GOVERNANCE DEL RISCHIO

SOMMARIO

PRESENTAZIONE INTRODUZIONE I RISCHI Il concetto di rischio Tipologia di rischi LA GESTIONE DEL RISCHIO Standard per la gestione del rischio Metodologie per la gestione del rischio I ruoli nella gestione dei rischi L'ANALISI DEI RISCHI Un approccio all'analisi del rischio a più livelli Terminologia dell'analisi dei rischi Metodologie per l'analisi dei rischi Aspetti trasversali nella analisi dei rischi Fasi dell'analisi dei rischi LA RACCOLTA DELLE INFORMAZIONI Tecniche di raccolta dei dati La verifica documentale Le informazioni da raccogliere in ambito ICT Fonti dati sulle risorse LA MAPPATURA DEGLI ASSET Gli asset dal punto di vista dell'azienda La conoscenza La classificazione delle informazioni I documenti I documenti elettronici Il sistema informativo Il ciclo di vita delle informazioni I flussi documentali Il capitale umano Competenze/Conoscenze Altri asset immateriali La collocazione degli asset aziendali Correlazione fra gli asset Struttura gerarchica Cataloghi di asset I servizi I processi Cataloghi di processi Le finalità di trattamento Cataloghi delle finalità MINACCE E VULNERABILITÀ Gli eventi di minaccia Classificazione delle fonti di minacce Le Vulnerabilità Cataloghi delle minacce e delle vulnerabilità MISURE DI SICUREZZA Classificazione delle Misure di Sicurezza Ciclo di vita delle misure di sicurezza Coerenza nelle contromisure Differenza nelle contromisure Cataloghi delle misure di sicurezza Misure di sicurezza - Policy e Procedure PROBABILITÀ E IMPATTI Valutazione della probabilità Valutazione degli impatti Esempi di scale di impatto Registro "Qualitativo" Minacce-Probabilità-Impatti UN NUOVO APPROCCIO ALLA CYBERSECURITY Evoluzione da qualitativo a quantitativo Da IT Security a Cybersecurity: standard ISO/IEC 27032:2012 Misura del rischio Cybersecurity Da Qualitativo a Quantitativo: sostituzione uno-a-uno L'esperto come strumento della valutazione Loss exceedance curve Visualizzare il rischio La tolleranza al rischio: come descriverla in termini statistici Supporto alle decisioni: ROSI Come migliorare le stime La taratura delle stime di probabilità Riduzione dell'incertezza con metodi statistici Set di utility Excel personalizzate AGGREGAZIONI E CORRELAZIONI DEI RISCHI Somma dei rischi e Calcolo della rischiosità totale Rischi indipendenti Rischi correlati Perché un approccio "rischio totale" FACTOR ANALYSIS OF INFORMATION RISK (FAIR) Posizionamento rispetto ad altri Standards / Frameworks CONCETTI, FORMULE E STRUMENTI EXCEL Definizione delle scale di misura Le possibili scale di misura Scale qualitative Scale quantitative RISCHIO QUANTITATIVO ALE (Annualized Loss Expectancy) Indice di Rischiosità normalizzato (rn) Somma o moltiplicazione? Definizione delle scale logaritmiche, probabilità ed impatti Indice di rischio normalizzato IL TRATTAMENTO DEL RISCHIO L'attivazione delle contromisure Il trasferimento del rischio Il ciclo dell'analisi del rischio ALLEGATO A ALLEGATO B ALLEGATO C Analisi dei Rischi dal punto di vista del GDPR Determinazione analitica della valutazione di impatto Altri rischi per i diritti e le libertà fondamentali delle persone fisiche Confronto fra analisi del rischio dal punto di vista dell'azienda e del GDPR Il trattamento del rischio dal punto di vista del GDPR ALLEGATO D ALLEGATO E ALLEGATO F INDICE ANALITICO

AUTORE

Giancarlo Butti, Master in Gestione aziendale e Sviluppo Organizzativo (MIP - Politecnico di Milano). Si occupa di ICT, organizzazione e normativa dai primi anni 80: • analista di organizzazione, project manager, security manager ed auditor presso gruppi bancari • consulente in ambito documentale, sicurezza, privacy... presso aziende di diversi settori e dimensioni. Come divulgatore ha all'attivo: • oltre 800 articoli su 30 diverse testate • 25 fra libri e white paper, alcuni dei quali utilizzati come testi universitari Alberto Piamonte, laureato nell'Università di Padova in Ingegneria Elettronica, fa attualmente parte del KeyMap Team, un gruppo di Consulenti ed Aziende che si occupa dello sviluppo di strumenti automatizzati e metodologie per attività di audit, l'analisi e gestione dei rischi, la certificazione conformità e la realizzazione di efficaci ed efficienti sistemi di con- trollo e di governo. Oltre che svolgere in prima persona attività di consulenza si occupa attivamente dei problemi relativi al governo dei sistemi IT tenendo frequenti corsi e seminari su metodologie quali COBIT, ITIL e ISO27001 ed alla sensibilizzazione e diffusione delle relative tematiche, è stato Consigliere AIEA con il ruolo di Research Director. Inizia la sua carriera come ricercatore IBM con permanenza più che decennale nei laboratori di ricerca e sviluppo (USA, Germania, Svezia ed Italia) occupandosi principalmente di comunicazioni (SNA) e relativi problemi di sicurezza. Successivamente, come Direttore Responsabile del Marketing Olivetti per le Pubbliche Amministrazioni, è stato coinvolti nella gestione e realizzazione di grandi progetti. Più recentemente come Direttore Software Europa di Amdahl Corporation si è occupato delle problematiche di gestione e sicurezza di grandi reti di utenti. Socio di ISACA – Roma, COBIT5 Trainer, Assessor ed Implementor. • 15 opere collettive nell'ambito di ABI LAB, Oracle Community for Security, Rap- porto CLUSIT sulla sicurezza ICT in Italia • relatore in oltre 120 eventi presso ABI, ISACA/AIEA, ORACLE/CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, TECNA... • docente in master e corsi di perfezionamento post-universitario in diversi atenei. Socio di AIEA/ISACA (www.aiea.it – Associazione Italiana Information Systems Auditors), del CLUSIT (www.clusit.it – Associazione Italiana per la Sicurezza Informatica) e di BCI (Busi- ness Continuity Institute). Partecipa ai gruppi di lavoro di ABI LAB, di ISACA-AIEA, di UNINFO, di Oracle Community for security... Fra i coordinatori di www.blog.europrivacy.info.

ALTRE INFORMAZIONI

• Condizione: Nuovo
• ISBN: 9788894441536
• Pagine Arabe: 222