Sicurezza IT: il piano di rischio
La redazione di un piano di rischio per valutare l'impatto dell'adozione di un'applicazioni Web all'interno di un contesto aziendale
In due articoli precedenti (WAPT: l’approccio blackbox e La sicurezza nelle applicazioni Web) abbiamo introdotto gli strumenti per valutare la sicurezza delle applicazioni Web. In questo articolo andremo invece ad analizzare i principi di redazione di un piano di rischio relativo all’ambito informatico.
Il rischio in ambito informatico è un concetto legato alla probabilità che un evento possa influenzare negativamente il business per cui un’infrastruttura è stata realizzata. La definizione di un piano di rischio nell’ambito web è un’operazione complessa e articolata, che prevede una profonda conoscenza del tipo di business trattato dalle web application, delle vulnerabilità e delle classi di attacco.
L’analisi e la stesura del piano di rischio non possono essere sviluppate secondo i tradizionali criteri e fattori di cui tiene conto la “security governance”, limitando la considerazione dell’analisi della frequenza e della quantità di rischi avvenuti in precedenza, ritenendo opportuno orientare il modello di rischio al business e non all’incidentalità.
Molte aziende possiedono una classificazione dei loro asset, in modo da formalizzare quali siano gli asset prioritari nel loro business. Nel caso in cui queste priorità non siano formalizzate è compito della direzione aziendale definirle.
La valutazione dei rischi dovrebbe essere un’operazione ciclica e continuativa, tale da permettere una definizione delle priorità in concretezza con l’evoluzione del business nel tempo.
RISCHIO = Probabilità di rischio * impatto sul business
Nell’identificazione della probabilità di rischio le due componenti principali sono i fattori legati alla vulnerabilità e alle figure che potrebbero sfruttare la vulnerabilità:
- Facilità di scoperta della vulnerabilità (è possibile individuarla con sistemi di scansione automatizzata?)
- Facilità di attacco (dispendioso in termini di tempo? Richiede skills elevati? Quante aree della struttura devono venire coinvolte per portare a termine l’attacco? Sono presenti tools per lo sfruttamento della vulnerabilità riscontrata? Numero di attaccanti necessari?)
- Appetibilità del dato (dati economici, dati industriali, dati personali, dati giudiziari, dati sensibili)
0commentiLeggi
inserisci un commento
-
Speciale IMU
IMU 2012: guida alla Tassa sulla Casa. I servizi online offerti dai Comuni, le simulazioni di calcolo, gli strumenti messi a disposizione dai Comuni più grandi e le agevolazioni previste. In più si possono trovare tutti i dettagli sulle scadenze delle rate e le modalità di pagamento.
-
Speciale Riforma del Lavoro 2012
La Riforma del Lavoro 2012 del Ministro Elsa Fornero e del Governo Monti: testo, trattative, news, le opinioni e le proposte delle parti sociali, i nodi su articolo 18 e licenziamenti, i nuovi contratti e tutte le novità sull’iter parlamentare della proposta di Riforma del Governo.
-
Speciale Modello 730 2012
Modello 730: aggiornamenti, novità sulle detrazioni, scadenze e guida alla compilazione dei modelli di Dichiarazione dei Redditi.
-
Le News Locali di PMI.it
L'informazione a carattere regionale per il mondo delle imprese: finanziamenti, progetti e opportunità dagli enti locali e dalle camere di commercio.
Speciale Riforma delle Pensioni
Analisi delle misure punto per punto della nuova disciplina: calcolo pensione con sistema contributivo, innalzamento età pensionabile, blocco rivalutazioni, pensioni di vecchiaia, eccezioni e casi particolari.
-
Speciale Regime dei Minimi 2012
Tutte le novità su riforma, nuovo regime contabile agevolato ed ex minimi: requisiti per nuovi contribuenti minimi e opzioni per ex minimi, esclusione dal regime e vantaggi per imprenditori under 35 e in mobilità, decreti attuativi e chiarimenti dell'Agenzia delle Entrate.
PMI.it e i suoi partner
-
Oracle Sfruttare in modo efficace le risorse aziendali come hardware, database e sistemi legacy. Accrescere e potenziare i servizi ai clienti. Scopri come, grazie ad Oracle
Tag Cloud
accesso al credito
agenzia delle entrate
android
apple
bandi regionali
cloud computing
confindustria
crisi economica
dichiarazione dei redditi
e-commerce
erp
facebook
finanziamenti
fisco
fonti rinnovabili
formazione
fotovoltaico
google
ict
idc
incentivi
innovazione
inps
intel
iphone
irap
istat
iva
manovra finanziaria
microsoft
news regionali
occupazione
open source
pensioni
privacy
project management
riforma lavoro
sicurezza sul lavoro
sistri
smartphone
social network
unioncamere
virtualizzazione
voip
web 2.0
-
Calcolo del Codice Fiscale L'espressione alfanumerica da 16 caratteri del codice fiscale rappresenta cognome, nome, data e luogo di nascita del soggetto, più un ultimo valore alfabetico destinato a controllo da parte del sistema.... -
Camere di Commercio Tutti le sedi, gli indirizzi e gli orari di apertura delle Camere di Commercio in Italia, per ottenere consulenza sugli adempimenti aziendali, consigli sull'attività di business e sui fondi locali per l'accesso al credito...... -
Dichiarazione dei redditi PMI.it vi offre una finestra sul mondo delle dichiarazioni dei redditi dei contribuenti, privati e aziendali: in questa sezione trovate tutta la modulistica per i diversi adempimenti (modelli Unico, 770, 730, F23, F24...) e relative istruzioni di compilazione.... -
Diretta Camera dei Deputati Per guardare in diretta audio/video i dibattiti della scena politica nazionale... -
Sedi Inps Tutte le sedi Inps più vicine a te, dove richiedere la modulistica e avere assistenza per la compilazione dei moduli....