IRM: cos’è e perché è cosi importante?

Descrizione dei principali rischi sui sistemi di informazione

0
6098
binary-world
forseti.it

La diffusione di internet e la conseguente modifica dell’organizzazione delle imprese verso l’esternalizzazione delle informazioni a clienti e partner ha portato a grandi vantaggi alle aziende permettendo loro di incrementare in maniera esponenziale le opportunità di business, tuttavia ha incrementato la possibilità di attacco a informazioni che risultano essenziali per la competitività delle stesse ad opera di agenti di vario tipo:

  • Esterni: virus informatici e intrusioni
  • Interni: malafede utenti
  • Naturali: interruzione dei servizi

L’Information Risk Management (IRM) è un processo per indentificare, controllare e minimizzare i rischi alla sicurezza dei sistemi di informazione, minimizzando i costi. Gli obiettivi sono i seguenti:

  1. RISERVATEZZA: le informazioni devono essere fruibili solo a persone identificate e autorizzate
  2. INTEGRITA’: protezione dei dati a modifiche non autorizzate
  3. DISPONIBILITA’: le informazioni devono essere disponibili solo quando necessario.

La realizzazione di un sistema sicuro non è semplice e richiede svariate competenze informatiche e di gestione d’impresa tutto nel rispetto delle norme che regolamentano tale attività (UNI CEI ISO/IEC 27001).

I processi di gestione del rischio delle informazioni si compongono delle seguenti fasi:

  • Accertamento del contesto
  • Valutazione del rischio
  • Trattamento del rischio
  • Accettazione del rischio
  • Comunicazione del rischio
  • Sorveglianza e revisione del rischio

Le principali attività affrontate nell’ambito dell’IRM sono le seguenti:

  • Information Security & Management: gestione della sicurezza delle informazione a tutti i livelli, ad esempio, definizione di un corretto assetto organizzativo ruoli/responsabilità per la gestione della sicurezza delle informazioni e prevenzioni delle frodi.
  • Security, Risk Assessment & Management: identificazione dei rischi e gestione degli stessi tramite i principali standard di riferimento e la verifica della maturità dei modelli adottati.
  • Governo degli accessi logici: gestione degli accessi alle informazioni commisurati alle mansioni degli utenti ed ai rischi derivanti all’accesso non autorizzato delle informazioni.
  • Business Continuity Management: gestione dei rischi derivati dall’indisponibilità dei sistemi informativi in seguito ad eventi disastrosi (calamità naturali)
  • IT Internal Audit: verifica dei sistemi di controllo attuati dalle società e conseguente svolgimento di azioni correttive.
  • Cyber Security: prevenzione di eventuali minacce alla sicurezza delle informazioni sia esternamente (hacker) che internamente (dipendenti sleali).

Per questi motivi risulta fondamentale dotarsi di un sistema di gestione dei rischi sulle informazioni, in quanto queste rappresentano spesso il “core business” delle aziende al pari dei prodotti e/o servizi offerti dalle stesse.

A cura di Leonardo Ferri

SHARE
Previous articleKaizen vs Innovazione: chi vincerà?
Next articleLa fabbrica del futuro: verso la terza rivoluzione industriale
Francesca Granatiero nasce a San Giovanni Rotondo, classe 1988. Frequenta il Liceo Scientifico a Manfredonia per poi intraprendere, conseguito il diploma, la facoltà di Ingegneria Gestionale presso il Politecnico di Bari. Iscrittasi al corso di Laurea Magistrale in Ingegneria Gestionale presso lo stesso Politecnico di Bari consegue il titolo di Esperto in sistemi (SGA) per la gestione delle PMI. Diventa referente e scrittrice per la rivista Close-up Engineering nel settembre 2014 ad oggi. Consegue la laurea in Ingegneria Gestionale Magistrale nel dicembre 2015. Pur avendo un’impronta scientifica e assorta nell’ affascinante mondo dell’ingegneria, è molto appassionata di letteratura classica. D’indole “sognatrice” nel tempo libero ama leggere e viaggiare.

LEAVE A REPLY