Upload File

gestione dei rischi: analisi di un modello semplificato per le pmi

  • Home
  • Technology
  • Gestione dei rischi: analisi di un modello semplificato per le PMI
Download Gestione dei rischi: analisi di un modello semplificato per le PMI

If you can't read please download the document

Upload: stefano-bendandi

Post on 29-May-2015

3.093 views

Category:

Technology


4 download

Report

TRANSCRIPT

  • 1. Gestione dei rischi
      • Analisi di un modello semplificato per le PMI

2. Licenza e condizioni di uso

  • I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5, secondo le clausole della Attribuzione - Non Commerciale Condividi allo stesso modo , e ne sono consentiti gli utilizzi esplicitati nella licenza medesima.
  • E' possibile prendere visione della sintesi dei diritti concessi mediante tale licenza all'indirizzo http://creativecommons.org/licenses/by-nc-sa/2.5/deed.it
  • Copia integrale della licenza invece disponibile all'indirizzo http://creativecommons.org/licenses/by-nc-sa/2.5/it/legalcode.

3. Scenario di partenza

  • Le piccole e medie imprese rappresentano in Europa ed in Italia la maggior parte del tessuto imprenditoriale e costituiscono la chiave per lo sviluppo socio economico del nostro paese e dell'intero continente.
  • Le PMI nascono sulla base di un idea imprenditoriale ma sono spesso caratterizzate da risorse economiche limitate e da sistemi di business eterogenei ed indipendenti.
  • Anche per le PMI le informazioni, ed i sistemi hardware e software che le gestiscono, costituiscono una preziosa risorsa di business che, in quanto tale, necessita di una adeguata protezione.

4. Problematiche ricorrenti

  • Per poter gestire e proteggere in modo strategico le informazioni le PMI devono, dapprima, comprenderne il valore per i propri sistemi di business e, successivamente, utilizzare un framework per valutare ed implementare le politiche di sicurezza pi consone.
  • A causa della notevole dinamicit del modello di sviluppo delle PMI le problematiche di sicurezza non sono prese in considerazione durante la fase di startup.
  • Policies e framework per la pianificazione e l'implementazione della sicurezza ed il disaster recovery sono del tutto mancanti o eccessivamente semplificati o frammentari.

5. Le cause

  • La conoscenza dei rischi legati alla sicurezza delle informazioni a volte circoscritta ai soli virus/antivirus.
  • Esiste una distorta percezione dei rischi imputabile alla limitata dimensione del business e dei suoi asset.
  • Spesso il management non ha conoscenza degli standard e considera la sicurezza come un insieme di interventi tecnici finalizzati al backup dei dati e ad azioni di contrasto nei confronti dei virus.
  • I framework per la gestione dei rischi sono per lo pi orientati verso le necessit delle entit di maggiori dimensioni e molto costosi da attuare.

6. Le cause (continua)

  • A causa del budget limitato le PMI non possiedono le risorse necessarie per indirizzare e risolvere le problematiche di sicurezza nello stesso modo delle organizzazioni di pi grandi dimensioni, pur avendo accesso per alla stessa tecnologia utilizzata da queste ultime ed essendo pertanto complessivamente pi esposte ai relativi rischi.
  • I processi per valutare gli attuali livelli di sicurezza, individuare le opportune contromisure tecnologiche ed organizzative e ponderare la loro efficacia in termini di costi/benefici sono piuttosto complessi.

7. Gli effetti

  • Se non propriamente valutate e debitamente indirizzate, le problematiche di sicurezza possono facilmente condurre alla compromissione della riservatezza, integrit e disponibilit degli asset informativi aziendali.
  • Pi della met delle PMI ha subito negli ultimi anni almeno un incidente di sicurezza.
  • Questi incidenti possono avere riflessi negativi, anche molto seri, sul business e sulla sua percezione da parte del pubblico ed integrare, a loro volta, fattispecie di violazione di leggi, regolamenti ed obblighi contrattuali da cui derivano, inevitabilmente, responsabilit civili e/o penali.

8. Il modello proposto da ENISA

  • ENISA, l'agenzia Europea per la sicurezza delle reti e delle informazioni, propone per le PMI un modello semplificato per l'analisi e la gestione dei rischi.
  • L'approccio, basato in parte sulla metodologia OCTAVE, adattato ai tipici ambienti ed alle necessit che caratterizzano le PMI e si articola in tecniche di assessment e di pianificazione della sicurezza basate sull'applicazione di un profilo di rischio prevalente .
  • Il metodo di lavoro si concentra sui rischi del contesto di business tipico e si focalizza sulle problematiche operative e strategiche della gestione del rischio.

