L'assessment dei processi ha lo scopo di individuare gli asset strategici dell'azienda e formulare un piano che concentri le risorse nella protezione delle informazioni e che metta in sicurezza le procedure aziendali nei vari comparti che sono oggetto dell'analisi.
1. A S S E S S M E N T D E I P R O C E S S I E D E L L E
P R O C E D U R E
I S A B
I N F O R M A T I C A
2. S C O P O
L'assessment dei processi ha lo scopo di individuare gli asset strategici dell'azienda e formulare un
piano che concentri le risorse nella protezione delle informazioni e che metta in sicurezza le
procedure aziendali nei vari comparti che sono oggetto dell'analisi.
3. S T R U T T U R A
ANALISI
CONTESTO
AZIENDALE
Struttura
organizzativa
Struttura
informativa
ASSET Individuazione dei
comparti da
analizzare e degli
asset strategici per
l'impresa
RISK ANALYSIS Analisi dei rischi e
piani di
remediation
4. E S E M P I D I R I S C H I A N A L I Z Z A T I
E' emerso che le utenze che accedono ai sistemi non utilizzano l’Active Directory per l’autenticazione
ed autorizzazione. (impossibile documentare chi ha eseguito un accesso e per fare cosa)
TECNOLOGICO
Alcuni dispositivi di backup sono collocati in aree non sicure e non hanno alcun sistema di protezione
come crittografia.
Alcuni utenti espongono a rischio il Know-how aziendale condividendo e modificando i progetti in
piattaforme di cloud pubbliche non sicure.
Mancano procedure per la gestione informatica di ingresso e uscita del personale dall'azienda. Si
potrebbero avere ripercussioni nel caso in cui una figura non più autorizzata possa ancora accedere
ai sistemi aziendali.
ORGANIZZATIVO
OPERATIVO
TECNOLOGICO
RISCHIO
ALTO
RISCHIO
MEDIO
RISCHIO
ALTO
RISCHIO
MEDIO
5. E S E M P I D I R I S C H I A N A L I Z Z A T I
Alcuni PC hanno a bordo documenti confidenziali: alcuni pc in amministrazione e in direzione
conservano dei documenti che se andassero persi o rubati potrebbero costituire un danno per l'azienda.
TECNOLOGICO
Gli utenti hanno completo accesso alla share di rete che contiene i dati dell'azienda in forma
documentale.
Conservazione dei fattori di autenticazione ai conti bancari non sicura o conservati in luoghi facilmente
accessibili
ORGANIZZATIVO
TECNOLOGICO
RISCHIO
MEDIO
RISCHIO
ALTO
RISCHIO
ALTO
6. DELIVERABLE Per ogni rischio evidenziato viene suggerita un'azione di rimedio, l'urgenza
e i tempi medi di realizzazione. Nella maggior parte dei casi si tratta di
azioni che mettono in sicurezza le procedure con alcune modifiche agli
attuali comportamenti senza implementazione di nuove tecnologie.
7. I l p a r t n e r p e r i t u o i p r o g e t t i
i n f o r m a t i c i
I S A B I N F O R M A T I C A