KeyMap Analisi del Rischio

Documenti analoghi
Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

Sicuramente

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

MASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT

PIATTAFORMA RISK MANAGEMENT I Risk

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

LEGAL RISK MANAGEMENT

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

LA NUOVA NORMA ISO 9001:2015

Strumenti e metodi per la Continuità Operativa ed il Disaster Recovery

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

GESTORE DEL SISTEMA QUALITA AZIENDALE

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

Business Continuity Plan, questo sconosciuto

AREA C: SISTEMI INTEGRATI

L Operatore di protocollo

Approccio alla gestione del rischio

IL SISTEMA DI CONTROLLO INTERNO

Business Continuity: criticità e best practice

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Valutazione d impatto e gestione integrata dei rischi

Sistema di controllo interno

La valutazione del rischio ed il sistema di controllo interno documento 400

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

La comprensione dell impresa e del contesto in cui opera

Esperienze di analisi del rischio in proggeti di Information Security

Obblighi di controllo dei Fornitori esterni. Rischio tecnologico

Analisi e diagnosi dei processi aziendali. Corso di ebusiness

Conti significativi. In sede di pianificazione:

Valutazio ne dei rischi

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

30 settembre 5 ottobre Servizio di Immunoematologia e Medicina Trasfusionale Vigevano

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

CORSO DI SPECIALIZZAZIONE IN OPERATORE DI CONTABILITA (livello base)

Offerta di servizi in outsourcing e di consulenza e assistenza in materia di controlli interni

Il processo di conservazione elettronica. Fabio Chinaglia Responsabile Solution

Gestione dei rischi di progetto

PROCEDIMENTO LOGICO DELLA REVISIONE DEI CICLI

Sezione 1 - Gestione e governance della protezione dei dati

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

IL SISTEMA DI GESTIONE DELLA QUALITA SECONDO LA NORMA ISO 9001:2000

Backup e Disaster Recovery In Cloud. Basso impatto, elevato valore. 100% Cloud 100% Canale 100% Italia

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale

Politica per la Qualità, la Sicurezza delle Informazioni e la Sicurezza sul lavoro

LS Paola (CS) A.S. 2015/2016. D.Lgs 81/2008 e s.m.i. PARTE I^

PEC POSTA ELETTRONICA CERTIFICATA. C.R.I Servizio 4 Informatica - Ufficio Coordinamento Infrastrutture, Sistemi & Applicativi ICT 1

1. Unipol Gruppo. 2. La cultura del rischio. 3. Valutazione del rischio terremoto. 4. Strategie di gestione del rischio: conclusioni

La certificazione di 3^ parte dei Sistemi di Gestione Stefano PROCOPIO

MONTERENZIO PATRIMONIO SRL. Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo

Corso per la qualifica di Auditor Interno Sistemi di Autocontrollo - HACCP

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

SGSI CERT CSP POSTE ITALIANE

Pericolosità, Vulnerabilità, Rischio

Approccio prestazionale e analisi di rischio

SIRFE La nuova realtà per l invio delle segnalazioni sui casi di falsità dell euro

Il sistema di reporting per gli organi di vertice delle compagnie assicurative: gli effetti di Solvency 2 e Regolamento 20 sulla governance

Delibera del Direttore Generale n del 30/12/2014. Oggetto: Piano di attività biennale per la gestione del rischio clinico,

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

La funzione antiriciclaggio nel sistema di controllo interno: ruolo, responsabilità e rendicontazione delle attività svolte

SISTEMI INFORMATIVI E DATABASE

Transcript:

KeyMap Analisi del Rischio

Risk Management La valutazione del rischio quale minimo comun denominatore ISO 27001 - D.Lgs. 231/01 ISO 22301 D.Lgs. 196/03 - ISO 9001 Risk Management 2

Risk Management 3

Il processo di gestione del rischio

Strumenti - KeyMap non impone uno schema preciso soluzione flessibile e adattabile alla realtà analizzata crea un modello / mappa che ne rappresenti gli elementi fondamentali, proprietà e interrelazioni organizzazione, responsabilità, processi di business e risorse collegate.

