header servizi

PRODOTTI - ScRAT Security Risk Assessment Tool

Garantire la conformità dei servizi rispetto alle direttive ed alle disposizioni normative richiede un impegno costante nell’armonizzazione e nel governo della sicurezza tra i diversi ambiti aziendali.
Questi obblighi suggeriscono alle aziende di intraprendere un percorso per lo sviluppo e l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni, nell’ambito delle proprie attività operative.

Nis sta commercializzando un nuovissimo e innovativo prodotto: ScRAT Security Risk Assessment Tool.

ScRAT e la metodologia associata sono uno strumento di supporto all’Analisi, alla Valutazione e alla Gestione dei Rischi in relazione agli asset , alle vulnerabilità che li caratterizzano ed alle minaccie cui sono sottoposte.
Partendo dalla raccolta delle informazioni effettuata presso i siti operativi facenti parte del perimetro in oggetto, vengono applicati gli algoritmi di analisi che portano alla valutazione del rischio.
In base alla logica di aggregazione, viene presentata la definizione del rischio accettabile, i report di valutazione del rischio con i risultati numerici da cui si può evincere il piano di trattamento comprendente le attività (controlli) volte alla mitigazione dei rischi identificati.

Il tool integra i vantaggi del metodo semi-quantitativo, garantendo al tempo stesso:

  • Semplicità e rapidità di configurazione e utilizzo – capacità di delineare le fasi di sviluppo dell’analisi dei rischi in tempi rapidi e con semplicità di utilizzo.
  • Flessibilità – possibilità di effettuare analisi a diversi livelli di dettaglio, partendo dalle risorse principali, fino a scendere a tutti gli asset del servizio; capacità di effettuare valutazioni a livello di sottosistemi e aggregazioni di fattori di rischio.
  • Produzione di risultati consistenti e ripetibili – lo strumento deve essere in grado di poter ripetere ad intervalli regolari o ad occorrenza la valutazione al fine di ottenere risultati confrontabili, ripetibili e oggettivi.
  • Scalabilità – la metodologia deve potersi adattare in relazione alla evoluzione del business o alle dimensioni dell’organizzazione per la quale viene applicata

Lo strumento utilizzato per il calcolo del rischio viene alimentato in input dai dati raccolti attraverso interviste mirate al personale aziendale, riguardanti l’esistenza e il livello di applicazione dei pertinenti controlli sicurezza.Altre informazioni possono essere reperite da altre analisi condotte in materia di Sicurezza delle Informazioni all’interno dell’azienda. Pertanto, il processo di analisi e gestione dei rischi diventa parte integrante della gestione aziendale.
Al fine di automatizzare quanto più possibile tale processo e di standardizzare la tipologia dei dati in
ingresso, il tool presenta una checklist in forma di questionario che, attraverso l’utilizzo di domande ad
hoc, mappa i controlli della specification family ISO/IEC 27001.
La specification family può essere configurata in fase di set-up per recepire diverse best practice e
quindi consentire l'esecuzione della analisi dei rischi per diversi settori; per esempio per il settore Bank
& Finance si possono definire le specification family per la Legge 262/2005, la SOX, o la circolare 263
di Banca d'Italia, così come nel settore dei pagamenti elettronici la PCI-DSS, il D.lgs.196/03 o più in
generale il Cobit..

per maggiori info visualizza la brochure