PRODOTTI - ScRAT Security Risk Assessment Tool
Garantire la conformità dei servizi rispetto alle direttive ed alle disposizioni normative
richiede un impegno costante nell’armonizzazione e nel governo della sicurezza tra i
diversi ambiti aziendali.
Questi obblighi suggeriscono alle aziende di intraprendere un percorso per lo sviluppo e
l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni, nell’ambito delle
proprie attività operative.
Nis sta commercializzando un nuovissimo e innovativo prodotto: ScRAT Security Risk Assessment Tool.
ScRAT e la metodologia associata sono uno strumento di supporto all’Analisi, alla Valutazione e alla Gestione dei Rischi in
relazione agli asset , alle vulnerabilità che li caratterizzano ed alle minaccie cui sono sottoposte.
Partendo dalla raccolta delle informazioni effettuata presso i siti operativi facenti parte del perimetro in
oggetto, vengono applicati gli algoritmi di analisi che portano alla valutazione del rischio.
In base alla logica di aggregazione, viene presentata la definizione del rischio accettabile, i report di
valutazione del rischio con i risultati numerici da cui si può evincere il piano di trattamento
comprendente le attività (controlli) volte alla mitigazione dei rischi identificati.
Il tool integra i vantaggi del metodo semi-quantitativo, garantendo al tempo stesso:
- Semplicità e rapidità di configurazione e utilizzo – capacità di delineare le fasi di sviluppo dell’analisi dei rischi in tempi rapidi e con semplicità di utilizzo.
- Flessibilità – possibilità di effettuare analisi a diversi livelli di dettaglio, partendo dalle risorse principali, fino a scendere a tutti gli asset del servizio; capacità di effettuare valutazioni a livello di sottosistemi e aggregazioni di fattori di rischio.
- Produzione di risultati consistenti e ripetibili – lo strumento deve essere in grado di poter ripetere ad intervalli regolari o ad occorrenza la valutazione al fine di ottenere risultati confrontabili, ripetibili e oggettivi.
- Scalabilità – la metodologia deve potersi adattare in relazione alla evoluzione del business o alle dimensioni dell’organizzazione per la quale viene applicata
Lo strumento utilizzato per il calcolo del rischio viene alimentato in input dai dati raccolti attraverso interviste mirate al personale aziendale, riguardanti l’esistenza e il livello di applicazione dei pertinenti controlli sicurezza.Altre informazioni possono essere reperite da altre analisi condotte in materia di Sicurezza delle Informazioni all’interno dell’azienda. Pertanto, il processo di analisi e gestione dei rischi diventa parte integrante della gestione aziendale.
Al fine di automatizzare quanto più possibile tale processo e di standardizzare la tipologia dei dati in ingresso, il tool presenta una checklist in forma di questionario che, attraverso l’utilizzo di domande ad hoc, mappa i controlli ISO/IEC 27001:2005, ma potenzialmente è applicabile ai controlli di altre normative (tra cui il DPS ai sensi del D.lgs 196/03, COBIT, ITIL V3).
Il risultato di tale check list viene automaticamente fornito in input agli algoritmi di calcolo del rischio, consentendo al tempo stesso di popolare il modello in modo ripetibile nel tempo e standardizzato.
Le vulnerabilità caratteristiche di ciascun ambiente considerato possono quindi facilmente emergere come mancata applicazione di uno o più controlli previsti dallo schema di riferimento.
per maggiori info visualizza la brochure
