IRSA: IT Risk Self Assessment

Bisogno di aiuto?

Non esitate a contattarci, senza alcun impegno.

info@augeos.it
(+39) 011.9597444

IRSA: IT Risk Self Assessment

L’attività di valutazione dei rischi informatici presuppone l’utilizzo di tutte le fonti informative disponibili per l’individuazione delle priorità in termini prudenziali.

In tale ottica rileva l’esigenza di permettere al Risk Manager e alla funzione IT di procedere con lo svolgimento di sessioni di IT Risk Self Assessment (nel seguito: IRSA) capaci di analizzare il profilo di rischio informatico della Banca mediante un processo che coinvolge tutte le strutture riconducibili ai sistemi esposti.

AIT Risk offre la possibilità di condurre attività di valutazione dei rischi informatici attraverso l’adozione di metodologie basate su standard di settore e/o policy interne che permettono di determinarne l’impatto potenziale.

Più in particolare, a seguito di apposita mappatura dei rischi informatici all’interno del perimetro circoscritto dagli scenari attesi (compresi quelli avversi relativi ai sistemi IT critici), il sistema permette di applicare un “framework metodologico” parametrizzabile in grado di coinvolgere, attraverso un flusso di lavoro, tutti gli utenti responsabili chiamati nella definizione dei livelli di impatto, frequenza ed adeguatezza del sistema dei controlli.

Tale flusso permette di gestire con particolare accuratezza la segregazione dei ruoli e dei contenuti, permettendo a ciascun utente coinvolto di effettuare la valutazione solo ed esclusivamente con riferimento all’indice di calcolo di propria pertinenza e, soprattutto, alle sole informazioni di cui è effettivamente responsabile.

Con A.IT Risk il Risk Manager può avvalersi di uno strumento caratterizzato da grande facilità d’uso, elevata configurabilità, nativa predisposizione alla documentabilità delle sessioni.

Durante lo svolgimento di una sessione di valutazione il sistema facilita il coordinamento degli utenti coinvolti attraverso messaggi automatici indirizzati a coloro che, a seguito di un passaggio di stato, sono coinvolti direttamente nelle fasi successive.

Al termine delle valutazioni, il sistema mette a disposizione reportistica strutturata degli esiti della sessione, offrendo quadri di sintesi che possono essere “navigati” secondo una logica “drill-down”.

Modello quali-quantitativo

  • Definizione delle probabilità generali delle minacce alla luce dei livelli di rischio di esposizione dei controlli applicati
  • Correttivi delle probabilità nelle relazioni tra scenari-minacce
  • Applicazione (con correttivi) delle probabilità tra scenari-minacce sulle relazioni con gli asset informatici
  • Definizione degli impatti nelle relazioni tra scenari-asset
  • Calcolo del rischio residuo

Modello qualitativo

  • Definizione degli impatti degli scenari (sintesi tra operativo, reputazionale, economico, …) e applicazione correttivi nelle relazioni con le minacce
  • Definizione delle probabilità delle minacce e applicazione correttivi nelle relazioni con scenari
  • Calcolo del rischio lordo a livello di asset-minacce
  • Applicazione dei presidi di controllo dell’asset sulla relazione con le minacce
  • Calocolo del riscio residuo