9. Vantaggi

  • Possibilit di raggiungere livelli di sicurezza accettabili a fronte di un moderato sforzo organizzativo e di gestione.
  • Riduzione dei costi, rispetto ad un approccio pi tradizionale, con possibilit di esternalizzare i relativi processi, senza che ci abbia un peso eccessivo sul budget.
  • Possibilit di applicazione anche da parte di un team non esperti per via delle semplificazioni introdotte.
  • Possibilit di applicazione anche in contesti diversi dalle PMI (ad es. studi/associazioni professionali).

10. Vantaggi (continua)

  • Praticit del modello grazie alle seguenti caratteristiche:
    • Il profilo di rischio pu essere facilmente identificato e definisce il contesto di rischio nel quale una determinata organizzazione opera;
    • Gli asset tipici sono agevolmente determinati;
    • Le minacce sono piuttosto tipizzate e, una volta raggruppate, trovano applicazione come generici profili di rischio per un numero elevato di PMI;
    • La protezione degli asset per mezzo delle contromisure viene favorita dall'esistenza e dall'applicazione di appositi controlli predefiniti;

11. Obiettivi

  • Migliorare i livelli di sicurezza delle PMI europee accelerando la loro transizione verso una cultura integrata di gestione dei rischi.
  • Soddisfare i requisiti di business e di contesto ed i condizionamenti tipicamente presenti negli ambienti delle PMI.
  • Focalizzare l'attenzione sugli asset critici ed i rischi pi elevati.
  • Sviluppare una metodologia di analisi e gestione del rischio indipendente dalle contromisure (i controlli utilizzabili possono essere Octave,ISO17799,NIST,ecc..).

12. Avvertenze e considerazioni

  • Il modello proposto mantiene una sua validit soltanto se adottato in un ottica di pianificazione della sicurezza a breve/medio termine e come mezzo per approntare, in modo veloce ed efficace, le contromisure a protezione dei componenti di business pi critici.
  • Anche se il modello copre i rischi pi significanti ai quali sono di regola esposte le PMI, la sua adozione duratura, in sostituzione di un assessment pi completo e dettagliato dei rischi, viene sconsigliata, soprattutto negli ambienti maggiormente caratterizzati da una certa complessit operativa, strutturale e tecnologica.

13. Analisi del modello

  • Per l'analisi delle problematiche tecnologiche ed organizzative viene proposto un approccio suddiviso in quattro fasi:
    • Selezione del profilo di rischio;
    • Identificazione degli asset critici;
    • Selezione dei controlli;
    • Implementazione e gestione;
  • Il corretto svolgimento delle prime due fasi, entrambe svolte mediante l'ausilio di apposite tabelle sinottiche, fondamentale per la riuscita dell'intero processo.

14. Selezione del profilo di rischio

  • Durante questa fase viene individuato il profilo di rischio prevalente mediante l'ausilio di criteri predefiniti che prendono in considerazione quattro aree:
    • Rischi legali : scaturiscono dalla violazione o dalla mancanza di conformit a leggi, regolamenti, obblighi contruattuali e standard di settore;
    • Rischi di stabilit finanziaria : sono relativi alla carenza di infrastrutture di gestione e produzione e di risorse cos come alla inappropriata gestione della sicurezza delle informazioni;
    • Rischi di produttivit : sono relativi alla scarsa applicazione di procedure e controlli di base ed investono non

15. Selezione del profilo di rischio

  • soltanto gli aspetti tecnologici ma anche quelli organizzativi;
    • Rischi di reputazione : riguardano un asset intangibile ma di primaria importanza per il successo del business come la reputazione e la fedelt della clientela;
  • Ciascuna delle aree suddivisa in tre classi di rischio: alto, medio, basso (vedi tabelle sinottiche 1 e 2).
  • Per ogni area viene identificato il relativo livello di rischio.
  • Il livello di rischio pi alto individuato costituisce il profilo di rischio complessivo dell'organizzazione.

16. Tabella sinottica (1) 17. Tabella sinottica (2) 18. Identificazione degli asset

  • Durante questa fase vengono selezionati gli asset pi importanti per l'organizzazione definiti come critici poich fondamentali per il raggiungimento degli obiettivi di business.
  • Per ciascuno degli asset necessario procedere ad una valutazione dei requisiti di sicurezza in termini di confidenzialit, integrit e disponibilit al fine di sottolinearne l'importanza.
  • Alcuni asset possono dipendere per la loro operativit da altri asset/componenti i quali, ovviamente, dovranno ricevere analoga protezione dei principali.

