Introduzione

I servizi di analisi del rischio permettono di stimare il livello di sicurezza dei dati e del patrimonio aziendale in relazione alle diverse tipologie di rischio. Sono necessari per identificare i punti carenti, valutare l'efficacia delle risorse investite e pianificare correttamente nuovi interventi.

Descrizione

Una componente fondamentale dell'infrastruttura di infosecurity management è principalmente organizzativa. È importante definire esplicitamente, per ogni ambito e ruolo aziendale, i compiti, le responsabilità, le attività permesse e quelle negate, le procedure operative da seguire, la gestione del flusso informativo e quant'altro sia rilevante in funzione dell'attività e della tipologia dei dati trattati. Politiche di sicurezza esplicite e approvate dalle rappresentanze sindacali sono necessarie anche ai fini delle attività di monitoraggio e per elargire eventuali procedimenti disciplinari in caso di violazione.

Obiettivi

Oltre al regolamento di sicurezza (policy), è opportuno creare delle procedure operative standard che permettano di gestire in maniera coerente, documentata, ed in ottica di qualità e sicurezza, tutte le attività ordinarie e straordinarie, sia legate all'amministrazione di reti e sistemi, che alle normali attività degli utenti (credenziali di accesso, e-mail, applicativi di ufficio, gestione degli asset informatici, formazione, ...).

Questa componente gestionale non deve ridursi ad un mero processo burocratico; deve essere uno strumento reale per aumentare il livello di sicurezza della rete coinvolgendo e sensibilizzando le varie componenti dell'azienda, in particolar modo il personale non tecnico.