ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L analisi e la gestione dei rischi nel contesto della Information Security

Documenti analoghi
Istituto Comprensivo GIUSEPPE GARIBALDI

Pieghevole A4-2 ante. Pieghevole A4-3 ante pag Pieghevole A4 - piega a croce pag pag FRONTE 1 FRONTE FRONTE

LOGO ISTITUTI ITALIANI DI CULTURA

Esercitazione L A TEX. versione giugno 2012, ore 17:10

Portraits of Milan. Fotografie di Andrea Rovatti. Recomposing the imaginary. a cura di Denis Curti

AutoPronti. Wireframe: home page. Range Rover Sport Cerca tra il nuovo. Promo (slider) Nuove speciali. I nostri servizi.

Sei. La consulenza evoluta

Chi siamo Dove siamo Il nostro staff Lavora con noi Contattaci Newsletter LOGO. News Nuovo Usato Outlet Veicoli commerciali Assistenza Servizi

BRAND BOOK SANTA TERESA GALLURA

Ripuliamo Via del Gallitello

Mario App - Mario App Preventivi - Mario App Pronto Intervento ll sistema di Mario App permette agli utenti di richiedere preventivi o interventi a qualsiasi orario in qualsiasi città in cui Mario è presente

colori istituzionali PANTONE 185 C PANTONE 295 C PANTONE 185 C

COUPON COS È FACILEVETRINA? 1 L acquirente acquista un Coupon e paga la prenotazione all offerta/servizio.

Presentazione di ARCHITETTI & INGEGNERI s.r.l.

ANUALE D USO. del Marchio di Certifi cazione ICIM S.p.A.

CONCEPT TARGET MATERIALI

ANUALE D USO. del Marchio di Certifi cazione ICIM S.p.A.

patrizialai graphicwebdesigner

UNIVERSITÀ DEGLI STUDI DI MILANO-BICOCCA MANUALE DI CORPORATE IDENTITY

ll sistema di Mario App permette agli utenti di richiedere preventivi o interventi a qualsiasi orario in qualsiasi città in cui Mario è presente.

ABCDEF GHIJKLM NOPQR STUVWX YZ

CSS Posizionamento degli elementi

Manuale. per l utilizzo del format FSC. iniziativa cofinanziata con Fondo di Sviluppo e Coesione.

RDL Lighting System. Catalogo Prodotti

Incontro con Associazioni di Categoria, Collegio dei Periti e Ordine degli Ingegneri

Promuoviamo la tua struttura ricettiva nel mercato cinese dei turisti top spender

il ponte // inserzioni Listino prezzi novitá 2012 offline & online il ponte compie 20 anni

B. Stampati per corrispondenza

WeChina. Progetto Destination Management e Marketing Turistico

Comunicare un progetto

Marta Bettini Marketing Manager THE ROI GENERATION. Perché un azienda moderna non può fare a meno della Lead Generation online?

L oggetto libro Osservare, analizzare, ricostruire. Verso il workbook

Centro Informazioni turisti

Guida redazionale del logo 2015

Milano Design Week 8 13 Aprile Circuito Ufficiale di zona Tortona Savona. Posizione Mainsponsor del circuito

MANUALE DI GUIDELINES MARCHIO ENTI EROGATORI PUBBLICI E PRIVATI SISTEMA SANITARIO REGIONE LOMBARDIA

Comune di Brescia. Manuale di identità visiva

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

manuale di identità visiva - graphic portfolio

Versione 2.1. Manuale d uso per il marchio e identità visiva Cagliari - Sardegna Capitale Europea della Cultura Città Candidata 2019

Approccio alla gestione del rischio

CORPORATE DESIGN MANUAL. Fitnet Srl

I CAMMINI DELLA REGINA PERCORSI TRANSFRONTALIERI LEGATI ALLA VIA REGINA

CATALOGO VITERIA AZIENDA CERTIFICATA ISO : info@bbpadova.it pag. 27. pag. 11. pag. 53. pag. 56. pag. 28. pag.

