10

ICT Risk Management

ICT Risk Management: Governare il rischio informatico con efficenza ed efficacia

Nel contesto attuale, caratterizzato da una digitalizzazione sempre più spinta e da normative stringenti in materia di sicurezza informatica — come la Circolare 285 di Banca d’Italia, le Linee guida EBA sui rischi informatici e il Regolamento DORA per l’ambito finanziario, la Direttiva NIS2 per un ambito molto vasto di Società anche in ambito Non Finanziario (in Italia circa 20.000 soggetti) e gli standard ISO27001 e NIST, anche per coloro che non sono vigilati/sottoposti a specifiche norme — la gestione del rischio ICT è diventata un pilastro fondamentale del Sistema di Controllo Interno e di Gestione dei Rischi di ogni azienda.
Ogni organizzazione è oggi chiamata a comprendere, valutare e mitigare in modo strutturato i rischi che possono compromettere la riservatezza, integrità, disponibilità, e autenticità dei dati ed informazioni gestite e trattate.

Cybersel supporta le aziende nel costruire e gestire un modello di ICT Risk Management integrato, come strumento di governance e di conformità, riducendo la complessità e migliorando la capacità decisionale.

Cos’è l’ICT Risk Management

L’ICT Risk Management è il processo che consente di identificarevalutaremitigare e monitorare i rischi legati alle tecnologie informatiche e ai sistemi informativi aziendali (i cd “asset”).
Un approccio strutturato consente di:

  • Garantire conformità normativa rispetto alle normative applicabili, agli standard/alle best practise e alle policy interne.
  • Migliorare la resilienza operativa e ridurre i tempi di risposta a incidenti o interruzioni.
  • Ottimizzare gli investimenti in sicurezza, concentrandoli sulle aree a maggior impatto.
  • Aumentare la consapevolezza del rischio a livello di singolo asset e organizzazione aziendale complessiva.
  • Fornire una visione integrata e misurabile del livello di esposizione aziendale.

Una visione integrata del rischio

Oggi la gestione del rischio ICT richiede una visione che unisca dimensione tecnologica, normativa e di governance.
La soluzione proposta da Cybersel si basa su una piattaforma tecnologica avanzata, che consente di gestire in modo integrato l’intero ciclo di vita del rischio ICT, dalla definizione degli scenari alla valutazione e al monitoraggio. Il modello è costruito attorno a un insieme di componenti principali che interagiscono in modo strutturato e correlato per offrire una visione completa e misurabile del rischio aziendale:

Risk Scenarios

Eventi o circostanze che potrebbero compromettere gli asset IT o i processi di business

Threat Library

Archivio strutturato delle minacce rilevanti per il settore e il perimetro aziendale

Controls Library

Insieme di misure e pratiche di sicurezza (controlli) mappate su framework internazionali come NIST, ISO27001, DORA e Secure Control Framework (SCF)

Policies

Base normativa interna che guida la selezione e l’applicabilità dei controlli

Regulations

Quadro regolamentare esterno che guida la selezione e l’applicabilità dei controlli

Dashboards & Workflows

Strumenti dinamici per la collaborazione tra stakeholder, con viste executive e operative che consentono di monitorare l’esposizione al rischio e lo stato del programma

Questa architettura garantisce un modello coerente, configurabile e scalabile, adattabile alle metodologie e ai processi specifici di ciascuna organizzazione

Approccio operativo – Il processo di ICT Risk Management

La metodologia di gestione del rischio ICT proposta da Cybersel si fonda su un approccio strutturato e sequenziale che consente di tradurre la complessità normativa e tecnologica in un processo misurabile e operativo.

Il processo viene gestito attraverso un workflow configurabile, tenendo conto dell’organizzazione (ruoli e responsabilità) dell’azienda:
Framework Setup
In questa fase si definiscono le fondamenta del modello di rischio. Si individuano normative e standard di riferimento (ISO 27001, NIST, DORA), si costruisce la libreria di controlli e minacce e si classificano gli asset ICT per tipologia e criticità. Ogni controllo viene collegato alle minacce che può mitigare e viene stimata la probabilità di accadimento di ciascun rischio, creando così un framework coerente e allineato alle esigenze dell’organizzazione.
Inherent Risk Evaluation
Control Environment Assessment
Residual Risk Evaluation, Acceptance and Treatment
le nostre ultime

NEWS

ITA News

Cybersel entra a far parte del gruppo STEP

Scopri di più
ITA News

BitSight e Moody’s annunciano una partnership storica

Scopri di più
ITA News

ProcessUnity ottiene i punteggi più alti nel Gartner Critical Capabilities Report

Scopri di più
ITA News

Cyber Risk is Business Risk!

Scopri di più