Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Cenni preliminari
Pubblicato: 15/10/2004
L'elaborazione di un piano di gestione dei rischi di protezione può essere vista da molti clienti come un'attività che richiede livelli di competenza e impegno eccessivamente elevati rispetto alle loro capacità, esperienza, risorse di budget o linee guida aziendali. La Guida alla gestione dei rischi di protezione è stata realizzata allo scopo di assistere questi clienti.
Questa guida assiste tutti i tipi di organizzazione nella pianificazione, costruzione e implementazione di un programma di gestione dei rischi di protezione efficace. Mediante le quattro fasi illustrate sotto, la guida illustra le modalità di esecuzione del programma di gestione dei rischi e spiega come sviluppare il processo in continua evoluzione che consente di misurare i rischi di protezione, portandoli a un livello accettabile.
.gif)
Le indicazioni contenute in questa guida sono valide indipendentemente dalle tecnologie utilizzate e fanno riferimento a numerosi standard di settore ampiamente accettati per la gestione dei rischi di protezione. Questa guida è un importante esempio dell'impegno dimostrato da Microsoft per offrire documentazione, indicazioni e supporto di alto livello che consentano alla clientela di proteggere le proprie infrastrutture IT in modo ottimale. La guida presenta inoltre alcune esperienze reali del reparto IT di Microsoft e include utili segnalazioni ricevute dai clienti e partner Microsoft.
Questa guida è stata sviluppata, rivista e approvata da team di esperti autorevoli in materia di protezione ed è disponibile, insieme ad altre guide e argomenti relativi alla protezione, presso il sito Web Microsoft Security Guidance Center all'indirizzo www.microsoft.com/security/guidance. Per inviare commenti o domande su questa guida scrivere all'indirizzo secwish@microsoft.com.
Questa guida comprende sei capitoli e quattro appendici.
In questa pagina
Capitolo 1: Introduzione alla Guida alla gestione dei rischi di protezione Capitolo 2: Analisi delle procedure di gestione dei rischi di protezione Capitolo 3: Panoramica della gestione dei rischi di protezione Capitolo 4: Valutazione dei rischi Capitolo 5: Supporto alle decisioni Capitolo 6: Implementazione delle soluzioni di controllo e misurazione dell'efficacia del programma Appendici
Capitolo 1: Introduzione alla Guida alla gestione dei rischi di protezione
Nel Capitolo 1 viene presentata la Guida alla gestione dei rischi di protezione (GGRP) e viene fornita una breve panoramica dei capitoli seguenti. Il capitolo tratta inoltre i seguenti argomenti:
La chiave del successo del programma di gestione dei rischi di protezione
Termini e definizioni fondamentali
Convenzioni di stile adottate nei documenti
Riferimenti per ulteriori informazioni
Capitolo 2: Analisi delle procedure di gestione dei rischi di protezione
Nel Capitolo 2 vengono descritti i concetti e il contesto di base in cui si inscrive la GGRP partendo da un'analisi dei diversi approcci alla gestione dei rischi disponibili corredata dalle relative considerazioni, in particolare le modalità di determinazione del livello di maturità dell'organizzazione per la gestione dei rischi di protezione.
Capitolo 3: Panoramica della gestione dei rischi di protezione
Il Capitolo 3 fornisce un'analisi più approfondita delle quattro fasi del processo descritto nella GGRP e presenta alcuni dei concetti fondamentali e fattori critici necessari per un'implementazione ottimale. Nel capitolo vengono inoltre forniti consigli su come preparare l'organizzazione al programma mediante una pianificazione efficace e la creazione di un valido Team di gestione dei rischi di protezione con ruoli e responsabilità ben definiti.
Capitolo 4: Valutazione dei rischi
Nel Capitolo 4 viene descritta nel dettaglio la prima fase del processo: la valutazione dei rischi. Le procedure previste in questa fase includono la pianificazione, la raccolta dei dati e la definizione delle priorità dei rischi. È prevista una definizione delle priorità dei rischi sia a livello generale che dettagliato, sulla base di entrambi gli approcci qualitativo e quantitativo al fine di ottenere informazioni sui rischi affidabili, tenuto conto dei compromessi necessari in termini di tempo e sforzo richiesti. Dalla fase di valutazione dei rischi si ottiene un elenco dei rischi più significativi, corredato da analisi approfondite che potranno essere utilizzate dal team per prendere le decisioni aziendali previste dalla fase successiva del processo.
Capitolo 5: Supporto alle decisioni
Nel Capitolo 5 viene illustrata la seconda fase del processo: il supporto alle decisioni. Durante questa fase il team decide come affrontare i rischi chiave nel modo più efficace ed economicamente conveniente, identificando i controlli, stimando i costi, valutando il grado di riduzione dei rischi e determinando infine quali controlli implementare. Il risultato di questa fase è un piano chiaro e attuabile per il controllo o l'accettazione di ognuno dei rischi identificati come principali nella fase di valutazione dei rischi.
Capitolo 6: Implementazione delle soluzioni di controllo e misurazione dell'efficacia del programma
In questo capitolo vengono descritte le due fasi conclusive del processo descritto dalla GGRP: l'implementazione dei controlli e la misurazione dell'efficacia del programma. Durante la fase di implementazione dei controlli, i responsabili della riduzione dei rischi creano ed eseguono i piani basati sull'elenco delle soluzioni di controllo approvate nel corso del processo di supporto alle decisioni.
Una volta completate le prime tre fasi del processo, è necessario stimare i progressi effettuati alla luce dell'intero processo di gestione dei rischi di protezione. Nella fase finale di misurazione dell'efficacia del programma viene introdotto uno specifico strumento di rilevazione dei dati sui rischi di protezione per agevolare tale attività.
Appendici
Le appendici comprendono:
Appendice A: Valutazioni dei rischi ad-hoc
Appendice B: Beni del sistema informatico più diffusi
Appendice C: Pericoli comuni
Appendice D: Vulnerabilità
Scarica la soluzione completa