|
Devo effettuare un’analisi dei rischi nella mia organizzazione, ho bisogno di report italiani e inglesi, inoltre vorrei poter verificare quando le persone coinvolte nella compilazione dei questionari li hanno completati senza dover sempre contattarli?
E’ possibile risolvere questi problemi utilizzando RiskWatch, ponendo il Template fornito relativo al Rapporto finale di sintesi di tali lingue nella directory apposita prima dell’elaborazione. Per il secondo quesito utilizzando la versione Italia professional è possibile monitorare un numero consistente di interviste con un apposito cruscotto web di amministrazione, che consente tra l’altro di verificare automaticamente il completamento dei questionari e fornisce il numero di risposte dato.
Quando è indispensabile utilizzare uno strumento per l’analisi e la gestione dei rischi?
Quando un’organizzazione è media o grande ha necessità di acquisire un numero importante di informazioni di sicurezza per valutare la sua protezione e adeguatezza. Ha necessità, di archiviarle in modo organizzato, deve produrre report con tabelle e grafici in tempi ragionevoli e disporre della tracciabilità del processo. Vale il principio che “Se non si misura non si gestisce”, occorre avere degli indicatori che si basino su elementi oggettivi e sul confronto con altre realtà informative. Uno strumento è indispensabile per chi vuole ottenere automaticamente report con tabelle e grafici in tempi non eccessivi secondo standard consolidati e norme vigenti.
Inoltre uno strumento è indispensabile a tutte le società di consulenza che desiderano effettuare analisi dei rischi con possibilità di giustificare al cliente le ragioni delle loro conclusioni, compreso l’utilizzo di file di Audit del processo di valutazione. In RiskWatch i file di Audit consentono la completa tracciabilità del processo.
Come si affronta la valutazione dei rischi in una grande organizzazione?
La valutazione dei rischi in una grande organizzazione deve essere impostata in modo da consentire una visione di sintesi ed una visione di dettaglio, al fine di poter stabilire sia il livello di sicurezza complessivo sia individuare le aree sulle quali intervenire. E’ necessario perciò per grandi organizzazioni suddivere l’analisi complessiva in sottoanalisi o “casi” da analizzare. La scelta dei sottocasi segue precise regole metodologiche al fine di ottenere risultati efficaci ed ottimizzare il processo di valutazione.
Ad esempio la suddivisione tiene conto che sono spesso coinvolte più sedi ed in ogni sede vi possono essere più CED o unità organizzative. Il livello di dettaglio viene concordato in base agli obiettivi posti come requisito al Risk assessment.
Quanto detto presuppone che, se si usano strumenti automatici, si abbia la possibilità di procedere a delle analisi del rischio fisiche e logico/organizzative.
Come può essere affrontata un’analisi quantitativa quando vi sono difficoltà a fornire in dettaglio i dati relativi a tutti gli asset?
E’ possibile affrontare un’analisi quantitativa che consenta di avere risultati validi tramite le modellazione dell’azienda fatta sulla base di un numero ridotto di dati quantitativi tramite un modello schematico ed uno strumento di pre-elaborazione. E’ quello, ad esempio, che viene fornito con RiskWatch, e che consente di ottenere i dati già pronti da importare ed elaborare nello strumento.
Ho da effettuare l’analisi del rischio della mia azienda, ma, come spesso accade, su alcuni aspetti sono in grado di fornire solo dati qualitativi, quale metodologia mi consiglia?
Direi la metodologia TLQE. Tale metodologia permette di ottenere il livello di conformità alle normative, il livello di protezione ed il gap rispetto allo “stato dell’arte” in ambito sicurezza, la valutazione del rischio qualitativa, cioè come livello di rischio, ed una indicazione precisa delle priorità in base a criteri di accettabilità completi, suggeriti da esperti e personalizzabili dal management, insieme alla possibilità di fornire in input dati qualitativi, ma, se disponibili, anche alcuni dati quantitativi,che tramite un metodo di normalizzazione definito consentono di dettagliare maggiormente il modello.
Nel caso si desideri effettuare una valutazione qualitativa dei rischi ed avere la massima semplicità e riduzione di tempi nella valutazione, è indicata la metodologia TLQE QUAL.
Ho un insieme di valori di danno avuti per una certa tipologia di rischio negli ultimi anni, tali valori differiscono notevolmente tra di loro, che “metodo di stima” può essere utile?
Conoscendo il valore limite inferiore, il valore limite superiore e il valore più probabile (moda) è già possibile utilizzare la “stima per tre punti”, consiglio il fattore di correzione 4, che corrisponde ad una distribuzione Pert di tipo beta. Il metodo consente di ottenere la media attesa e la deviazione standard.
I valori standard sono già disponibili per l’uso in automatico nei database statistici dello strumento RiskWatch IS.
Quanto è importante la possibilità di personalizzazione in uno strumento da utilizzare per il Risk Management?
Quando si valutano i rischi in un’organizzazione si procede alla definizione di un modello che ci consentirà di effettuare tale valutazione. Maggiore è la precisione del modello, più affidabili e precisi sono i risultati.
Specificata la tipologia di rischi che si vuole valutare è possibile utilizzare modelli predisposti da esperti e inseriti in uno strumento, la personalizzazione però è importante. Tale personalizzazione può avvenire in svariati modi e dipende dallo strumento e dalla metodologia utilizzata:
a) partendo da un modello che comprenda tutte le tipologie di beni (asset) che l’organizzazione può utilizzare, si deselezionano le categorie non presenti nel caso in esame e le tipologie di danno che non interessa valutare e le minacce/rischi che non rientrano nel tipo di valutazione voluto o irrilevanti. Questo processo è semplice e consente di ottenere un modello specifico per l’analisi.
b) si possono personalizzare le domande relative ai controlli, avendo già set di domande predisposte in cui deselezionare singole domande non pertinenti per il caso in valutazione, e selezionare quelle legate a specifici standard di nostro interesse.
E’ possibile inoltre, se si ritiene opportuno, aggiugerne altre per focalizzare aspetti specifici dell’organizzazione e di cui si desidera facciano parte delle informazioni presentate nei report e del processo di valutazione dei rischi.
c) si possono personalizzare i valori statistici standard forniti, sostituendoli con valori statistici rilevati dall’organizzazione, i cosiddetti valori “locali”, se disponibili.
d) si possono aggiungere nuovi scenari di rischio specifici dell’organizzazione da poter valutare e confrontare con gli altri rischi standard. Questa personalizzzazione è di tipo avanzato, necessita di strumenti professional ed inizialmente di training sulle modalità operative.
Tutte le modalità di personalizzazione presentate sono possibili con RiskWatch. Nel caso che si desideri procedere speditamente, il modello può essere predisposto anche con la semplice selezione/deselezione.
Vi è un grafico in RiskWatch Italia Professional che fornisca un’idea della riduzione di rischio ottenuta per le contromisure attualmente implementate e per quelle pianificate?
Sì, in RiskWatch Italia vi è un grafico a barre che compara per le metodologie TLQE/TLQE QUAL i valori di RMLE e RLE per ciascuna minaccia. Tale grafico consente di ottenere una visione immediata della riduzione di rischio ottenuta con le contromisure in essere. Per SQRM vi sono svariati grafici e tabelle relativi alla riduzione di rischio, inoltre si ha anche un grafico che mostra la protezione cumulativa dovuta a più salvaguardie.
|