MANUALE DI GUIDELINES MARCHIO ASL REGIONE LOMBARDIA

Il Manuale d identità visiva

CUCINE CAMERE DA LETTO CAMERETTE LIVING COMPLEMENTI LE PIÙ BELLE CASE ITALIANE ARREDATE CON ESSESETTANTACINQUE

Grafica ed interfacce per la comunicazione Scienze della Comunicazione

velit. Castia è una piattaforma facile, veloce ed economica, Progetto Castia Il progetto CASTIA

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Linee guida per l utilizzo del marchio e degli obblighi informativi dei beneficiari POR FESR MARCHE 2007/2013. Insieme c è futuro

Linee guida per l'utilizzo del logo dell'università di Siena

Percorsi Formativi promossi dalle FEDERATE AICQ

0.1 STATO DI REVISIONE DELLE SEZIONI 0.3 I PRINCIPI DI GESTIONE PER LA QUALITÀ 0.4 COMPATIBILITÀ CON ALTRI PROCESSI DI GESTIONE

EMANUELE ALOI SCUOLE - ISTRUZIONE Via Vigna 45, Ciriè (TO) 08/03/1988.

REFERENZE CREATIVITÀ, ARTIGIANALITÀ E TANTA PASSIONE.

CSS Layout delle pagine

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

ALWIN3D COMMESSA N / 2017 OFFERTA PER. Gent. sig. ra Nome Cliente. 03 gennaio 2017

LA STRUTTURA DELL ISO 9001:2015

Il Modello di Gestione e Sviluppo delle Risorse Umane. Il Sistema di Rilevazione delle Competenze. Il Sistema di Valutazione delle Prestazioni

Percorsi Formativi promossi dalle FEDERATE AICQ

Risk Management e Sistemi di Gestione Integrati

MANUALE DI STILE 2013

Tutta un altra storia

dell Università degli Studi di Firenze a cura del

Bando Storico, Artistico e Culturale II fase. Fondazione CON IL SUD PROPOSTA DI PROGETTO. Numero progetto: null FAC-SIMILE

Cybersecurity per la PA: approccio multicompliance Sogei

indirizzi e linee guida per i beneficiari dei finanziamenti relativamente alle azioni di comunicazione, informazione e pubblicità

Linee guida del logo istituzionale e dell immagine coordinata del Comune di Malnate

LA NUOVA ISO 9001:2015

CATALOGO VITERIA EN AZIENDA CERTIFICATA ISO : pag. 36. pag. 11. pag. 65. pag.

Il tema del seminario

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

La UNI EN ISO 9001:2015 e il Risk Based Thinking

1. MANUALE DI COMUNICAZIONE ISTITUZIONALE

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

First SERIE SCALE A GIORNO LINEA WOOD

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

SELEZIONE DELLE MIGLIORI PASTE ITALIANE EDIZIONI

la scrittura e la lettura sul web Luisa Carrada Berna, 25 aprile 2013

Introduzione alla comunicazione scientifica

La nuova ISO 9001 del 2015: meno forma e più sostanza

Laboratorio di Tecnologie Web CSS Altre tecniche Dott. Stefano Burigat

Offerta Risk Management e Find your way

Manuale d uso del marchio Turismo Veneto

Catalogo Content Marketing

comunicazione coordinata fondi strutturali e di investimento europei programmazione 2014/2020

Manuale d uso del marchio turistico della città di Roma

Guida OpenOffice Writer Indice

Codice Internazionale sulla Commercializzazione dei Sostituti del Latte Materno. con le successive pertinenti Risoluzioni dell AMS

Centri di Lavoro_Turning machine center

Business Continuity Experts

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

SAFER, SMARTER, GREENER

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo

Logo Gruppi del cuore Istruzioni per l uso

Info e Contatti

Transcript:

ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L analisi e la gestione dei rischi nel contesto della Information Security Domenico Carnicella DataConSec Srl

RISK-BASED THINKING Il Risk-based thinking... è il processo che dimostra che l organizzazione comprende quali siano i rischi attinenti ai propri sistemi/processi e che possono influenzare la capacità di raggiungere gli obiettivi previsti È dunque necessario produrre le evidenze che dimostrano che i rischi sono stati identificati e che sono state previste le azioni proporzionali alle conseguenze. I rischi sono dinamici e cambiano con il passare del tempo quindi questo approccio è continuativo e non si esegue una volta sola. L analisi e la gestione dei rischi indica dunque quando l organizzazione ha identificato rischi ed opportunità e deve decidere come gestirli. Verifica e misurazione della proporzionalità tra le azioni da intraprendere e l effetto atteso sulla conformità del prodotto/servizio o sull organizzazione in generale (obiettivi) Data Protection - Consulting - Security 2

