Analisi rischi

Lo scopo della sicurezza informatica è di mantenere i sistemi informativi di un'organizzazione liberi da danni, proteggendo la riservatezza, l'integrità e la disponibilità di sistemi, reti e dati mediante la convergenza tra sicurezza fisica e sicurezza informatica sul posto di lavoro. Questa sessione continua lo sviluppo del Progetto di Complianceguidando attività corrispondenti alla categoria Risk Assessment della funzione Identify del framework  NIST per la verifica delle misure tecnologiche, fisiche, di accesso logico, e di altra natura poste a protezione dell'organizzazione, e si compone dei seguenti moduli: 

  • Reti
  • Dispositivi mobili
  • Dispositivi fissi
  • Responsabili del trattamento
  • Crittografia
  • Malware
  • Sicurezza fisica
  • Policies

Policies

La sessione dedicata alla Analisi Rischi è completata dalle policies, che costituiscono una sorta di Manuale della Qualità della protezione dei dati riservati, ed in particolare dei dati personali, e sono implementate in modo da essere continuamente adeguabili alle mutate esigenze dell'organizzazione.

Di seguito riportiamo l'elenco e l'oggetto delle diverse policies messe a disposizione nella piattaforma.

Tutte le policies sono modificabili ed integrabili in funzione delle esigenze specifiche dell'azienda.

Policy Anti Malware

Questa policy contiene principi guida delle decisioni da prendere per difendere l'organizzazione contro il malware, software informatico usato per danneggiare i sistemi e perseguire altri fini illeciti. 

Policy per la Crittografia

Questa policy comprende i principi guida da tenere presenti nelle decisioni sui metodi di crittografia da adottare per difendere le informazioni riservate.

Policy per la Sicurezza delle Informazioni

Questa policy enuncia i principi guida sui livelli di sicurezza delle informazioni e sui controlli di sicurezza da applicare per mitigare i rischi legati al loro trattamento.

Policy per la Messagistica Elettronica

Questa policy comprende principi guida in materia di messaggistica elettronica (e-mail, messaggi di testo, chat e piattaforme di social media).

Policy per i Dispositivi Mobili

Questa policy comprende principi guida da seguire nell'uso dei dispositivi mobili quali laptops, smartphones etc. e definisce la postura dell'organizzazione su temi importanti quali l'eventuale BYOD, i controlli aggiuntivi necessari, ecc.

Policy per il Cloud Computing

Questa policy contiene i principi guida seguiti dall'organizzazione nell'area del cloud computing, in tutte le possibili configurazioni (SaaS, PaaS o IaaS).

Policy per il Controllo degli Accessi

Questa policy enuncia i principi guida seguiti dall'organizzazione per il controllo degli accessi ai dispositivi ed alle applicazioni, e per la difesa della sicurezza delle informazioni.

Policy per la Sicurezza Fisica

Questa policy contiene i principi guida sulle principali precauzioni che devono essere prese per garantire la sicurezza dei collaboratori e dei beni impiegati.

Policy per la Sicurezza delle Reti

Questa policy comprende i principi guida sui controlli da utilizzare per la protezione delle reti informatiche.

Policy di conservazione e protezione delle registrazioni

Questa policy comprende principi guida per la protezione delle registrazioni di dati da perdita, distruzione, falsificazioni ed altre violazioni dei dati.

Policy GDPR

Questa policy contiene principi guida per l'applicazione del Regolamento generale per la protezione dei dati (GDPR) nell'organizzazione. 

Policy per gli accordi con i responsabili del trattamento

Questa policy enuncia principi guida per definire le informazioni che devono essere incluse nei contratti con terzi che comportano il trattamento dei dati personali. 

Policy di risposta agli incidenti relativi alla sicurezza delle informazioni

Questa policy comprende principi guida per rispondere in caso di violazione della sicurezza delle informazioni, compresi i dati personali.