La Gestione del Rischio Informatico

Il Risk Management ha assunto negli anni sempre più importanza, ponendo amministratori e dirigenti d’impresa davanti alla necessità di rilevare le modalità di individuazione, misurazione e trattamento dei rischi aziendali. Le misure di protezione tradizionali non sono più sufficienti a fornire adeguata copertura dai rischi della cyber security, settore fondamentale per l’impresa e i suoi stakeholder. Ragion per cui, appare necessario dotarsi di strumenti volti a prevenire l’intrusione informatica con un’analisi particolareggiata dei rischi connessi all’informazione. Lo strumento che meglio si presta a raggiungere tali obiettivi è un software di gestione del rischio aziendale, incentrato sul processo di risk management. Le funzionalità del programma mirano a: indagare le cause dei rischi, rendere ottimale la gestione delle risorse e così ridurre l’impatto degli incidenti, prevenendoli. Il presente lavoro è diviso in tre capitoli. Nel primo, si definirà il rischio informatico descrivendo i processi chiave in materia di gestione e sicurezza delle applicazioni, dei sistemi operativi e delle reti, considerando quindi il tema della cybersecurity. La parte centrale riguarderà qualità e certificazione dei sistemi informatici, alla luce dello standard ISO/IEC/27001 e delle novità introdotte con la norma ISO 9001:2015, contenente specifiche disposizioni sul tema oggetto di studio. Nel terzo e ultimo capitolo si affronterà in concreto il caso dell’azienda Tecnica Elettronica S.p.A. In particolare, premessi cenni in materia di certificazione e autocertificazione, sarà esplorato il passaggio dalla prima alla seconda nella pratica dei sistemi di produzione automatizzati e nei sistemi informatici, avuto riguardo alle fasi del processo di autocertificazione attuato all’interno del medesimo contesto aziendale. Si concluderà auspicando l’adozione di tecniche Design for Security, concepite per la sicurezza dei sistemi fin dalle fasi di programmazione e controllo.