TÜV Journal
SERVIZI
 
 

Assessment del Risk Management

  • TUV Italia I sistemi di gestione per la sicurezza delle informazioni (ISMS o SGSI) sono basati sulla valutazione e gestione del rischio.
    Spesso le organizzazioni si chiedono se il processo adottato, la metodologia e/o lo strumento, oltre ad essere conformi, sono soprattutto efficaci e migliorabili.
    Tali valutazioni possono essere effettuate solo da personale competente, dotato di esperienza specifica nel settore dell’ICT e nella gestione dei rischi, oltre che aggiornato e qualificato secondo schemi e modelli di riferimento riconosciuti.
  • Saper gestire i rischi significa:
    • capire il reale valore dei beni (o assets);
    • identificare le vulnerabilità proprie di ciascun bene;
    • individuare le minacce potenziali capaci di sfruttare tali vulnerabilità per determinare un impatto e quindi un danno.
    L’incidente, infatti, può procurare ripercussioni di ordine finanziario, economico, di immagine, strategico ecc. Analizzare i rischi e valutarli significa unire le competenze specifiche con la conoscenza dei modelli per generare valutazioni certe, in termini di efficacia, conformità e miglior abilità.
    Il mondo ISO ha emesso di recente la ISO 31000 come modello di riferimento per la gestione del rischio ed in ambito ICT la ISO/IEC 27005 come applicazione alla sicurezza delle informazioni.
    Il setttore ICT è da sempre attento a questo argomento, diventato negli ultimi anni di scottante attualità, a causa dei sempre più frequenti incidenti informatici ed alle direttive comunitarie e di settore.
  • La soluzione proposta da TÜV Italia si pone proprio questo obiettivo: fornire una valutazione indipendente, eseguita da personale qualificato e competente, del processo di disaster recovery e dei suoi effettivi punti di forza e di debolezza, laddove presenti.
    L’assessment viene svolto durante la normale operatività e la prima fase prevede un’analisi della documentazione di riferimento, atta ad identificare l’esatto “perimetro” dell’assessment e lo studio delle valutazioni disponibili. La fase successiva include invece un'effettiva valutazione in campo dei reali rischi, sulla base delle informazioni raccolte nella prima fase. La terza ed ultima fase prevede l’identificazione di eventuali debolezze o aree di miglioramento all’interno delle metodiche utilizzate e della gestione attuata.

    Obiettivi e vantaggi
    L’obiettivo prioritario è fornire una valutazione obiettiva ed efficace del funzionamento del processo di risk management a fronte di specifiche contrattuali o modelli internazionali di riferimento.
    I vantaggi sono principalmente riferibili:
    • alla professionalità delle risorse impegnate;
    • all’indipendenza di giudizio;
    • alla reportistica nella quale è possibile specificare anche eventuali punti di debolezza o aree di miglioramento (a seconda delle esigenze).
  • Come opera TÜV Italia
    Come ente terzo, con personale indipendente dall’organizzazione valutata e dotato delle competenze più idonee.

    Procedure di assessment
    Le principali fasi dell' iter comprendono:
    • l’individuazione dei documenti di riferimento e la loro successiva analisi per definire in modo puntuale i requisiti dell’assessment e le eventuali specificità necessarie per la redazione della valutazione finale (BOA);
    • l’esecuzione dell’assessment operativo (OFA) per la rilevazione del reale stato del processo e la verifica degli eventuali requisiti contrattuali.