RISK MANAGEMENT

L’analisi, valutazione e gestione dei rischi è la base per una efficace gestione della sicurezza fisica, logica e di processo.

Ispirata alle principali best practice internazionali, quali la ISO31000, COSO ERM, e NIST SP800-30, questa attività permette di costruire un’analisi e coerente gestione dei rischi a cui sono soggetti i processi, siti, infrastrutture o informazioni aziendali. L’attività si svolge adottando la più idonea metodologia di analisi dei rischi al contesto di riferimento, seguendo le pratiche consigliate dalla ISO31010, o se necessario, definendo metodologie ad-hoc funzionali agli obiettivi del cliente.

L’analisi viene svolta comprendendo adeguatamente il perimetro d’analisi, da un punto di vista organizzativo, di processo e infrastrutturale, al fine di identificare appieno le minacce ai risultati che l’organizzazione si è prefissa; a tal fine non ci si limita alle valutazioni documentali, ma si eseguono interviste con i principali attori, osservazioni del processo e ispezioni dei luoghi di svolgimento delle attività. Tutte le informazioni raccolte vengono aggregate fornendo la base necessaria per la proposizione delle opzioni di trattamento dei rischi e relative misure di riduzione del rischio.

Le contromisure possono essere di natura tecnica oppure organizzativa e sono dettagliate in modo da rendere più chiara e immediata la loro scelta da parte del management di riferimento. A tal fine si prevede la stesura di un piano di trattamento del rischio. Specifica rilevanza all’interno di tale piano è data agli elementi che non solo generano un rischio, ma che causano una non conformità rispetto alle norme e alla legislazione applicabile.