Piano di Progetto
INFRASTRUTTURA HARDWARE
Rischi legati all’infrastruttura hardware fisica o virtualizzata utilizzata per ospitare il servizio (server farm, cloud server farm, reti, centralini, modem/router, locali, etc.)
Non si riscontrano rischi di rilievo relativamente all’infrastruttura Hardware, poiché l’ambiente virtualizzato è sottoposto a una quotidiana procedura di bare-metal backup che garantisce una retention di diversi giorni e un Disaster
Recovery in linea con le SLA concordate con il cliente.
ALTRO
Rischi legati ad aree non direttamente collegate a quelle sopra elencate (rapporti con il cliente, questioni amministrative/contabili, criticità sul contratto di fornitura, possibili problemi di ordine legale, et. al.)
57
Piano di Progetto 2
Il secondo Piano di Progetto è un esempio relativo ad un Progetto di upgrade non di
sicurezza con una relativa Analisi Preliminare che non ha portato al riscontro di nuovi
rischi per l’azienda.
Di seguito è riportata l’Analisi Preliminare relativa al Piano di Progetto 2, con relativi risultati descritti nel dettaglio.
Analisi Preliminare del Rischio – Piano di Progetto 2
In fase di analisi dei requisiti e analisi funzionale è possibile isolare alcune criticità potenziali di cui è opportuno tenere conto, suddivise nelle seguenti aree di rischio:
SICUREZZA E PRIVACY
Password, credenziali e policy di accesso, VPN/LAN, certificati di sicurezza, secure connection layers, visualizzazione dei dati personali, etc.
Nessun rischio rilevato in quanto la funzionalità è accessibile unicamente agli utenti autorizzati, sulla base delle medesime procedure di sicurezza già in piedi
ACQUISIZIONE E VERIFICA DEI DATI
Rischi legati ai processi di elaborazione dei flussi inviati dal cliente/committente e relativi dati (Codice Fiscale, ID univoci, etc.)
Nessun rischio rilevato in quanto la funzionalità è accessibile unicamente agli utenti autorizzati, sulla base delle medesime procedure di sicurezza già in piedi
CONTROLLO E CONSERVAZIONE DEI DATI
Rischi legati ai processi di controllo e conservazione dei dati ricevuti dal cliente (dati personali, credenziali, numeri di telefono/carta di credito, database, etc.)
Nessun rischio rilevato in quanto la funzionalità è accessibile unicamente agli utenti autorizzati, sulla base delle medesime procedure di sicurezza già in piedi
58
INFRASTRUTTURA SOFTWARE
Rischi legati al software realizzato internamente ovvero acquistato da terze parti (sviluppo, controllo codice sorgente, licenze d’uso, librerie o moduli di terze parti, etc.)
Nessun cambiamento di rilievo all’infrastruttura software.
INFRASTRUTTURA HARDWARE
Rischi legati all’infrastruttura hardware fisica o virtualizzata utilizzata per ospitare il servizio (server farm, cloud server farm, reti, centralini, modem/router, locali, etc.)
Nessun cambiamento di rilievo all’infrastruttura hardware.
ALTRO
Rischi legati ad aree non direttamente collegate a quelle sopra elencate (rapporti con il cliente, questioni amministrative/contabili, criticità sul contratto di fornitura, possibili problemi di ordine legale, et. al.)
Nessun rischio riscontrabile
Piano di Progetto 3
Il terzo Piano di Progetto è un esempio relativo ad un Progetto di upgrade di
funzionalità aggiuntiva (log filesystem) con una relativa analisi preliminare molto
accurata, che ha portato alla definizione dei rischi conseguenti alle nuove implementazioni e delle conseguenti ipotesi correttive.
Di seguito è riportata l’Analisi Preliminare relativa al Piano di Progetto 3, con relativi risultati descritti nel dettaglio.
Analisi Preliminare del Rischio – Piano di Progetto 3
In fase di analisi dei requisiti e analisi funzionale è possibile isolare alcune criticità potenziali di cui è opportuno tenere conto, suddivise nelle seguenti aree di rischio:
59
SICUREZZA E PRIVACY
Password, credenziali e policy di accesso, VPN/LAN, certificati di sicurezza, secure connection layers, visualizzazione dei dati personali, etc.
Il progetto non presenta rischi a livello di privacy o esposizione dei dati, al contrario è un progetto volto a risolvere questo problema poiché prevede il tracciamento degli accessi da parte degli utenti potenzialmente non autorizzati.
Al tempo stesso è opportuno riscontrare che, in sede di implementazione della funzionalità suddetta, esisterà la teorica possibilità che gli Amministratori di Rete possano a loro volta manomettere i log risultanti dal controllo accessi per favorire sé stessi ovvero colleghi non autorizzati. Si renderà quindi necessario, in ottica di prevenzione del rischio, prevedere una contromisura adeguata che renda i suddetti log non modificabili ovvero che possa tracciare gli amministratori che, muniti di opportuna autorizzazione, intervengano a modificare gli stessi.
ACQUISIZIONE E VERIFICA DEI DATI
Rischi legati ai processi di elaborazione dei flussi inviati dal cliente/committente e relativi dati (Codice Fiscale, ID univoci, etc.)
Nulla da aggiungere rispetto a quanto già detto sopra
CONTROLLO E CONSERVAZIONE DEI DATI
Rischi legati ai processi di controllo e conservazione dei dati ricevuti dal cliente (dati personali, credenziali, numeri di telefono/carta di credito, database, etc.)
Nulla da aggiungere rispetto a quanto già detto sopra
INFRASTRUTTURA SOFTWARE
Rischi legati al software realizzato internamente ovvero acquistato da terze parti (sviluppo, controllo codice sorgente, licenze d’uso, librerie o moduli di terze parti, etc.)
60 Trattandosi di una modifica che prevede la modifica di alcune policy di accesso al FileSystem di dominio, è opportuno valutare l’impatto in termini di Performance che la suddetta potrebbe avere sul Domain Controller di rete.
INFRASTRUTTURA HARDWARE
Rischi legati all’infrastruttura hardware fisica o virtualizzata utilizzata per ospitare il servizio (server farm, cloud server farm, reti, centralini, modem/router, locali, etc.)
Parallelamente a quanto descritto in sede di “Infrastruttura Software”, trattandosi di una modifica che prevede la modifica di alcune policy di accesso al FileSystem di dominio, è opportuno valutare l’impatto in termini di Performance che la suddetta potrebbe avere sul Domain Controller di rete e quindi sull’hardware virtuale attualmente allocato ad esso.
ALTRO
Rischi legati ad aree non direttamente collegate a quelle sopra elencate (rapporti con il cliente, questioni amministrative/contabili, criticità sul contratto di fornitura, possibili problemi di ordine legale, et. al.)
Nulla da aggiungere rispetto a quanto già descritto.