A luglio 2018 è stata pubblicata una nuova edizione (la terza) della ISO/IEC 27005 dal titolo “Information security risk management”. Si tratta dello standard internazionale di riferimento per la valutazione del rischio relativo alla sicurezza delle informazioni. Lo schema della ISO/IEC 27005 è molto noto e si trova sul web impostando la ricerca delle immagini…

Ogni anno, in concomitanza con il ben noto meeting annuale, il World Economic Forum pubblica il Global Risk Report prodotto con la collaborazione di esperti e decision-maker disseminati in tutto il mondo per identificare e analizzare i rischi più rilevanti per la nostra società globalizzata. I rischi di cui si occupa il Global Risk Report…

Premessa L’avvento della digitalizzazione ha modificato profondamente il mondo aziendale. L’inarrestabile diffusione di internet e delle nuove tecnologie ha imposto alle aziende un grado sempre più elevato di informatizzazione aziendale. Questo processo, volto a, condizionare l’intera dimensione dell’impresa all’utilizzo di strumenti e sistemi informatici, è ormai divenuto condizione imprescindibile per ottimizzare l’organizzazione di diversi processi…

Il 30 agosto scorso l’European Union Agency for Network and Information Security[i] (ENISA) ha pubblicato il rapporto annuale sugli incidenti rilevati nel 2017 dalle imprese fornitrici di servizi di comunicazione elettroniche[ii]. Il rapporto trova il suo fondamento giuridico nell’art. 13 bis della direttiva UE 140/2009[iii] che ha introdotto importanti elementi di novità nel quadro normativo europeo,…

Premessa In un precedente articolo dal titolo “Security Operations Center: il cuore della protezione dell’Informazione[1]”, focalizzato sulle strutture dedicate alla gestione operativa della cyber-security, ho fatto riferimento a processi tipici di un Security Operations Center (SOC). L’assenza di standard di riferimento e di rigide nomenclature promuove una certa libertà di definire i contorni, spesso liquidi…

A luglio 2018 è stata pubblicata la nuova versione dello standard internazionale ISO 19011 dal titolo “Guidelines for auditing management systems”. In contemporanea sono state approvate le versioni europea EN ISO 19011 e italiana UNI EN ISO 19011 (“Linee guida per audit di sistemi di gestione”). Lo standard è dedicato agli audit di prima e…

In questo articolo verranno trattate alcune tecniche esercitate dagli attaccanti interni per trasferire dati e informazioni al di fuori della rete aziendale. Nella seconda parte dell’articolo verrà approfondito un approccio di monitoraggio e simulazione d’attacco con il fine di prevedere gli eventi avversi più comuni. Introduzione E’ credenza comune che la maggior parte delle minacce…

Fino a pochi anni fa era raro incontrare qualcuno in grado di rispondere a questa semplice domanda: “cosa significa resilienza?” Il termine era già ben noto nel contesto scientifico, in particolare nell’ingegneria (la resilienza dei materiali) e in psicologia. Alcune aziende all’avanguardia hanno iniziato ad utilizzarlo già 12-13 anni fa, ma si trattava solo di…

Il rischio è il risultato finale, diretto, indiretto o consequenziale ad un’azione volontaria, involontaria o ad un evento accidentale ed è determinato di norma come il prodotto fra la probabilità che un evento pericoloso si realizzi e l’impatto (danno) da questo provocato. Le aziende devono svolgere una attività continua di analisi del rischio in diversi…