Nelle organizzazioni odierne dipendenti dalle informazioni, è fondamentale valutare e gestire i rischi correlati alle informazioni, nonché i rischi correlati all'IT sottostanti. La valutazione e la gestione del rischio informativo sono essenziali per garantire che i controlli e le spese siano pienamente commisurati ai rischi a cui è esposta l'organizzazione.

  • Controlli deterrenti: per ridurre la probabilità di un attacco deliberato
  • Controlli preventivi: per mitigare le vulnerabilità o ridurre le possibilità che un attacco abbia successo
  • Controlli correttivi: per ridurre l'effetto o l'impatto di un attacco
  • Controlli detective: per scoprire attacchi e attivare controlli preventivi o correttivi

Questi elementi possono essere illustrati da un semplice modello relazionale:

VANTAGGI DI UN PROGRAMMA DI VALUTAZIONE DEL RISCHIO

Secondo ISO27000, i vantaggi di un programma di valutazione/analisi dei rischi includono:

Giustificazione dei costi

Una sicurezza aggiuntiva comporta quasi sempre spese aggiuntive. Poiché ciò non genera direttamente entrate, dovrebbe sempre essere giustificato in termini finanziari. Il processo di analisi dei rischi dovrebbe generare direttamente e automaticamente tale giustificazione per le raccomandazioni di sicurezza in termini aziendali.

Un programma di analisi dei rischi dovrebbe migliorare la produttività del team di sicurezza o di audit. Creando una struttura di revisione, formalizzando una revisione, riunendo le conoscenze sulla sicurezza nella "base di conoscenza" del sistema e utilizzando funzionalità di "autoanalisi", è possibile un utilizzo molto più produttivo del tempo. La capacità di “integrare” competenze dovrebbe anche alleviare la necessità di costosi consulenti di sicurezza esterni.

Rompere le barriere - Rapporti d'affari

La sicurezza dovrebbe essere affrontata sia dalla direzione aziendale che dal personale IT. La direzione aziendale è responsabile delle decisioni relative al rischio/livello di sicurezza che l'impresa è disposta ad accettare in un dato momento (il che implica la considerazione del potenziale impatto aziendale). La gestione IT è responsabile delle decisioni relative a controlli e applicazioni specifici.

L'analisi del rischio non dovrebbe solo indirizzare informazioni adeguate a ciascun gruppo, ma svolgere un ruolo importante e proattivo nel migliorare la comprensione dei bisogni e del ruolo dell'altro. Dovrebbe avvicinare i due gruppi. L'analisi dei rischi dovrebbe mettere in relazione la sicurezza direttamente con le questioni aziendali.

Autoanalisi

Il sistema di valutazione del rischio dovrebbe essere sufficientemente semplice da consentirne l'uso senza richiedere particolari conoscenze in materia di sicurezza o, addirittura, competenze IT. Questo approccio consente di estendere la sicurezza a più aree e di renderla più decentrata. Consente alla sicurezza di diventare parte della cultura aziendale, consentendo al management delle business unit di assumersi maggiori responsabilità nel garantire un livello di sicurezza adeguato e appropriato.

Consapevolezza della sicurezza

L'applicazione su vasta scala di un programma di valutazione del rischio, coinvolgendo attivamente una vasta gamma e un numero maggiore di dipendenti, porrà la sicurezza all'ordine del giorno della discussione e aumenterà la consapevolezza della sicurezza all'interno dell'azienda.

Mira alla sicurezza

La sicurezza dovrebbe essere adeguatamente mirata e direttamente correlata ai potenziali impatti, minacce e vulnerabilità esistenti. Il mancato raggiungimento di questo obiettivo potrebbe comportare spese eccessive o inutili. L'analisi del rischio promuove un targeting molto migliore e facilita le decisioni correlate. Ciò non si applica solo a quali aree di un particolare sistema dovrebbero essere indirizzate le risorse, ma anche a quali sistemi aziendali. Attraverso l'applicazione dell'analisi del rischio a più unità aziendali, è possibile stabilire rapidamente le aree di maggior rischio per l'impresa nel suo complesso.

Sicurezza e politica "di base".

Molte imprese richiedono il rispetto di determinati standard di base. Ciò potrebbe avvenire per una serie di ragioni, come la legislazione (ad esempio: legge sulla protezione dei dati), la politica aziendale, i controlli normativi, ecc. La metodologia di analisi del rischio dovrebbe supportare tali requisiti e consentire una rapida identificazione di eventuali carenze.

Consistenza

Uno dei principali vantaggi dell'applicazione dell'analisi dei rischi è che apporta un approccio coerente e obiettivo a tutte le revisioni della sicurezza. Ciò non si applica solo a diverse applicazioni, ma a diversi tipi di sistemi aziendali. Dovrebbe includere anche quei sistemi che non sono sotto il controllo diretto della gestione IT: sistemi basati su carta, sistemi PC o sistemi che utilizzano altre apparecchiature per ufficio.

Comunicazione

Ottenendo informazioni da diverse parti di un'unità aziendale, una valutazione del rischio aiuta la comunicazione e facilita il processo decisionale.

Ci sono anche una serie di altri vantaggi importanti, ma meno tangibili, che si ottengono tramite l’applicazione dell’analisi del rischio.

