Guida alla gestione dei rischi di protezione

Cenni preliminari

Pubblicato: 15/10/2004

L'elaborazione di un piano di gestione dei rischi di protezione può essere vista da molti clienti come un'attività che richiede livelli di competenza e impegno eccessivamente elevati rispetto alle loro capacità, esperienza, risorse di budget o linee guida aziendali. La Guida alla gestione dei rischi di protezione è stata realizzata allo scopo di assistere questi clienti. 

Questa guida assiste tutti i tipi di organizzazione nella pianificazione, costruzione e implementazione di un programma di gestione dei rischi di protezione efficace. Mediante le quattro fasi illustrate sotto, la guida illustra le modalità di esecuzione del programma di gestione dei rischi e spiega come sviluppare il processo in continua evoluzione che consente di misurare i rischi di protezione, portandoli a un livello accettabile.

Le indicazioni contenute in questa guida sono valide indipendentemente dalle tecnologie utilizzate e fanno riferimento a numerosi standard di settore ampiamente accettati per la gestione dei rischi di protezione. Questa guida è un importante esempio dell'impegno dimostrato da Microsoft per offrire documentazione, indicazioni e supporto di alto livello che consentano alla clientela di proteggere le proprie infrastrutture IT in modo ottimale. La guida presenta inoltre alcune esperienze reali del reparto IT di Microsoft e include utili segnalazioni ricevute dai clienti e partner Microsoft.

Questa guida è stata sviluppata, rivista e approvata da team di esperti autorevoli in materia di protezione ed è disponibile, insieme ad altre guide e argomenti relativi alla protezione, presso il sito Web Microsoft Security Guidance Center all'indirizzo www.microsoft.com/security/guidance. Per inviare commenti o domande su questa guida scrivere all'indirizzo secwish@microsoft.com.  

Questa guida comprende sei capitoli e quattro appendici.

In questa pagina

Capitolo 1: Introduzione alla Guida alla gestione dei rischi di protezione Capitolo 2: Analisi delle procedure di gestione dei rischi di protezione Capitolo 3: Panoramica della gestione dei rischi di protezione Capitolo 4: Valutazione dei rischi Capitolo 5: Supporto alle decisioni Capitolo 6: Implementazione delle soluzioni di controllo e misurazione dell'efficacia del programma Appendici

Capitolo 1: Introduzione alla Guida alla gestione dei rischi di protezione

Nel Capitolo 1 viene presentata la Guida alla gestione dei rischi di protezione (GGRP) e viene fornita una breve panoramica dei capitoli seguenti. Il capitolo tratta inoltre i seguenti argomenti:

  • La chiave del successo del programma di gestione dei rischi di protezione

  • Termini e definizioni fondamentali

  • Convenzioni di stile adottate nei documenti

  • Riferimenti per ulteriori informazioni

Inizio pagina

Capitolo 2: Analisi delle procedure di gestione dei rischi di protezione

Nel Capitolo 2 vengono descritti i concetti e il contesto di base in cui si inscrive la GGRP partendo da un'analisi dei diversi approcci alla gestione dei rischi disponibili corredata dalle relative considerazioni, in particolare le modalità di determinazione del livello di maturità dell'organizzazione per la gestione dei rischi di protezione.

Inizio pagina

Capitolo 3: Panoramica della gestione dei rischi di protezione

Il Capitolo 3 fornisce un'analisi più approfondita delle quattro fasi del processo descritto nella GGRP e presenta alcuni dei concetti fondamentali e fattori critici necessari per un'implementazione ottimale. Nel capitolo vengono inoltre forniti consigli su come preparare l'organizzazione al programma mediante una pianificazione efficace e la creazione di un valido Team di gestione dei rischi di protezione con ruoli e responsabilità ben definiti.

Inizio pagina

Capitolo 4: Valutazione dei rischi

Nel Capitolo 4 viene descritta nel dettaglio la prima fase del processo: la valutazione dei rischi. Le procedure previste in questa fase includono la pianificazione, la raccolta dei dati e la definizione delle priorità dei rischi. È prevista una definizione delle priorità dei rischi sia a livello generale che dettagliato, sulla base di entrambi gli approcci qualitativo e quantitativo al fine di ottenere informazioni sui rischi affidabili, tenuto conto dei compromessi necessari in termini di tempo e sforzo richiesti. Dalla fase di valutazione dei rischi si ottiene un elenco dei rischi più significativi, corredato da analisi approfondite che potranno essere utilizzate dal team per prendere le decisioni aziendali previste dalla fase successiva del processo.

Inizio pagina

Capitolo 5: Supporto alle decisioni

Nel Capitolo 5 viene illustrata la seconda fase del processo: il supporto alle decisioni. Durante questa fase il team decide come affrontare i rischi chiave nel modo più efficace ed economicamente conveniente, identificando i controlli, stimando i costi, valutando il grado di riduzione dei rischi e determinando infine quali controlli implementare. Il risultato di questa fase è un piano chiaro e attuabile per il controllo o l'accettazione di ognuno dei rischi identificati come principali nella fase di valutazione dei rischi.

Inizio pagina

Capitolo 6: Implementazione delle soluzioni di controllo e misurazione dell'efficacia del programma

In questo capitolo vengono descritte le due fasi conclusive del processo descritto dalla GGRP: l'implementazione dei controlli e la misurazione dell'efficacia del programma. Durante la fase di implementazione dei controlli, i responsabili della riduzione dei rischi creano ed eseguono i piani basati sull'elenco delle soluzioni di controllo approvate nel corso del processo di supporto alle decisioni.

Una volta completate le prime tre fasi del processo, è necessario stimare i progressi effettuati alla luce dell'intero processo di gestione dei rischi di protezione. Nella fase finale di misurazione dell'efficacia del programma viene introdotto uno specifico strumento di rilevazione dei dati sui rischi di protezione per agevolare tale attività.

Inizio pagina

Appendici

Le appendici comprendono:

  • Appendice A: Valutazioni dei rischi ad-hoc

  • Appendice B: Beni del sistema informatico più diffusi

  • Appendice C: Pericoli comuni

  • Appendice D: Vulnerabilità

Scarica la soluzione completa

Guida alla gestione dei rischi di protezione

Inizio pagina