i Sistemi di Sicurezza delle Informazioni

Aste Bolaffi S.p.A. - Via Cavour, 17F Torino. Asta 606, VINI E DISTILLATI del (risultati al :09)

C era una volta il papiro confronto tra gestione cartacea e digitale

AHI QUESTA BIOMETRIA...

ENTERPRISE RISK MANAGEMENT: LA VIA DEL FUTURO CONSAPEVOLE

Workshop Approccio Risk Based e Sistema Qualità

Obiettivi e modalità di implementazione del Risk Management nei processi tecnico-amministrativi

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Intervento del Dott. Ruggero Battisti, Socio Fondatore Global Management Group S.r.l.

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

PROJECT WORK ABSTRACT

Sicuramente

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Processi, Tool, Servizi Professionali

Enterprise Risk Management

Corso per Progettisti dei Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 32 ORE

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

RETI DI TELECOMUNICAZIONE

Mamma, ho perso il GDPR

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

La sicurezza nel retail

Metodologica per la definizione delle priorità di mitigazione

La sicurezza nel mondo bancario

Analisi del rischio applicata al trasporto di differenti classi di farmaci in base alle rotte distributive

Universita degli Studi di Siena

LA STRUTTURA DEI PROBLEMI DI OTTIMIZZAZIONE. L'ipotesi di razionalità implica che un decisore cerchi di

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

Esercizi di Programmazione Lineare

lunedì martedì mercoledì giovedì venerdì

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

DATA PROTECTION E PRIVACY OFFICER

Video Analytics e sicurezza. Ivano Pattelli Security Solution Lead Hewlett Packard Enterprise

Come identificare, analizzare e valutare i rischi

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

Enterprise Risk Management: la via del futuro consapevole. Ravenna, 10 Novembre 2017

Formazione per l area Qualità Scuola. Gatteo a Mare, 27 giugno 2007

Gestione dei rischi di progetto

GDPR. Regolamento Europeo Protezione Dati Personali

Capitolo 17: Aggregazione

Il nuovo modello di gestione della privacy Davide Grassano

MODELLI DI MANAGEMENT

Valutazione della capacità dissipativa di un sistema strutturale

IL DATA PROTECTION OFFICER

MECCANICA STATISTICA CLASSICA

An Energy Business Challenge: Enel Tor Vergata. «Weather Derivatives» Weather Derivatives Cosa sono 4/18/2018 ROMA, 13/04/2018

Sicurezza informatica: ottenere il livello ottimale con una politica di gestione che punti sull utente

La Gestione dei Rischi in INPS. Gianni Scopetani

Information Security Performance

La gestione attiva del portafoglio Il sistema di monitoraggio integrato di UniCredit Leasing

Queste note (attualmente, e probabilmente per un bel po ) sono altamente provvisorie e (molto probabilmente) non prive di errori.

MARKETING STRATEGICO

Dal 1472 al futuro. grazie a tecnologie IoT

Conoscere le assicurazioni Gli elementi costitutivi dell assicurazione. Copertina

Operazioni sulle immagini digitali

Metodo degli elementi finiti per le equazioni di Navier-Stokes

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

LINEA GUIDA ENTERPRISE RISK MANAGEMENT

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

4 ESERCITAZIONE. Esercizi svolti: Capitolo 5 Modello IS-LM. Esercizio 3 (1 parte)

Geometria A. Università degli Studi di Trento Corso di laurea in Matematica A.A. 2017/ Maggio 2018 Prova Intermedia

Percorso professionalizzante Risk management in banca

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

PERCORSO DI ALTA FORMAZIONE E QUALIFICA GDPR (REG. UE 2016/679) RICONOSCIUTO AICQ SICEV

Stefania Favetti INFORMAZIONI PERSONALI ESPERIENZA LAVORATIVA

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

Percorso professionalizzante Risk management in banca

Programma del corso di ECONOMIA E GESTIONE DELLE IMPRESE

KeyMap Analisi del Rischio

Business Continuity Experts

FONDAMENTI DI SISTEMI DINAMICI (prof. Vincenzo LIPPIELLO A.A ) Corso di Laurea in Ingegneria Elettronica e delle Telecomunicazioni - II anno

