TÜV Journal
SERVIZI
 
 
Assessment del Risk Management
  • TUV Italia I sistemi di gestione per la sicurezza delle informazioni (ISMS o SGSI) sono basati sulla valutazione e gestione del rischio.
    Spesso le organizzazioni si chiedono se il processo adottato, la metodologia e/o lo strumento, oltre ad essere conformi, sono soprattutto efficaci e migliorabili.

    Tali valutazioni possono essere effettuate solo da personale competente, dotato di esperienza specifica nel settore dell’ICT e nella gestione dei rischi, oltre che aggiornato e qualificato secondo schemi e modelli di riferimento riconosciuti.

    Saper gestire i rischi significa:
    • capire il reale valore dei beni (o assets)
    • identificare le vulnerabilità proprie di ciascun bene
    • individuare le minacce potenziali capaci di sfruttare tali vulnerabilità per determinare un impatto e quindi un danno.
    L’incidente, infatti, può procurare ripercussioni di ordine finanziario, economico, di immagine, strategico ecc. Analizzare i rischi  e valutarli significa unire le competenze specifiche con la conoscenza dei modelli per generare valutazioni certe, in termini di efficacia, conformità e miglior abilità.
    Il mondo ISO ha emesso di recente la ISO 27005 come modello di riferimento per la gestione del rischio, ma precedentemente altre organizzazioni pubbliche e private(ad es NIST negli USA) avevano emesso specifiche e documenti di riferimento utili alla risoluzione di tale aspetto.
    Il mondo dell’ICT è da sempre attento a questo argomento e negli ultimi anni esso è diventato di scottante attualità, a causa dei sempre più frequenti incidenti informatici ed alle direttive comunitarie e di settore.

    La soluzione proposta da TÜV Italia si pone proprio questo obiettivo: fornire una valutazione indipendente, eseguita da personale qualificato e competente, del processo di disaster recovery e dei suoi effettivi punti di forza (e di debolezza laddove presenti).
    L’assessment viene svolto durante la normale operatività e le varie fasi prevedono in primis un’analisi della documentazione di riferimento, atta ad identificare l’esatto “perimetro” dell’assessment e lo studio delle valutazioni disponibili.
    Quella successiva include invece una effettiva valutazione in campo dei reali rischi, sulla base delle info raccolte nella prima fase. La terza, ed ultima, fase prevede l’identificazione di eventuali debolezze o aree di miglioramento all’interno delle metodiche utilizzate e della gestione attuata.
  • Obiettivi e Vantaggi
    L’obiettivo prioritario è fornire una valutazione del reale ed efficace funzionamento del processo di risk management a fronte di specifiche contrattuali o modelli internazionali di riferimento.
    I vantaggi sono principalmente riferibili:
    • alla professionalità delle risorse impegnate,
    • all’indipendenza di giudizio,
    • alla reportistica nella quale è possibile specificare anche eventuali punti di debolezza o aree di miglioramento (a seconda delle esigenze).
  • Come opera TÜV Italia
    Come ente terzo, con personale indipendente dall’organizzazione valutata e dotato delle competenze più idonee.
  • Procedure di assessment
    Le principali fasi dell' iter comprendono:
    1. l’individuazione dei documenti di riferimento e la loro successiva analisi per definire in modo puntuale i requisiti dell’assessment e le eventuali specificità necessarie per la redazione della valutazione finale (BOA)
    2. l’esecuzione dell’assessment operativo (OFA) per la rilevazione del reale stato del processo e la verifica degli eventuali requisiti contrattuali.