RISK ISO 31000-BASED Definizione di rischio ISO 31000 come l effetto dell incertezza sugli obiettivi, con una valutazione del rischio che è il processo complessivo di identificazione, analisi e ponderazione del rischio. I fattori umani ed organizzativi devono essere presi in considerazione quando si valutano i rischi. Le persone costituiscono infatti importanti fonti di incertezza a seconda delle attitudini, del comportamento, percezioni, cultura, bisogni, competenze, abilità di comprensione ed esperienza In definitiva le attività di risk assessment devono essere sistematiche, logiche e condotte in modo strutturato per produrre risultati adeguati e massimizzare efficacia, efficienza, ripetibilità e difendibilità. Le attività devono anche essere intraprese al livello adeguato alla decisione da prendere e al tipo di risultato desiderato. Data Protection - Consulting - Security 3

AMBITO DI APPLICAZIONE RISK-BASED D.lgs. 231/01 Resp. Amm. Enti Sicurezza sul lavoro DL 81/08 Ambiente 360 Trasparenza/Corruzione P.A.- A.N.AC. Privacy Data protection EU P.I.A. Assicurativo finanziario (da sempre ) Business continuity BIA Norme ISO (High Level Structure) ISO9001:2015 Sistemi di gestione per la qualità ISO14001:2004 Sistemi di gestione ambientale ISO50001:2011 Sistemi di gestione dell energia ISO22000:2005 Sistemi di gestione della sicurezza nel settore agroalimentare ISO/IEC 27001:2013 Sistemi di gestione della sicurezza delle informazioni ISO20121:2012 Sistemi di gestione della sostenibilità degli eventi ISO39001:2012 Sistemi di gestione della sicurezza stradale ISO13485:2003 Sistemi di gestione per la qualità nel settore medicale Data Protection - Consulting - Security 4

IL PROCESSO/SISTEMA DI GESTIONE DEL RISCHIO Definizione del contesto Valutazione del rischio Trattamento del rischio Uno dei modi più diretti per eseguire tale processo è quello dell adozione della metodologia definita nella ISO 31001:2010 Data Protection - Consulting - Security 5

IL PROCESSO/SISTEMA DI GESTIONE DEL RISCHIO metodologia definita nella ISO 31001:2010 Data Protection - Consulting - Security 6

RISK ASSESSMENT Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Data Protection - Consulting - Security 7

RISK MANAGEMENT Data Protection - Consulting - Security 8

DI COSA HA BISOGNO UN ORGANIZZAZIONE PER GESTIRE CONCRETAMENTE I RISCHI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI? 1. Decisioni aziendali riguardo come il rischio debba essere gestito (strategia, principi, politiche, standard etc.); Sapere cosa deve essere protetto (inventario, classificazione delle informazioni, asset ) Misurare il rischio dell organizzazione rispetto al contesto (es. mercato) Sapere quanto rischio l organizzazione è disposta ad accettare (tolleranza del rischio/propensione); Una comprensione di chi accetta il rischio per conto dell organizzazione (comprensione e adesione) Un metodo o un processo per comprendere il rischio e come trattarlo (valutazione dei rischi, trattamento dei rischi) Un metodo per comunicare in modo effettivo le responsabilità e i doveri (rischio di escalation e decisioni) Un insieme di requisiti bilanciato e completo Un metodo o un processo per gestire le aspettative degli stakeholder; Un framework comune per mettere tutto insieme (ISO 31000) LA SICUREZZA DELL INFORMAZIONE DEVE ESSERE UN SISTEMA DI GESTIONE CONTINUAMENTE OPERATIVO Data Protection - Consulting - Security 9

RISK MANAGEMENT (modelli) Data Protection - Consulting - Security 10

RISK & DATA PROTECTION Data Protection - Consulting - Security 11

GESTIONE INTEGRATA DEL SISTEMA DI SICUREZZA DELLE INFORMAZIONI (Framework di riferimento: ISO/IEC 27001:2014) Approcciare il percorso di ICT Governence & Compliance (in relazione alle criticità riscontrate ed in riferimento alle norme di riferimento analizzate) come un progetto integrato, coordinato e sinergico, strutturato in modo che i vari step di compliance siano propedeutici alla realizzazione di quelli successivi. Data Protection - Consulting - Security 12

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back