Una delle fasi essenziali per la determinazione di adeguati livelli di sicurezza è sicuramente la valutazione del Rischio di subire un incidente informatico ( malevolo o meno che sia )
e la stima delle inevitabili ripercussioni che un tale incidente avrebbe sul valore degli asset e sui costi aziendali.
L'adozione di seri e rigorosi standard internazionali ( COBIT, ITIL, ISO27001, NIST )
per la conduzione del processo di Auditing consente di giungere alla definizione delle opportune contromisure di difesa da adottare in modo che queste siano realmente efficaci nel ridurre i livelli di Rischio
ma allo stesso tempo siano anche correttamente correlate alle effettive necessità del cliente in termini di un'analisi costi-benefici.
Infine, il processo di Auditing consente alle realtà che operano in settori fortemente
regolati da normative di legge nazionali o internazionali ( Dlgs 196/2003, HIPAA, PCI-DSS, Sarbanes-Oxley, ecc... ) di determinare il livello di compliance raggiunto.
In questo modo è possibile conoscere il grado di adesione agli standard di riferimento delle politiche e delle procedure interne in modo da poter evitare di sostenere elevati costi di risarcimento dovuti ad inadempienza colposa nella gestione dei dati.
|