19. Tipologie di asset (1)

  • Si possono considerare, a livello esemplificativo, le seguenti tipologie:
    • Sistemi : elaborano e memorizzano le informazioni. Sono critici quelli ritenuti essenziali per la continuit operativa dei servizi di business e per l'offerta di prodotti, quelli che memorizzano informazioni di business critiche (dati della clientela, informazioni proprietarie) o che sono esposti al mondo esterno.
    • Reti : periferiche e dispositivi necessari per il funzionamento della rete. Sono critici quelli che supportano il funzionamento di applicazioni o sistemi critici oppure quelli condivisi con terze parti o reti insicure.

20. Tipologie di asset (2)

    • Persone : individui facenti parte della organizzazione considerati in relazione alle proprie capacit, conoscenze, esperienze e formazione. Sono critiche quelle persone che esplicano un ruolo chiave nei processi operativi o di produzione.
    • Applicazioni : sono parte integrante dell'offerta di prodotti o di servizi. Sono critiche quelle il cui malfunzionamento od interruzione provocano severe ripercussioni o congestione dei processi da esse dipendenti.
  • Esempi: sistemi (server, workstation,...); reti (router, switch,...); persone (risorse umane, ICT, ricerca e sviluppo,...); applicazioni (controlli finanziari, commercio elettronico,...).

21. Selezione dei controlli di sicurezza

  • Durante questa fase vengono selezionati i controlli appropriati in relazione al profilo di rischio, agli asset critici ed ai loro requisiti di sicurezza.
  • I controlli proposti nell'ambito del modello sono tratti dalla metodologia OCTAVE in virt della loro semplicit di uso (possono per essere adottati anche altri controlli come ad es. quelli ISO 17799).
  • I controlli sono suddivisi in due categorie:
    • Organizzativi : si applicano orizzontalmente alla organizzazione degli asset.
    • Basati sugli asset : sono specifici in quanto indirizzati alla protezione dei singoli asset.

22. Selezione dei controlli di sicurezza

  • I primi sono selezionati con riferimento al livello individuato per ciascuna delle categorie di rischio (legale, finanziario, ecc...) - Fig. 1.
  • I secondi invece si applicano per livello complessivo di rischio ed i requisiti di sicurezza degli asset e sono dunque raggruppati per profilo di rischio, categoria dell'asset e requisiti di sicurezza Fig. 2.
  • La lista dei controlli organizzativi e specifici del modello OCTAVE allegata in appendice al documento ENISA Risk Management: Information package for SME's) scaricabile dall'indirizzo indicato nelle sezione risorse.

23. Controlli organizzativi (Fig. 1) 24. Controlli relativi agli asset (Fig. 2) 25. Implementazione e gestione

  • Durante questa fase viene pianificata l'applicazione pratica dei controlli di sicurezza precedentemente individuati.
  • In relazione alle risorse disponibili la pianificazione pu essere adattata per priorit tenendo conto di vari criteri quali:
    • Le necessit di adeguamento (compliance)
    • La strategicit in relazione agli obiettivi di business
    • Il risparmio dei costi
    • La riduzione dei rischi
    • Altri specifici per la singola organizzazione

26. Risorse

  • Sito istituzionale ENISA:http://www.enisa.europa.eu
  • ENISA Risk Assessment & Management:http://www.enisa.europa.eu/rmra/h_home.html
  • Risk Management Information Package for SME:http://www.enisa.europa.eu/rmra/downloads.html

derris layman ITdoc/derris_layman_it.pdfdue categorie di destinatari: le PMI e la Pubblica Amministrazione. 11 / pmI pa > favorire la comprensione dei rischi climatici ai quali sono

Rischi 1 - dmi.unict.itnicolosi/LezioniPS200809/Lezione9.pdf · Rischi 1 • Definizione di rischio nello sviluppo del software • Analisi dei rischi • Gestione dei rischi Un ingegnere

Sussidiario Semplificato Geografia Pilu' 3

leaflet-derris 07 bologna...Amministrazione e alle PMI sugli strumenti per ridurre i rischi legati ai cambiamenti climatici • Uno strumento di auto-valutazione per analizzare il

D.U.P. Documento Unico di Programmazione semplificato 2017 ...€¦ · Documento Unico di Programmazione semplificato 2017/2019 Castione della Presolana 7 1.2.2 - Legislazione regionale

