Embed Size (px)
Citation preview
Domenico Carnicella DataConSec Srl
ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L’analisi e la gestione dei rischi nel contesto della Information Security
Il Risk-based thinking ...“ è il processo che dimostra che l’organizzazione comprende quali siano i rischi attinenti ai propri sistemi/processi e che possono influenzare la capacità di raggiungere gli obiettivi previsti”
È dunque necessario “produrre le evidenze che dimostrano che i rischi sono stati
identificati e che sono state previste le azioni proporzionali alle conseguenze. I rischi sono dinamici e cambiano con il passare del tempo quindi questo approccio è continuativo e non si esegue una volta sola”. L’analisi e la gestione dei rischi indica dunque “quando l’organizzazione ha identificato
rischi ed opportunità e deve decidere come gestirli. Verifica e misurazione della proporzionalità tra le azioni da intraprendere e l’effetto
atteso sulla conformità del prodotto/servizio o sull’organizzazione in generale (obiettivi)
Data Protection - Consulting - Security 2
RISK-BASED THINKING
Definizione di rischio ISO 31000 come “l’effetto dell’incertezza sugli obiettivi”, con una valutazione del rischio che è il processo complessivo di identificazione, analisi e ponderazione del rischio. I fattori umani ed organizzativi “devono essere presi in considerazione quando si valutano i rischi”. Le persone costituiscono infatti “importanti fonti di incertezza a seconda delle attitudini, del
comportamento, percezioni, cultura, bisogni, competenze, abilità di comprensione ed esperienza”…
In definitiva le attività di risk assessment “devono essere sistematiche, logiche e condotte in modo strutturato per produrre risultati adeguati e massimizzare efficacia, efficienza, ripetibilità e ‘difendibilità’. Le attività devono anche essere intraprese al livello adeguato alla decisione da prendere e al tipo di risultato desiderato”.
Data Protection - Consulting - Security 3
RISK ISO 31000-BASED
• D.lgs. 231/01 Resp. Amm. Enti • Sicurezza sul lavoro DL 81/08 • Ambiente 360° • Trasparenza/Corruzione P.A.- A.N.AC. • Privacy Data protection EU P.I.A. • Assicurativo finanziario (da sempre…)
• Business continuity BIA • Norme ISO (High Level Structure)
ISO9001:2015 Sistemi di gestione per la qualità ISO14001:2004 Sistemi di gestione ambientale ISO50001:2011 Sistemi di gestione dell’energia ISO22000:2005 Sistemi di gestione della sicurezza nel settore agroalimentare ISO/IEC 27001:2013 Sistemi di gestione della sicurezza delle informazioni ISO20121:2012 Sistemi di gestione della sostenibilità degli eventi ISO39001:2012 Sistemi di gestione della sicurezza stradale ISO13485:2003 Sistemi di gestione per la qualità nel settore medicale
Data Protection - Consulting - Security 4
AMBITO DI APPLICAZIONE RISK-BASED
Data Protection - Consulting - Security 5
IL PROCESSO/SISTEMA DI GESTIONE DEL RISCHIO
Definizione del contesto
Valutazione del rischio
Trattamento del rischio
Uno dei modi più diretti per eseguire tale processo è quello dell’adozione della metodologia definita nella ISO 31001:2010
Data Protection - Consulting - Security 6
IL PROCESSO/SISTEMA DI GESTIONE DEL RISCHIO metodologia definita nella ISO 31001:2010
Data Protection - Consulting - Security 7
RISK ASSESSMENT
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat
Data Protection - Consulting - Security 8
RISK MANAGEMENT
1. Decisioni aziendali riguardo come il rischio debba essere gestito (strategia, principi, politiche, standard etc.);
• Sapere cosa deve essere protetto (inventario, classificazione delle informazioni, asset…) • Misurare il rischio dell’organizzazione rispetto al contesto (es. mercato) • Sapere quanto rischio l’organizzazione è disposta ad accettare (tolleranza del
rischio/propensione); • Una comprensione di chi accetta il rischio per conto dell’organizzazione (comprensione e
adesione) • Un metodo o un processo per comprendere il rischio e come trattarlo (valutazione dei
rischi, trattamento dei rischi) • Un metodo per comunicare in modo effettivo le responsabilità e i doveri (rischio di
escalation e decisioni) • Un insieme di requisiti bilanciato e completo • Un metodo o un processo per gestire le aspettative degli stakeholder; • Un framework comune per mettere tutto insieme (ISO 31000)
LA SICUREZZA DELL’INFORMAZIONE DEVE ESSERE UN SISTEMA DI GESTIONE CONTINUAMENTE OPERATIVO
Data Protection - Consulting - Security 9
DI COSA HA BISOGNO UN’ORGANIZZAZIONE PER GESTIRE CONCRETAMENTE I RISCHI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI?
Data Protection - Consulting - Security 10
RISK MANAGEMENT (modelli)
Data Protection - Consulting - Security 11
RISK & DATA PROTECTION
Data Protection - Consulting - Security 12
GESTIONE INTEGRATA DEL SISTEMA DI SICUREZZA DELLE INFORMAZIONI (Framework di riferimento: ISO/IEC 27001:2014) Approcciare il percorso di ICT Governence & Compliance (in relazione alle criticità riscontrate ed in riferimento alle norme di riferimento analizzate) come un progetto integrato, coordinato e sinergico, strutturato in modo che i vari step di compliance siano propedeutici alla realizzazione di quelli successivi.
