|
Ho da effettuare la valutazione dei rischi di un Centro di Elaborazione Dati (CED), vorrei effettuare tale valutazione in modo esaustivo ed eventualmente in più periodi, come posso fare?
Con la metodologia e lo strumento XR è possibile strutturare la valutazione dei rischi su una realtà vista su più livelli. E’ possibile associare al Caso il Centro di elaborazione dati ad esempio e porre come suoi Ambiti i sistemi server e client, singoli, o in gruppi, come pure gli apparati di rete ad esempio , specificando poi al terzo livello (Beni/Asset) i loro componenti. Ad esempio per un Database server i suoi componenti saranno: l’Hardware, il Software di base (es. il Sistema operativo), i vari Database, i suoi Applicativi, ecc.
I Report di dettaglio consentiranno di avere le Mappe di rischio XR: “Sistemi server-Componenti-Tipologia di Danno per componente” sia relativi ai rischi potenziali che ai rischi effettivi. Si potranno avere inoltre le mappe di rischio XR “Componenti-Minacce-Tipologie di Danno per minaccia” potenziali ed effettive, che forniranno ulteriori informazioni. Di notevole potenzialità inoltre è la selezione dell’opzione di “Critical Control Risk Evaluation”, che consente di ottenere nelle mappe il numero di “Criticità” da codice rosso presenti.Ulteriore opportunità è poter ottenere per ciascun componente le criticità derivandole da un questionario custom basato sulla tipologia, marca e modello dell’apparato.
Per effettuare un “Risk Assessment in più periodi nel tempo” è necessario rendere indipendenti alcune parti dell’area in valutazione, fornendo in maniera appropriata gli input relativi, La Modalità “3” dello strumento XR consente di slegare gli asset, gli ambiti e il Caso nella valutazione. E’ possibile perciò in un’unica elaborazione avere le risultanze di una valutazione complessiva del Caso, di “alcuni” Ambiti e di “alcuni” Asset di nostro specifico interesse, senza essere costretti ad inserire i dati di “tutti” gli asset” del Caso. Infatti per ciascuno di questi elementi verrà svolto un completo Risk Assessment specifico.
Esiste anche la Modalità “2” con la quale vengono slegati solo gli Asset, ma non gli Ambiti con il Caso. Con questa modalità la valutazione del Caso deriverà dai Profili di esposizione degli Ambiti e contemporaneamente potremo valutare anche “alcuni” specifici Asset ritenuti di particolare rilevanza o rischio
Vorrei effettuare un risk asessment con una metodologia qualitativa che mi consenta di avere una visione di sintesi dei rischi nella mia azienda insieme ad una specificazione per ciascuna delle sue unità organizzative ?
RiskWatch XR Italia Professional con impostazione TLQE QUAL XR consente di fare una analisi dei rischi strutturata su 3 livelli: il “Caso” che identifica l’ambito generale, gli “Ambiti” in cui esso è suddiviso (ad esempio le sue unità organizzative) e i Beni/Asset che sono gli elementi facenti parte di ciascun ambito. E’ possibile ottenere un asset Risk Assessment completo per ciascun Bene, con la lista delle minacce a lui pertinente ed i rischi associati. Stessa cosa si può avere per ciascun Ambito compreso nella valutazione.
Si può comunque, se ve ne è l’esigenza, semplificare la struttura descritta portandola a 2 o a 1 livello per ridurre i tempi di assessment, se non è necessario un particolare dettaglio nella valutazione. Questo modo di operare si ottiene selezionando una delle tre Modalità di valutazione disponibili, relative ad una specifica opzione dello strumento.
Il numero di Ambiti da valutare può essere anche oltre il centinaio se necessario, come pure per gli asset, in modo assolutamente dinamico.
Ho un insieme di valori di danno avuti per una certa tipologia di rischio negli ultimi anni, tali valori differiscono notevolmente tra di loro, che “metodo di stima” può essere utile?
Conoscendo il valore limite inferiore, il valore limite superiore e il valore più probabile (moda) è già possibile utilizzare la “stima per tre punti”, consiglio il fattore di correzione 4, che corrisponde ad una distribuzione Pert di tipo beta. Il metodo consente di ottenere la media attesa e la deviazione standard.
Con RiskWatch XR Italia Professional I valori standard sono già disponibili per l’uso in automatico nei database statistici dello strumento.
