GOVERNANCE DEL RISCHIO Dall'analisi al reporting e la sintesi per la Direzione

PRESENTAZIONE
INTRODUZIONE
I RISCHI
Il concetto di rischio
Tipologia di rischi
LA GESTIONE DEL RISCHIO
Standard per la gestione del rischio
Metodologie per la gestione del rischio
I ruoli nella gestione dei rischi
L'ANALISI DEI RISCHI
Un approccio all'analisi del rischio a più livelli
Terminologia dell'analisi dei rischi
Metodologie per l'analisi dei rischi
Aspetti trasversali nella analisi dei rischi
Fasi dell'analisi dei rischi
LA RACCOLTA DELLE INFORMAZIONI
Tecniche di raccolta dei dati
La verifica documentale
Le informazioni da raccogliere in ambito ICT
Fonti dati sulle risorse
LA MAPPATURA DEGLI ASSET
Gli asset dal punto di vista dell'azienda
La conoscenza
La classificazione delle informazioni
I documenti
I documenti elettronici
Il sistema informativo
Il ciclo di vita delle informazioni
I flussi documentali
Il capitale umano
Competenze/Conoscenze
Altri asset immateriali
La collocazione degli asset aziendali
Correlazione fra gli asset
Struttura gerarchica
Cataloghi di asset
I servizi
I processi
Cataloghi di processi
Le finalità di trattamento
Cataloghi delle finalità
MINACCE E VULNERABILITÀ
Gli eventi di minaccia
Classificazione delle fonti di minacce
Le Vulnerabilità
Cataloghi delle minacce e delle vulnerabilità
MISURE DI SICUREZZA
Classificazione delle Misure di Sicurezza
Ciclo di vita delle misure di sicurezza
Coerenza nelle contromisure
Differenza nelle contromisure
Cataloghi delle misure di sicurezza
Misure di sicurezza - Policy e Procedure
PROBABILITÀ E IMPATTI
Valutazione della probabilità
Valutazione degli impatti
Esempi di scale di impatto
Registro "Qualitativo" Minacce-Probabilità-Impatti
UN NUOVO APPROCCIO ALLA CYBERSECURITY
Evoluzione da qualitativo a quantitativo
Da IT Security a Cybersecurity: standard ISO/IEC 27032:2012
Misura del rischio Cybersecurity
Da Qualitativo a Quantitativo: sostituzione uno-a-uno
L'esperto come strumento della valutazione
Loss exceedance curve
Visualizzare il rischio
La tolleranza al rischio: come descriverla in termini statistici
Supporto alle decisioni: ROSI
Come migliorare le stime
La taratura delle stime di probabilità
Riduzione dell'incertezza con metodi statistici
Set di utility Excel personalizzate
AGGREGAZIONI E CORRELAZIONI DEI RISCHI
Somma dei rischi e Calcolo della rischiosità totale
Rischi indipendenti
Rischi correlati
Perché un approccio "rischio totale"
FACTOR ANALYSIS OF INFORMATION RISK (FAIR)
Posizionamento rispetto ad altri Standards / Frameworks
CONCETTI, FORMULE E STRUMENTI EXCEL
Definizione delle scale di misura
Le possibili scale di misura
Scale qualitative
Scale quantitative
RISCHIO QUANTITATIVO
ALE (Annualized Loss Expectancy)
Indice di Rischiosità normalizzato (rn)
Somma o moltiplicazione?
Definizione delle scale logaritmiche, probabilità ed impatti
Indice di rischio normalizzato
IL TRATTAMENTO DEL RISCHIO
L'attivazione delle contromisure
Il trasferimento del rischio
Il ciclo dell'analisi del rischio
ALLEGATO A
ALLEGATO B
ALLEGATO C
Analisi dei Rischi dal punto di vista del GDPR
Determinazione analitica della valutazione di impatto
Altri rischi per i diritti e le libertà fondamentali delle persone fisiche
Confronto fra analisi del rischio dal punto di vista dell'azienda e del GDPR
Il trattamento del rischio dal punto di vista del GDPR
ALLEGATO D
ALLEGATO E
ALLEGATO F
INDICE ANALITICO

Giancarlo Butti, Master in Gestione aziendale e Sviluppo Organizzativo (MIP - Politecnico di Milano).
Si occupa di ICT, organizzazione e normativa dai primi anni 80:
• analista di organizzazione, project manager, security manager ed auditor presso gruppi bancari
• consulente in ambito documentale, sicurezza, privacy... presso aziende di diversi settori e dimensioni.
Come divulgatore ha all'attivo:
• oltre 800 articoli su 30 diverse testate
• 25 fra libri e white paper, alcuni dei quali utilizzati come testi universitari

Alberto Piamonte, laureato nell'Università di Padova in Ingegneria Elettronica, fa attualmente parte del KeyMap Team, un gruppo di Consulenti ed Aziende che si occupa dello sviluppo di strumenti automatizzati e metodologie per attività di audit, l'analisi e gestione dei rischi, la certificazione conformità e la realizzazione di efficaci ed efficienti sistemi di con- trollo e di governo.
Oltre che svolgere in prima persona attività di consulenza si occupa attivamente dei problemi relativi al governo dei sistemi IT tenendo frequenti corsi e seminari su metodologie quali COBIT, ITIL e ISO27001 ed alla sensibilizzazione e diffusione delle relative tematiche, è stato Consigliere AIEA con il ruolo di Research Director.
Inizia la sua carriera come ricercatore IBM con permanenza più che decennale nei laboratori di ricerca e sviluppo (USA, Germania, Svezia ed Italia) occupandosi principalmente di comunicazioni (SNA) e relativi problemi di sicurezza.
Successivamente, come Direttore Responsabile del Marketing Olivetti per le Pubbliche Amministrazioni, è stato coinvolti nella gestione e realizzazione di grandi progetti. Più recentemente come Direttore Software Europa di Amdahl Corporation si è occupato delle problematiche di gestione e sicurezza di grandi reti di utenti.
Socio di ISACA – Roma, COBIT5 Trainer, Assessor ed Implementor. • 15 opere collettive nell'ambito di ABI LAB, Oracle Community for Security, Rap- porto CLUSIT sulla sicurezza ICT in Italia • relatore in oltre 120 eventi presso ABI, ISACA/AIEA, ORACLE/CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, TECNA... • docente in master e corsi di perfezionamento post-universitario in diversi atenei. Socio di AIEA/ISACA (www.aiea.it – Associazione Italiana Information Systems Auditors), del CLUSIT (www.clusit.it – Associazione Italiana per la Sicurezza Informatica) e di BCI (Busi- ness Continuity Institute). Partecipa ai gruppi di lavoro di ABI LAB, di ISACA-AIEA, di UNINFO, di Oracle Community for security... Fra i coordinatori di www.blog.europrivacy.info.