Security Assessment

Indistintamente dalla tipologia dell’industria finanziaria, per rafforzare il Sistema dei Controlli Interni, si prevede l’adozione di adeguati e robusti sistemi informativi che da un lato devono consentire la continuità operativa e dall’altro garantire la sicurezza aziendale.

Ne deriva una necessità di procedere ad una valutazione del rischio complessivo.

A partire dalle informazioni contenute nel modello emesso da FFIEC, il Financial Services Sector Coordinating Council for Critical Infrastructure Protection and Homeland Security (FSSCC) ha sviluppato un Tool, dedicato alle istituzioni finanziarie, e finalizzato alla raccolta e al reporting degli esiti contenuti nello strumento di valutazione.

NIKE ha personalizzato tale tool, estendendo i quesiti di valutazione con un focus specifico ai diversi standard coperti.

NIST BASED

FSSCC BASED

Le metodologie proposte, e nello specifico la metodologia FSSCC, pongono le basi per la configurazione del Tool di analisi del rischio informatico. Lo strumento permette di valutare il livello di rischio inerente, o potenziale, a partire dalla valutazione di ogni singolo attributo o categoria di rischio, quale scenario di rischio, associato a ciascun servizio o attività oggetto di analisi. Ogni scenario di rischio è valutabile a da cinque livelli definiti, e rappresentabile in forma aggregata come valutazione del rischio potenziale per categoria di rischio o complessivo.