Metodologia SGSI 1. Definizione del perimetro 2. Mappatura dei processi / responsabilità 3. Identificazione degli asset (risorse) 4. Identificazione degli eventi sui gruppi di asset 5. Identificazione degli impatti sui processi (BIA) 6. Calcolo dei livelli (o misure) di rischio 7. Assegnazione delle contromisure (SOA) 8. Calcolo del rischio residuo 9. Produzione della documentazione richiesta

1 Definizione del perimetro 2 Mappatura processi / responsabilità/ organizzazione

3 Identificazione degli asset Gli asset IT possono essere suddivisi nelle seguenti classi:

3 - Relazioni di dipendenza fra asset

3 Ereditarietà fra asset

KeyMap consente quindi: di descrivere efficacemente i Modelli (Eventi-Risorse- Processi-Organizzazione) e le loro relazioni. di indicare la dipendenza di una risorsa da un altra risorsa per una fedele e semplificata rappresentazione della realtà. un efficiente gestione offrendo la possibilità di creare gruppi omogenei di risorse gestendone le caratteristiche comuni.

4 - Identificazione degli eventi sui gruppi di asset Risorse Eventi (P) P = probabilità di accadimento Va ripetuto per ogni associazione Evento/Risorsa/Processo

4 - Identificazione degli eventi sui gruppi di asset

5 - Identificazione degli impatti sui processi (BIA) Processi Impatti ( ) BIA = Business Impact Analysis

5 - Identificazione degli impatti sui processi (BIA) OBIETTIVI: determinare le conseguenze derivanti dal verificarsi di un evento critico valutare l impatto dell evento sull operatività dell organizzazione. IMPATTO ECONOMICO perdita economica subita dall azienda a causa del verificarsi di un evento.

5 - Identificazione degli impatti sui processi (BIA) In particolare, si vuole valutare la sensibilità di ogni servizio nei confronti dei temi fondamentali della sicurezza: RISERVATEZZA INTEGRITÀ DISPONIBILITÀ

5 - Identificazione degli impatti sui processi (BIA) RISERVATEZZA: definisce le conseguenze che subirebbe l organizzazione nel caso in cui i dati trattati dal servizio siano divulgati a persone non autorizzate. INTEGRITÀ: definisce le conseguenze che subirebbe l organizzazione nel caso in cui il servizio fornisca dati errati o non coerenti.

5 - Identificazione degli impatti sui processi (BIA) DISPONIBILITÀ: definisce le conseguenze che subirebbe l amministrazione nel caso in cui il servizio in esame subisca un interruzione.

5 - Identificazione degli impatti sui processi (BIA)

6 - Calcolo dei livelli (o misure) di rischio Individuazione dei Processi Impatti ( ) BIA = Business Impact Analysis Definizione asset correlati Eventi (P) P = probabilità di accadimento RISCHIO (R) = Impatto (I) * Evento (P)

6 - Calcolo dei livelli (o misure) di rischio Un evento, ossia una minaccia che si verifica (es. incendio dell edificio) rende l applicazione e quelle ad essa collegate indisponibili al processo che le utilizza, per cui il rischio conseguente a tale non disponibilità è dato dalla combinazione della probabilità del verificarsi della minaccia (incendio) e l impatto, ossia il danno al business causato dall interruzione del processo aziendale.

Rischi intrinseci

7 Assegnazione delle contromisure (SOA)

7 Assegnazione delle contromisure (SOA) Gli impatti colpiscono i processi, mentre gli eventi (ovverosia le minacce e le vulnerabilità) colpiscono le risorse. Quindi le contromisure generalmente non vengono applicate al processo.

7 Assegnazione delle contromisure (SOA)

8 Calcolo del rischio residuo L obiettivo è quello di spostare il rischio entro un livello accettabile per l organizzazione: Rischio elementare Riduzione del rischio Insieme di rischi elementari Limite del rischio accettabile Non gestione sicurezza (che si concentra sulle vulnerabilità) ma gestione del rischio!