Il decreto legislativo n. 19/2014 L - puntosicuro.info · sicurezza del lavoro Decreto gestione sicurezza PMI La valutazione dei rischi strutturali nelle scuole ... recepisce la Direttiva

Analisi Di Un Ecosistema Semplificato

GUIA ÁGIL - Agile Alliance€¦ · PMI, o logotipo do PMI, PMBOK, OPM3, PMP, CAPM, PgMP, PfMP, PMI-RMP, PMI-SP, PMI-ACP, PMI-PBA, PROJECT MANAGEMENT JOURNAL, PM NETWORK, PMI TODAY,

Manuale Semplificato - Home | SIRIO srl

Calcolo EPi Semplificato Detrazioni 55

RISCHI DA SOVRACCARICO BIOMECCANICO - … · metodo ocra semplificato metodo ocra semplificato --check list check list-- La Check-List OCRA si compone di cinque parti, dedicate allo

MODELLO PA04 SEMPLIFICATO - acadis.csto.itacadis.csto.it/wp-content/uploads/2009/03/Manuale_di_utilizzo_Mod... · COMPILAZIONE MOD. PA04 SEMPLIFICATO Descrizione delle celle Il Mod

Rivoluzione russa o bolscevica_Materiale semplificato

PMI-RMP - GRATIS EXAM › download › pmi › pmi-rmp › ... PMI-RMP.164q Number : PMI-RMP Passing Score : 800 Time Limit : 120 min PMI-RMP PMI Risk Management Professional

DOCUMENTO DI VALUTAZIONE PRELIMINARE DEI RISCHI … · RISCHI Rischi ambiente di lavoro generico (elettrico, incendio, microclima, ecc.)GENERICI: X RISCHI SPECIFICI: ... Il presente

QuadernoTecnico Rischi MovimentazioneTerre (Rischi)

Modello 770 Mod. 770 Semplificato Ordinario Mod. 770 ... 770 2016.pdf · Mod. 770 Semplificato Mod. 770 Ordinario Mod. 770 Semplificato Il Mod. 770 Semplificato deve essere utilizzato

PROSPETTO SEMPLIFICATO

ANALISI DEI RISCHI - giuseppecosta.itgiuseppecosta.it/Pagine analisi rischi/Analisi dei rischi 1.pdf · Analisi dei rischi 1.doc Pag. 1di 32 ANALISI DEI RISCHI Isola di pressofusione

PIANO DI SICUREZZA MODELLO SEMPLIFICATO

Modello 770 - cissas.it · 1 = SEMPLIFICATO/ORDINARIO CON ST ED SX SUDDIVISI SU PIU’ INVII 2 = SEMPLIFICATO/ORDINARIO CON ST ED SX SOLO SU ORDINARIO S = SOLO SEMPLIFICATO In base

il sistema solare (semplificato)

Sistemasolare semplificato

Worldventures • piano compensi semplificato

MANUALE SEMPLIFICATO Sistema audio

MODELLO SEMPLIFICATO POS - grafill.it · esempio di un pos compilato con il modello semplificato..... ˝ 22 5. installazione del software allegato

VALUTAZIONE DEI RISCHI - cpia5sassari.gov.it · (Rischi trasversali) PER LA SALUTE (Rischi di natura igienico ambientale) PER LA SICUREZZA (Rischi di natura infortunistica) I FATTORI

LE NOVITA’ DI UNICO 2015 E IRAP 2015 - odcecbenevento.it · mod. 770 semplificato mod. 770 semplificato ... 770 semplificato 31/07/2015 770 0rdinario 31/07/2015 iva autonoma 30/09/2015

Tendenze fondamentali Opportunità e rischi per PMI · 2017-07-07 · Opportunità e rischi per PMI Forum PMI e futuro 2009 Economic Research. Sigla editoriale ... Solo se le aziende

Modello 770 SEMPLIFICATO 2014

TESTO SEMPLIFICATO DI STORIA - WordPress.com

Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatturiere

STUDIO DI FATTIBILITA’ SEMPLIFICATO n. 10.1.1.4 ... · Studio di fattibilità semplificato n 10.1.1.4 Ricostruzione identità ambientale centro storico - Riqualificazione piazza

Green marketing: vantaggi competitivi per le PMI e rischi ... · prodotto caratterizzante da comunicare ai clienti in accompagnamento al logo dello Schema; fornire riferimenti metodologici

Cinese semplificato - picture d - Evi Poxleitner.pdf