RELAZIONE DI RIEPILOGO

Risk Register

In questa sezione sono presenti tre elementi:

- Stima dei costi potenziali, generalmente espressi mediante una tabella tipo quella riportata di seguito:

ID Nome Costi Note

- Guidelines e Best Practices - Conclusioni

Questionari

I Questionari sono documenti utilizzati per il Risk Assessment di terze parti (come già discusso nel paragrafo Risk Assessment di terze parti della presente trattazione) tramite i quali avviene la comunicazione e la relativa valutazione dei criteri di sicurezza che il partner che sviluppa i servizi è tenuto a rispettare. Nella maggior parte dei casi i questionari sono fogli Excel con alcune colonne bloccate/riservate. Tali questionari vengono:

1) Preparati e inviati dall'Ufficio Gestione Rischi dell’azienda committente, con relativa richiesta di compilazione a carico del partner.

2) Recepiti e compilati opportunamente dal partner, il quale si assume la responsabilità di ciò che dichiara e firma.

3) Revisionati dall'Ufficio Gestione Rischi dell’azienda committente, che potrà valutare dando esito positivo, chiedere chiarimenti aggiuntivi (all'interno di apposite colonne presenti nel questionario), oppure valutare dando esito negativo.

Di seguito sono riportati due esempi di questionari compilati da AssirecreGroup per due propri clienti.

Questionario 1

Il primo questionario è relativo alla necessità periodica da parte del Cliente XXXYYY di valutare e identificare i potenziali rischi e problemi connessi alla fornitura del servizio acquistato da Assirecre Group.

Il questionario è compilato nel seguente medo:

- Se l’azienda rispetta le domande di Information Security, si inserisce “Y” nella casella corrispondente

- Se la domanda di Information Security non è applicabile all’azienda, si inserisce “NA” nella casella corrispondente fornendone una breve descrizione del perché. - Se l’azienda non rispetta la domanda di Information Security, si inserisce “N”

nella casella corrispondente, fornendone una motivazione del perché.

Control Area Information Security Supplier Assurance

questions

Controls Been Met

(Y,N, NA)

Basis for Reponses / Details

Access Control

Do your Password Standards adhere to XXXYYY's minimum expectations for Passwords (see Additional Information tab)?

Access Management

Is there a formal process for establishing, activating, modifying, disabling and removing access/accounts (for both physical and IT access)?

Are there procedures to periodically review all access rights and are movers rights amended on a timely basis?

Do you have a 'need-to-know' and 'least privilege' assessment when assigning access to new and/or existing users?

Awareness and Training

Have you established an Information Security training regime for all staff who will come into contact with XXXYYY Information?

Change Controls

Is there a documented Change Management procedure for modifying/updating software (i.e. development, version update or patches)?

Data Classification

Do you have a formal data classification system based on information value, sensitivity, criticality and/or legal/regulatory requirements?

(see Additional Information tab for XXXYYY classifications)

Data

Management

Does your data and information retention policy comply with the Data Protection Act (DPA)?

Do you securely remove and destroy all equipment and media (including paper/electronic shredding) when decommissioning?

Do you have regular automatic backups?

Incident Management

Do you have a documented security incident management process?

Information / Data Security

Do you have an Information Security policy which is readily available to all staff?

Do all staff who will come into contact with XXXYYY Information go through security screening?

Questionario 2

Il questionario 2 è relativo alla Risk Analysis dell'infrastruttura IT preparata da Assirecre Group su provider cloud di terze parti (AAA) per conto del cliente ZZZ. Questo scenario è particolarmente interessante in quanto prevede l’interazione di tre attori principali:

- Il committente (ZZZ)

- L'esecutore dell'installazione (Assirecre Group)

- Il service provider utilizzato dall’esecutore per l'acquisto dei servizi e delle infrastrutture cloud (AAA)

Di seguito è riportato il questionario in esame compilato da Assirecre Group.

Do you prohibit and subsequently prevent unauthorised disclosure of personal information to third parties?

Is XXXYYY's paper information locked away securely when not in use?

Network Security

Is access to your network restricted and protected by appropriate security devices, i.e. firewalls?

Physical Security

Do you restrict access to sensitive or secure parts of your office, for example, server rooms and confidential storage?

Are visitors escorted at all times in secure areas?

Are there remote monitoring and intrusion detection systems in place?

Secure configuration

Are protection measures against malware (e.g. antivirus software) implemented, and are they updated regularly?

Conclusioni

Dall’analisi dei documenti di Risk Assessment in ambito IT di Assirecre Group ho individuato i seguenti aspetti di interesse, che ho approfondito nell’ultima sezione

Spunti e riflessioni per la ricerca futura:

 Con particolare riferimento al Questionario 2, un aspetto sicuramente interessante e delicato è rappresentato dalla necessità di valutare il rischio di terze parti nel caso specifico di un service provider cloud. Il cloud computing sta guadagnando sempre più popolarità mentre lo sviluppo di soluzioni difensive è decisamente in ritardo. Pertanto il primo spunto di riflessione che sarà approfondito nell’ultima sezione della Tesi riguarderà il problema della sicurezza e della privacy nel cloud computing.

 Dall’analisi dei documenti, in relazione anche a quanto emerso dall’analisi preliminare della letteratura, ho individuato la necessità per le aziende, affinché possano essere superate le problematiche sulla sicurezza informativa, di accompagnare il rispetto dei tradizionali principi in materia di sicurezza dell’informazione (Disponibilità, Integrità, Riservatezza) con nuovi e più specifici principi. In particolare, per salvaguardare le future risorse informative di un’organizzazione sarà fondamentale infondere nella cultura organizzativa i principi di Responsabilità, Integrità (questa volta intesa come integrità delle risorse umane), Fiducia ed Etica. Tali aspetti saranno approfonditi nell’ultima sezione della Tesi.

 Infine, altro aspetto rilevante emerso dall’analisi dei documenti è quello relativo all’integrazione dei sistemi informativi, sia dal punto di vista interno (integrazione dei vari moduli e delle varie tecnologie informatiche aziendali) che dal punto di vista esterno (integrazione dei sistemi informativi di due aziende in caso di fusioni, acquisizioni, ecc.). Anche questo aspetto sarà approfondito nella successiva e conclusiva sezione della Tesi.

Nel documento Risk Assessment in ambito IT: un Caso di Studio (pagine 67-75)