Home » IRM: cos’è e perché è cosi importante?

IRM: cos’è e perché è cosi importante?

Categorie Tecnologia

La diffusione di internet e la conseguente modifica dell’organizzazione delle imprese verso l’esternalizzazione delle informazioni a clienti e partner ha portato a grandi vantaggi alle aziende permettendo loro di incrementare in maniera esponenziale le opportunità di business, tuttavia ha incrementato la possibilità di attacco a informazioni che risultano essenziali per la competitività delle stesse ad opera di agenti di vario tipo:

  • Esterni: virus informatici e intrusioni
  • Interni: malafede utenti
  • Naturali: interruzione dei servizi

L’Information Risk Management (IRM) è un processo per indentificare, controllare e minimizzare i rischi alla sicurezza dei sistemi di informazione, minimizzando i costi. Gli obiettivi sono i seguenti:

  1. RISERVATEZZA: le informazioni devono essere fruibili solo a persone identificate e autorizzate
  2. INTEGRITA’: protezione dei dati a modifiche non autorizzate
  3. DISPONIBILITA’: le informazioni devono essere disponibili solo quando necessario.

La realizzazione di un sistema sicuro non è semplice e richiede svariate competenze informatiche e di gestione d’impresa tutto nel rispetto delle norme che regolamentano tale attività (UNI CEI ISO/IEC 27001).

I processi di gestione del rischio delle informazioni si compongono delle seguenti fasi:

  • Accertamento del contesto
  • Valutazione del rischio
  • Trattamento del rischio
  • Accettazione del rischio
  • Comunicazione del rischio
  • Sorveglianza e revisione del rischio

Le principali attività affrontate nell’ambito dell’IRM sono le seguenti:

  • Information Security & Management: gestione della sicurezza delle informazione a tutti i livelli, ad esempio, definizione di un corretto assetto organizzativo ruoli/responsabilità per la gestione della sicurezza delle informazioni e prevenzioni delle frodi.
  • Security, Risk Assessment & Management: identificazione dei rischi e gestione degli stessi tramite i principali standard di riferimento e la verifica della maturità dei modelli adottati.
  • Governo degli accessi logici: gestione degli accessi alle informazioni commisurati alle mansioni degli utenti ed ai rischi derivanti all’accesso non autorizzato delle informazioni.
  • Business Continuity Management: gestione dei rischi derivati dall’indisponibilità dei sistemi informativi in seguito ad eventi disastrosi (calamità naturali)
  • IT Internal Audit: verifica dei sistemi di controllo attuati dalle società e conseguente svolgimento di azioni correttive.
  • Cyber Security: prevenzione di eventuali minacce alla sicurezza delle informazioni sia esternamente (hacker) che internamente (dipendenti sleali).

Per questi motivi risulta fondamentale dotarsi di un sistema di gestione dei rischi sulle informazioni, in quanto queste rappresentano spesso il “core business” delle aziende al pari dei prodotti e/o servizi offerti dalle stesse.

A cura di Leonardo Ferri

Lascia un commento