Risk Analysis

Da un estratto di un nostro documento per spiegare questa attività. Penso possa essere utile a molti.

Nelle realtà aziendali esistono innumerevoli contenitori di dati da cui si estraggono informazioni utili alla conoscenza del proprio business.
Questa frase contiene in sé il perché dell’analisi del rischio all’interno di una azienda.

Abbiamo dati in molteplici forme: cartacei, fogli excel, svariati databases, documenti informatici. Sono Fatti ed Oggetti. Da soli servono poco o nulla ma devono essere comunque gestiti.
Dai dati estraiamo informazioni correlandoli in configurazioni significative per la nostra attività.
La conoscenza è l’applicazione e l’uso produttivo dell’informazione.
Sono “oggetti” che quindi vanno preservati per la continuità dell’azienda.

Per tali motivi è necessario quindi analizzare l’intera azienda per scoprire dove sono questi “oggetti” e come preservali in caso di “disastri”.

Questo è l’oggetto della Risk Analysis:

Fornire informazioni al management aziendale
Verificare il rispetto di leggi e regolamenti
Ridurre le perdite provocate dalle minacce

Gli obiettivi della Risk Analysis sono soprattutto:

Determinare quali beni aziendali sono critici (e rientrano anche i beni o asset intangibili come la conoscenza e l’informazione)
Identificare le minacce possibili
Determinarne le criticità e le vulnerabilità
Calcolare in maniera scientifica le perdite previste in caso di incidente
Valutare le azioni e le contromisure da mettere in campo
Mettere in campo le azioni correttive
Periodicamente effettuare una nuova risk analysis

E’ un processo ciclico da effettuare con svariate metodologie:

quantitative per dare un valore certo dei rischi, sono più costose e complesse ma alla lunga danno un vantaggio, sono ripetibili e confrontabili
qualitative quando i beni o i dati non sono facilmente valutabili in termini economici (es quando un incidente causa perdita di immagine).

I passi sono abbastanza semplici da descrivere:

identificare gli asset aziendali tangibili e intangibili determinandone i valori , la criticità la proprietà e la localizzazione
Identificare le minacce distinguendo tra eventi naturali (es incendio) ed umani (furto di dati, abuso di privilegi) o tecniche (guasto hardware, guasto software) e facendo una stima della loro frequenza di accadimento
Identificare le contromisure esistenti (antivirus, ridondanza, condizionamento, antifurto, backup, controllo accessi)
Identificare le vulnerabilità
Calcolare il valore delle perdite stimate con funzioni matematiche ad hoc oppure con matrici di probabilità: Questo Ë il rischio

Una volta calcolato il rischio totale si mettono in pratica azioni correttive volte a eliminarlo, abbassarlo, oppure trasferirlo (assicurazione).

A questo punto si entra nella gestione del rischio vero e proprio in cui si mettono in pratica una serie di metodologie organizzative e tecnologiche massimizzando il rapporto Costo/beneficio in quanto la gestione del rischio ha benefici ma anche costi quali:

Costi di investimento
Costi di Implementazione delle contromisure
Costi operativi e di manutenzione
Costi diretti e indiretti.

Il ritorno dell’investimento per la riduzione del rischio è comunque positivo se il processo è eseguito correttamente: ci sono dei benefici economici in quanto perdo meno tempo (es, quanto costa ricostruire un sistema gestionale partendo dalle copie cartacee?), benefici non economici come una migliore gestione, una maggiore consapevolezza, un livello di integrità dei dati migliorato.

In definitiva, uno studio di risk management ha l’obiettivo di presentare al management aziendale le contromisure necessarie alla riduzione del rischi e comprende:

Il risultato della Risk Analysis
Gli scenari delle minacce e vulnerabilità
I risultati secondo l’analisi costi/benefici
Le contromisure da adottare.

In sostanza dire che serve assolutamente un doppio ced, oppure una rete dati completamente ridondata, un certo sistema di replica delle informazioni senza avere fatto una seria analisi sia dei costi che dei benefici attesi è assolutamente priva di significato. Di volta in volta le soluzioni possono essere diverse a seconda dell’azienda.

Sicurezza e valore dei dati

Correlati

Lascia un commento

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Condividi:

Correlati

Lascia un commento Annulla risposta