8 Calcolo del rischio residuo RISCHI ATTUALI

Trattamento del rischio

Trattamento del rischio Le contromisure hanno lo scopo di ridurre il rischio diminuendo la probabilità di accadimento e/o riducendo gli impatti: 1. EVITARE un rischio significa non intraprendere un attività o rimuovere una funzione. 2. TRASFERIRE il rischio ad una terza parte, ad es. un assicurazione 3. La Direzione può sempre decidere di ACCETTARE il rischio, presumibilmente perché si considera una particolare contromisura troppo costosa 4. La RIDUZIONE del rischio ad un livello accettabile comporta l adozione di appropriate contromisure.

Accettazione del rischio I rischi residui potrebbero essere classificati come accettabili oppure come non accettabili per l organizzazione. Tale classificazione può essere fatta tenendo conto degli impatti sulle attività dell organizzazione che rischi di quel genere potrebbero avere. Ovviamente, i rischi accettabili non possono essere tollerati senza ulteriori considerazioni, come ad esempio i costi.

Impatto economico Ridurre i rischi al minor costo possibile in una logica costibenefici

9 Produzione della documentazione richiesta KeyMap contribuisce alla stesura della documentazione cogente attraverso la generazione di report specifici: SOA.doc Risk Treatment Plan.doc Risk Assessement Report.doc

KeyMap ISO 22301 Business Continuity Report generato da Keymap per la compilazione dei piani di continuità operativa: BCM.docx

KeyMap D. Lgs. 196/03 - Trattamenti Processi Sottoprocessi Trattamento Strutture di riferimento / responsabili Banca di dati - (C) cartacei - (I) informatizzati Finalità interne esterne P S G Natura dei dati Strumenti utilizzati / Dispositivi d'accesso/interconnessione Ubicazione Cedolini (C) X X Archivio 1 Ufficio A Attestati corsi (C) X Archivio 2 Ufficio A Acquisizione e Inserimento dati Segreteria Schede personali (C) Cedolini (I) X Archivio 4 Ufficio A Server 1 Ufficio X X X Applicativo XY Ufficio X P1 Gestione amministrativo-contabile e risorse umane P1.1 gestione risorse umane Invio telematico all'ufficio paghe e contributi Segreteria Ufficio paghe e contributi Schede personali(i) Cedolini (I) X X X Server 1 Applicativo XY Server 1 Applicativo XY Ufficio X Ufficio X Ufficio X Ufficio X Archiviazione documenti Segreteria Cedolini (C) X x Archivio 1 Ufficio A Attestati corsi (C) X Archivio 2 Ufficio A Schede personali (C) Cedolini (I) X x X Archivio 4 Ufficio A Server 1 Applicativo XY Ufficio X Ufficio X Schede personali(i) X Server 1 Applicativo XY Ufficio X Ufficio X 34

KeyMap D. Lgs. 196/03 Tipo Evento Descrizione Probabilità dell'evento Gravità delle conseguenze Rischio (da 1 a 9) intrinseco attuale pianificato Comportamenti degli operatori PROBABILITA Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti alta media bassa Errore materiale Furto di credenziali di autenticazione Modifica deliberata e non autorizzata di dati residenti su archivi informatici Social Engineering La mancata preparazione e definizione di ruoli e responsabilità può avere conseguenze sulla corretta gestione dei dati e sistemi. La mancanza di strumenti di controllo e di adeguate misure sanzionatorie può avere conseguenze sulla corretta gestione dei dati e sistemi La mancata preparazione e di sistemi di protezione può avere conseguenze sulla corretta gestione dei dati e sistemi Il furto di credenziali consente comportamenti scorretti o fraudolenti attribuendone la responsabilità ad altri Questa minaccia riguarda l'abuso delle autorizzazioni rilasciate per modificare impropriamente dati critici (anche per la sicurezza). Un esterno carpisce informazioni dal personale su come penetrare nel sistema, su come usare il sistema, sulla sua architettura, sui processi che esegue. Riduco Accetto medio alto 6 2 2 Evito medio alto 6 3 1 basso basso 1 1 1 medio alto 6 5 5 basso alto 3 1 1 Trasferisco basso alto 3 2 2 lievi sensibili gravi CONSEGUENZE 35

KeyMap D. Lgs. 196/03 Report generato da Keymap per la conformità al D. Lgs. 196/03: DPS.doc

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back