Roberto Muscogiuri. L ERM punto d incontro tra Risk Manager ed Attuari

Raffaele Fiorentino Il governo strategico delle operations. Processi gestionali, vantaggio competitivo e successo dell azienda

REGOLAMENTO SUL SISTEMA DI PESATURA DELLE POSIZIONI ORGANIZZATIVE

CALENDARIO CORSI 2019

AZIENDA OSPEDALIERA REGIONALE SAN CARLO - POTENZA REGIONE BASILICATA

Comportamento del Sistema

IL PROGETTO FORMATIVO «LA NORMA ISO PER IL SISTEMA INFORMATICO»

Percorso professionalizzante per la Compliance in banca

Applicazione del Risk Management nella Sperimentazione Clinica: il punto di vista del Quality Assurance

Operazioni sulle immagini digitali

Riepilogo iniziativa CF_1572_I_2015

CYBER SECURITY E PRIVACY IN AZIENDA

Asse matematico. G8. Utilizzare le reti e gli strumenti informatici nelle attività di studio, ricerca e approfondimento

MATEMATICA Competenza 1 al termine della scuola secondaria di primo grado

Manifestazioni pubbliche: la valutazione del rischio sanitario

Programma del corso di STATISTICA AZIENDALE

l assistenza tecnica professionale per la tua azienda

Le condizioni organizzative per l implementazione del controllo di gestione

lunedì martedì mercoledì giovedì venerdì

Ing. Antonio Cosma Wesmart Srl. Università della Calabria 28/03/2018

La sicurezza per il Real Estate

RISK MANAGEMENT ISO GESTIRE I RISCHI DI IMPRESA

9.3 Il metodo dei minimi quadrati in formalismo matriciale

Rischi dell informatica e scelte di trasferimento

TÜV Rheinland Italia

SCHEMA DI COLLOCAZIONE delle monografie disposte a scaffale aperto

La metodologia IRIS per la valutazione del rischio. Fabio Iraldo, Scuola Superiore Sant Anna

Esercitazione: 16 novembre 2009 SOLUZIONI

Transcript:

Safety & Security Magazine Safety & Security - Informazioni e Indicazioni Pratiche per la Sicurezza Fisica e Logica https://www.safetysecuritymagazine.com Modello analitico per l analisi dei rischi Date : 23 febbraio 2017 Le organizzazioni vivono una situazione molto dinamica e dove la sicurezza della sopravvivenza non viene sempre garantita. L analisi dei rischi aziendali è quindi diventata una metodologia preventiva, in tutti settori, per il mantenimento ed il miglioramento delle aziende. Il Risk Management è allora un attività prioritaria ed imprescindibile. L analisi dei rischi viene poi richiesta in particolar modo per la tutela dei dati e in tale ottica e su precise indicazioni legislative (Dlgs 196/03) e normative (ISo 27001 e ISo 3100), cercheremo di sviluppare un modello che permetta una analisi dei rischi quantitativa e qualitativa nella definizione dei parametri. I rischi dei dati sono generalmente funzione di due variabili: la probabilità che questo accada e la gravità del fenomeno. Possiamo allora individuare l indicatore i esimo dei rischi come: Ri = f(?i,?i) con?i la probabilità dell evento e?i la sua gravità. L indicatore rischio globale risulta essere: R =?i Ri Possiamo dare una definizione di Probabilità e Gravità come segue: 1 / 7

La tabella seguente riporta la matrice Gravità e Probabilità 2 / 7

La gravità però è, a sua volta, influenzata da due fattori: l impatto economico ed il tempo di ripristino. Cioè quanto grande risulta l impatto del danno avvenuto e quando tempo è necessario per riportare il sistema nelle condizioni iniziali. Quindi, con e l indicatore dell impatto economico e t il tempo di ripristino,?i = f(ei, ti) Allora si può scrivere: Ri = f(?i,?i) = f(?i, ei, ti,) Riassumendo nella tabella seguente: 3 / 7