Ho utilizzato fino ad ora la metodologia TLQE QUAL per effettuare Risk Assessment efficaci in tempi brevi e budget ridotto. Ora è stata sostituita dalla Metodologia TLQE QUAL XR che è una metodologia completa da tutti i punti di vista, ma richiede più tempo e budget, come posso ottenere con la metodologia TLQE QUAL XR tempi ridotti per le analisi?
Essendo lo Studio Dell’Agnello S.r.l. un fornitore per aziende e P. A., pur non potendo derogare ad una evoluzione metodologica ed imprementativa, assicura la protezione dell’investimento dei propri clienti e il possibile riutilizzo dei dati nel tempo. La metodologia TLQE QUAL e i prodotti che la implementano avranno per questo supporto almeno fino al 2016.
Solo se richiesto, indicheremo come poter implementare tale metodologia con il nuovo RiskWatch XR Italia Professional, ufficialmente non è presente. Tale metodologia è sostituita dalla Metodologia TLQE QUAL XR in Modalità “3” e Ambito unico. In tal modo si ottengono Risk Assessment efficaci e tempi ridotti, ma vi è il vantaggio rispetto alla TLQE QUAL di richiedere meno parametri, infatti è stato aggiunto un nuovo motore di elaborazione in grado di ottenere gli impatti di ciascuna minaccia dal Profilo di Esposizione utilizzando la “Knowledge base XR” dello strumento.
Dunque meno parametri di input, più immediati e pertinenti per l’analista, con risultati ancora più efficaci utilizzando le nuove potenzialità
Quanto è importante la possibilità di personalizzazione in uno strumento da utilizzare per il Risk Management?
Quando si valutano i rischi in un’organizzazione si procede alla definizione di un modello che ci consentirà di effettuare tale valutazione. Maggiore è la precisione del modello, più affidabili e precisi sono i risultati.
Specificata la tipologia di rischi che si vuole valutare è possibile utilizzare modelli predisposti da esperti e inseriti in uno strumento, la personalizzazione però è importante. Tale personalizzazione può avvenire in svariati modi e dipende dallo strumento e dalla metodologia utilizzata:
a) partendo da un modello che comprenda tutte le tipologie di beni (asset) che l’organizzazione può utilizzare, si deselezionano le categorie non presenti nel caso in esame e le tipologie di danno che non interessa valutare e le minacce/rischi che non rientrano nel tipo di valutazione voluto o irrilevanti. Questo processo è semplice e consente di ottenere un modello specifico per l’analisi.
b) si possono personalizzare le domande relative ai controlli, avendo già set di domande predisposte in cui deselezionare singole domande non pertinenti per il caso in valutazione, e selezionare quelle legate a specifici standard di nostro interesse.
E’ possibile inoltre, se si ritiene opportuno, aggiugerne altre per focalizzare aspetti specifici dell’organizzazione e di cui si desidera facciano parte delle informazioni presentate nei report e del processo di valutazione dei rischi.
c) si possono personalizzare i valori statistici standard forniti, sostituendoli con valori statistici rilevati dall’organizzazione, i cosiddetti valori “locali”, se disponibili.
d) si possono aggiungere nuovi scenari di rischio specifici dell’organizzazione da poter valutare e confrontare con gli altri rischi standard. Questa personalizzzazione è di tipo avanzato, necessita di strumenti professional ed inizialmente di training sulle modalità operative.
Tutte le modalità di personalizzazione presentate sono possibili con RiskWatch. Nel caso che si desideri procedere speditamente, il modello può essere predisposto anche con la semplice selezione/deselezione.
Vi è un grafico in RiskWatch Italia Professional che fornisca un’idea della riduzione di rischio ottenuta per le contromisure attualmente implementate e per quelle pianificate?
Sì, in RiskWatch Italia vi è un grafico a barre che compara per le metodologie TLQE/TLQE QUAL XR i valori di RMLE e RLE per ciascuna minaccia. Tale grafico consente di ottenere una visione immediata della riduzione di rischio ottenuta con le contromisure in essere. Per SQRM vi sono svariati grafici e tabelle relativi alla riduzione di rischio, inoltre si ha anche un grafico che mostra la protezione cumulativa dovuta a più salvaguardie.
|
