Scribd Logo
Carica

Benvenuto in Scribd!

  • 15 visualizzazioni

    IRAM

    Caricato da

    claudio grazzi
    Questo documento descrive l'IRAM (Information Risk Analysis Methodology), un metodo per valutare il rischio informatico. L'IRAM valuta fattori di rischio come probabilità e impatto per determinare il rischio residuo finale.

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd

    IRAM

    Caricato da

    claudio grazzi
    15 visualizzazioni3 pagine
    Questo documento descrive l'IRAM (Information Risk Analysis Methodology), un metodo per valutare il rischio informatico. L'IRAM valuta fattori di rischio come probabilità e impatto per determinare il rischio residuo finale.

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Questo documento descrive l'IRAM (Information Risk Analysis Methodology), un metodo per valutare il rischio informatico. L'IRAM valuta fattori di rischio come probabilità e impatto per determinare il rischio residuo finale.

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Scarica in formato docx, pdf o txt
    15 visualizzazioni3 pagine

    IRAM

    Caricato da

    claudio grazzi
    Questo documento descrive l'IRAM (Information Risk Analysis Methodology), un metodo per valutare il rischio informatico. L'IRAM valuta fattori di rischio come probabilità e impatto per determinare il rischio residuo finale.

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Scarica in formato docx, pdf o txt
    di 3

    IRAM – Information

    Risk Analysis
    Methodology
    Il Rischio è l’effetto dell’incertezza sugli obiettivi.

    È la combinazione di due elementi chiave:

     Probabilità: possibilità che da una minaccia scaturisca con successo un evento di minaccia entro un
    determinato termine.
     Impatto: entità del danno ad un’organizzazione che potrebbe derivare dall’evento di minaccia.

    Information Risk è il rischio di perdita di riservatezza, integrità e disponibilità delle informazioni critiche
    sugli assets.

    Tutti i domini di rischi vengono ricompresi sotto il cappello del rischio d’impresa, Enterprise Risk:

    Rischio Strategico, Rischio Finanziario, Rischio, Operativo, Rischio di Conformità.

    Il Rischio Tecnologico è pervasivo e trasversale a tutti i domini di rischio: il rischio strategico potrebbe
    includere il mancato investimento in tecnologia per stimolare l'innovazione e la crescita, mentre il rischio di
    conformità potrebbe comportare il mancato rispetto dei requisiti di conformità tecnologica emessi da
    organismi di regolamentazione o legali.

    Solitamente il Rischio Tecnologico rientra nel dominio “Rischio Operativo” il quale si definisce come il
    rischio di perdite derivante dall’inadeguatezza di processi interni, sistemi, persone.

    A sua volta l’Information Risk risulta essere un sottodominio del Rischio Tecnologico.
    L’Information Risk viene valutato considerando una varietà di informazioni sui fattori di rischio. IRAM2 è
    progettato in un formato modulare per fornire una guida nella valutazione di ciascuno di questi fattori e
    assistere il professionista nella determinazione della classificazione di rischio residuo finale.

    IRAM2 si differenzia dalle metodologie tradizionali di valutazione del rischio in quanto l'impatto sul business
    viene valutato prima piuttosto che per ultimo. Tale metodologia è modulare e sequenziale ma ha una
    sequenzialità flessibilità in quanto l’operatore può scegliere liberamente le varie sequenze di processo.
    1) SCOPING: Tale fase comprende la comprensione delle caratteristiche dell’org e le componenti
    dell’ambito di valutazione. Ciò implica la comprensione delle componenti aziendali e tecnologiche che
    compongono un'area organizzativa e del modo in cui esse interrelano, nonché di qualsiasi altra
    caratteristica influente dell'organizzazione.

    Per ambiente si intende un insieme di processi, tecnologie, risorse e qualsiasi condizione o altri fattori
    influenti nell’ambito di valutazione.

    L’individuazione dell’ambito si compone delle seguenti fasi:

     Individuazione dei Business Service.


     Individuazione dei Business Process.
     Individuazione degli Asset collegati o Technology Service: Applicativo, DB, Sistema Operativo Server
    etc.
     Individuazione dei Technology Process: Asset Management, Capacity Management, Change
    Management, Incident Management.

    Potrebbero piacerti anche