Se consideriamo la gravità come prodotto dell impatto economico e del tempo di ripristino otteniamo:?i = ei*ti (5) Il calcolo del rischio, può essere ricondotto al prodotto tra la probabilità e la gravità: Ri =?i*?i =?i*ei* ti Introduciamo ora altre variabili che sono:?i = risulta essere la posizione dei dati (in locale, cloud, conservata in server farm, etc) che può assumere valori discreti 1;3;5 a seconda se il dato è facilmente rintracciabile (valore 1) o se è invece è conservato ad esempio in cloud o irrintracciabile (valore 5);?i = è il numero di dati trattati, anche questo assume valori discreti 1;3;5 a seconda della quantità, ad esempio può valere 1 se abbiamo un numero di dati di 10000;?i = è il numero di trattamenti a cui sono sottoposti i dati, anche in questo caso assume valori discreti 1;3;5 a seconda dei trattamenti 1 se i trattamenti sono solo > 1; 3 se sono > 5 e 5 se sono > 10;?i = è il numero dei controlli sulle misure di sicurezza dei dati, maggiori sono i controlli e minori risulteranno i rischi.?i risulta allora essere una funzione delle variabili sopra riportate: 4 / 7

?i = f(?i,?i,?i,) dove risulta?i = (1/?i* 1/?i* 1/?i) a questo punto allora i rischi possono essere descritti come: Ri =?i*?i =?i*ei* ti*(1/?i) Ma così fatta l analisi dei rischi risulta ancora non completa, è necessario introdurre un altra variabile, la variabile misure di sicurezza. Questa è formata dal prodotto di tre sotto misure: sicurezza fisica (?1), sicurezza logica (?2) e sicurezza organizzativa (?3).? i = (?1*?2*?3) Anche in questo caso le sicurezze assumono i valori 1; 3 e 5 a seconda della loro implementazione (5 sicurezza massima o completa). Quindi i rischi risultano allora così formulati: Ri =?i*ei* ti*[1/(1/?i* 1/?i* 1/?i)]*1/? i =?i*ei* ti*[1/(1/?i* 1/?i* 1/?i)]*1/ (?1*?2*?3) Ora tutte le grandezze individuate possono assumere i valori discreti 1,3 e 5. Calcoliamo allora alcun esempi dei rischi come riportato nella tabella seguente: Dalla tabella si nota come i valori, in riferimento all algoritmo sopra indicato, seguano tutti la stessa regola, questo supporta il modello presentato. Graficando i dati relativi ai rischi ed ai controlli otteniamo: 5 / 7

La curva ottenuta risulta un iperbole di equazione y = x-1, questa risulta valida per tutte le combinazioni dei parametri individuati sopra. Dal risultato dell algoritmo risulta allora abbastanza semplice collocare i vari rischi sulla curva in modo da avere una visione immediata della situazione. Tale procedura deve essere iterata per tutti i rischi individuati. Ad esempio per ogni db o cluster di dati presenti in azienda. Il rischio aziendale risulterà la sommatoria di tutti i singoli rischi: R =?i Ri Per poter individuare correttamente i parametri ed eseguire i calcoli sopra citati è necessario effettuare un preciso assessment sui dati utilizzati in azienda ed il loro flusso, un supporto può essere fornito sia dalle normative in vigore (ISo 31000, ISo 27001, etc) che da una precisa analisi di processo. L analisi e la gestione dei rischi aziendali è, e deve essere, patrimonio delle organizzazioni a tutti i livelli. Viene descritta una metodologia sistemica per la valutazione dei rischi. Tale valutazione utilizza più variabili collegate tra di loro che permettono di avere una visione globale dei dati. I dati devono quindi essere raccolti e gestiti in modo corretto considerando il Risk Management come un processo strategico dell azienda. SOLO UNA CORRETTA ANALISI PERMETTE DI INDIVIDUARE I RISCHI E MITIGARLI, È NECESSARIO AVERE UNA VISIONE COMPLETA DEI RISCHI E DELLE SICUREZZA A CUI I NOSTRI DATI SONO TRATTATI, QUESTO COMPORTA 6 / 7

Powered by TCPDF (www.tcpdf.org) UN ANALISI CORRETTA ANCHE DELLE VULNERABILITÀ A cura di: Stefano Gorla, Privacy Business Unit Director - Digital Preservation Officer Consultant Seen Solution SRL e delegato regionale Lombardia Andip 7 / 7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back