PACCHETTI SOFTWARE DI VALUTAZIONE DEL RISCHIO

Sono disponibili pacchetti software di valutazione del rischio FORFIRM e questi strumenti forniscono un'alternativa alla conduzione manuale del processo di valutazione del rischio, in quanto forniscono un mezzo automatizzato per eseguire parti del processo di valutazione del rischio. Alcuni sono progettati per gestire l'analisi di grandi sistemi informativi integrati mentre altri valutano sistemi più piccoli e autonomi.

Sebbene l’uso di strumenti automatizzati possa facilitare la raccolta e l’analisi dei dati, gli strumenti non sono né necessari né richiesti per eseguire un’efficace valutazione del rischio. Inoltre, gli strumenti di valutazione del rischio raramente riducono il livello di coinvolgimento del cliente e, pertanto, la decisione di utilizzare tale strumento è a discrezione del responsabile dell’incarico.

Panoramica della metodologia e obiettivi

La metodologia di valutazione del rischio FORFIRM mira a facilitare e supportare quanto segue:

  • Progetti autonomi di valutazione del rischio
  • Valutazione del rischio come parte di un impegno ESAS (Enterprise Security Architecture System).
  • Valutazione del rischio per progetti di conformità/certificazione del settore normativo

Per completare una valutazione del rischio, deve essere in atto una sorta di schema di classificazione. Questa metodologia inizierà presentando suggerimenti e linee guida su come condurre un esercizio di classificazione delle informazioni e, una volta ottenuti i risultati di questo esercizio, eseguirà una valutazione completa del rischio per coprire tutte le informazioni aziendali critiche identificate.

Una valutazione del rischio affronta le minacce esterne, interne, accidentali e intenzionali all'organizzazione, il livello di vulnerabilità dell'organizzazione a queste minacce e, in definitiva, determina il livello di rischio a cui è esposta l'organizzazione. In effetti, queste idee di minaccia, vulnerabilità e rischio sono fondamentali per qualsiasi esercizio di valutazione del rischio. Questo documento servirà a contestualizzare queste idee e a fornire al lettore una comprensione di base di una valutazione del rischio; che coprono le principali aree presentate negli standard internazionali di gestione del rischio.

Questo aiuto pratico fornirà anche una linea guida generale per l'esecuzione di una valutazione del rischio completa.

Un altro concetto fondamentale è la gestione del rischio, che affronta le modalità di trattamento del rischio. I controlli di sicurezza dovrebbero essere implementati in relazione all’importanza delle informazioni. Forse ancora più importante, la riservatezza, l'integrità e la disponibilità delle informazioni possono quindi essere migliorate grazie a controlli rafforzati.

Valutazione del rischio e quadro di sicurezza delle informazioni FORFIRM

Considerando che la “valutazione del rischio” è un elemento essenziale all'interno del quadro di sicurezza delle informazioni FORFIRM, la sezione successiva fornirà una panoramica di dove si inserisce da una prospettiva di alto livello e di come apporta benefici al quadro di sicurezza dell'organizzazione nel suo complesso.

FORFIRM Information Security Framework è un modello completo e comprovato. Definisce i vari aspetti correlati della sicurezza delle informazioni che devono essere esaminati e implementati per garantire che un'organizzazione sia protetta in modo efficiente ed efficace. L'Information Security Framework è stato sviluppato per aiutare a dimostrare le sfide di sicurezza di un'organizzazione da una prospettiva aziendale e per fornire un approccio strutturato a supporto delle iniziative di sicurezza aziendale.

Il quadro di sicurezza delle informazioni ha molti elementi costitutivi diversi che costituiscono una solida base e struttura. Il risultato è un modello completo e coeso per valutare gli sforzi di protezione delle informazioni che prende in considerazione tutti gli aspetti di un'organizzazione, dai processi aziendali alle tecnologie fino ai dipendenti degli utenti finali.

Elementi e componenti del quadro di sicurezza delle informazioni

Il quadro sulla sicurezza delle informazioni può essere suddiviso in quattro aree fondamentali, ciascuna con elementi unici. Queste aree includono:

I quattro pilastri:

  • Visione e strategia di sicurezza
  • Impegno dell'alta dirigenza
  • Programma di formazione e sensibilizzazione
  • Struttura di gestione della sicurezza delle informazioni

Gli elementi determinanti della decisione:

  • Strategia e utilizzo della tecnologia
  • Iniziative e processi aziendali
  • Valutazione del rischio

Gli elementi di sviluppo

  • Politica e standard
  • Modello di sicurezza
  • Architettura di sicurezza e standard tecnici di sicurezza

Gli elementi di attuazione

  • Processi di applicazione
  • Processi di monitoraggio
  • Processi di risposta e ripristino

FORFIRM utilizza il quadro di sicurezza delle informazioni per valutare l'attuale ambiente di protezione delle informazioni di un'organizzazione e consigliare miglioramenti al programma di sicurezza di un'organizzazione. L'utilizzo dell'Information Security Framework garantisce una copertura completa di un ambiente di sicurezza a livello aziendale. Come illustrato nel framework, condurre una valutazione del rischio è un elemento chiave decisionale per la protezione delle informazioni e deve essere preso in considerazione quando si costruisce un programma di sicurezza completo a livello aziendale.

POTREBBE INTERESSARTI ANCHE: