Interlex ha riportato la notizia, con i consueti commenti.
L'articolo di Paolo Ricchiuto introduce un aspetto sul quale sicuramente tornerò, ovvero la qualità del Documento Programmatico sulla Sicurezza.
Già, perchè troppo spesso, nel cercare di rispettare i termini di scadenza in attesa dell'ennesima proroga, la realizzazione del Documento Programmatico consiste in una vera e propria compilazione di un sin troppo minuto questionario che, sebbene costituisca un passo avanti rispetto al nulla, rischia di non dare seguito ad un vero processo di adeguamento a criteri e requisiti di sicurezza basati sulla reale necessità dell'azienda.
La mia visione?
Il DPS è l'occasione per l'azienda per fotografare lo stato della sicurezza del sistema informativo, per prendere consapevolezza dei rischi, per progettare l'evoluzione verso l'IT tenendo conto anche degli obiettivi di business!
Parole? Ho volutamente omesso che la sicurezza è un costo?
L'analisi dei rischi, tanto per fare un esempio, è certamente la componente di maggiore costo in tutto il processo di stesura del DPS. Certamente, supera il 60% in quanto a tempi/oneri di tutta l'attività. Al di là delle varie tabelle propinate in vari siti informativi, che opera nel settore sa che stimare i rischi in modo serio significa:
Per svolgere una vera e propria analisi dei rischi, deve essere analizzata tutta l'azienda, dal punto di vista dei processi e/o degli asset.
L'esito dell'attività di analisi dei rischi produce la maggior parte dei dati sui quali effettuare attività decisionale in merito al DPS, ma in minima parte rispetto alla redazione di un Piano di Sicurezza Aziendale, di una Roadmap di investimenti per la sicurezza IT, per la definizione di politiche atte a coadiuvare il management nella definizione e nel supporto dei processi aziendali.
Chi ha avuto modo di subire una perdita economica diretta o indiretta derivante dall'assenza di consapevolezza del problema security potrà fare i propri conti.
Chi ha avuto modo di subire perdite economiche per scelte errate, spesso derivanti dall'assenza di consapevolezza e di scarsa conoscenza del peso del problema nella propria realtà, sa di cosa parlo.
Ecco come il costo si traduce in vantaggio. In più, con il beneficio, ex art.2050 del codice civile, di dormire in pace la notte!
A presto!
L'articolo di Paolo Ricchiuto introduce un aspetto sul quale sicuramente tornerò, ovvero la qualità del Documento Programmatico sulla Sicurezza.
Già, perchè troppo spesso, nel cercare di rispettare i termini di scadenza in attesa dell'ennesima proroga, la realizzazione del Documento Programmatico consiste in una vera e propria compilazione di un sin troppo minuto questionario che, sebbene costituisca un passo avanti rispetto al nulla, rischia di non dare seguito ad un vero processo di adeguamento a criteri e requisiti di sicurezza basati sulla reale necessità dell'azienda.
La mia visione?
Il DPS è l'occasione per l'azienda per fotografare lo stato della sicurezza del sistema informativo, per prendere consapevolezza dei rischi, per progettare l'evoluzione verso l'IT tenendo conto anche degli obiettivi di business!
Parole? Ho volutamente omesso che la sicurezza è un costo?
L'analisi dei rischi, tanto per fare un esempio, è certamente la componente di maggiore costo in tutto il processo di stesura del DPS. Certamente, supera il 60% in quanto a tempi/oneri di tutta l'attività. Al di là delle varie tabelle propinate in vari siti informativi, che opera nel settore sa che stimare i rischi in modo serio significa:
- conoscere approfonditamente il contesto
- conoscere approfonditamente il problema
- saper scegliere un criterio oggettivo, riconosciuto e riutilizzabile per stimare la probabilità che i probemi di sicurezza si verifichino ed il danno potenziale che questi potrebbero arrecare.
Per svolgere una vera e propria analisi dei rischi, deve essere analizzata tutta l'azienda, dal punto di vista dei processi e/o degli asset.
L'esito dell'attività di analisi dei rischi produce la maggior parte dei dati sui quali effettuare attività decisionale in merito al DPS, ma in minima parte rispetto alla redazione di un Piano di Sicurezza Aziendale, di una Roadmap di investimenti per la sicurezza IT, per la definizione di politiche atte a coadiuvare il management nella definizione e nel supporto dei processi aziendali.
Chi ha avuto modo di subire una perdita economica diretta o indiretta derivante dall'assenza di consapevolezza del problema security potrà fare i propri conti.
Chi ha avuto modo di subire perdite economiche per scelte errate, spesso derivanti dall'assenza di consapevolezza e di scarsa conoscenza del peso del problema nella propria realtà, sa di cosa parlo.
Ecco come il costo si traduce in vantaggio. In più, con il beneficio, ex art.2050 del codice civile, di dormire in pace la notte!
A presto!
View Luca Bechelli's profile
|