Risk Assessment (valutazione dei rischi)

Comprensione degli asset, delle minacce delle vulnerabilità e dei rischi. Utilizzo di queste informazioni per ottimizzare la tua sicurezza

Panoramica

Il servizio Risk Assessment (valutazione dei rischi) offerto da McAfee Foundstone fornisce un controllo indipendente sul rischio esistente, introduce delle strategie per gestire questo rischio e descrive i processi e i sistemi che possono mitigare le condizioni di rischio. Le valutazioni dei rischi pianificate a scadenza regolare sono una componente fondamentale per la conformità con le norme federali e statali, incluse le leggi GLBA, HIPAA, California Senate Bill (SB) 1386 e PCI DSS. Una valutazione dei rischi è un elemento critico anche per un programma di sicurezza efficace.

La valutazione di un rischio è un'attività indispensabile per sviluppare strategie di gestione dei rischi all'interno di un'azienda. La metodologia di Foundstone identifica gli asset che supportano le attività aziendali, scopre le vulnerabilità ed evidenzia le potenziali minacce per questi asset.

Vantaggi principali

Il servizio Risk Assessment (valutazione dei rischi) di Foundstone aiuta la tua azienda a:

  • identificare asset operativi strategici
  • proteggere gli asset informativi più importanti contro potenziali minacce
  • ottimizzare gli investimenti nella sicurezza
  • massimizzare il ritorno sugli investimenti nella sicurezza
  • formulare strategie di sicurezza

Metodologia

Il servizio Risk Assessment (valutazione dei rischi) di Foundstone identifica gli asset centrali per le operazioni aziendali e stabilisce il valore di questi asset per l'azienda. Identifichiamo le minacce che potrebbero influire su questi asset ed esaminiamo le vulnerabilità per determinare la probabilità di conseguenze gravi. Foundstone per valutare il profilo di rischio di un'azienda assume un approccio bilanciato che prevede colloqui, analisi della documentazione e analisi tecnica per determinare i rischi, non si affida alle autovalutazioni o ai questionari.

Identificazione di asset, vulnerabilità e minacce
In questa fase, Foundstone tiene dei colloqui con i responsabili aziendali e lo staff tecnico e analizza la documentazione riguardante la sicurezza delle informazioni e gli asset, inclusa la topologia della rete. Il servizio Risk Assessment (valutazione dei rischi) di Foundstone identifica gli asset operativi strategici, inclusi i sistemi dei data center, i computer dei dipendenti, i dispositivi e i canali per le comunicazioni di rete, le aree di lavoro remote come i computer di casa dei dipendenti, i dati sui clienti, quelli sui dipendenti e i dati di proprietà intellettuale. Viene data particolare importanza ai sistemi che elaborano, archiviano, gestiscono e trasmettono i dati personali. Esaminiamo come gli asset dell'information technology sono utilizzati da tutti i tipi di utenti del sistema, inclusi gli amministratori, i clienti e i dipendenti e quindi classifichiamo ciascun asset in base al suo valore sulle operazioni, qualora dovesse subire un danno.

Foundstone tiene colloqui con lo staff tecnico per identificare le potenziali vulnerabilità e compie anche una revisione della documentazione e un'analisi tecnica (se combinata con una valutazione delle vulnerabilità) per individuare i potenziali punti deboli. Le vulnerabilità sono classificate per gravità, informazione che identifica il livello di esposizione di un asset. Ai fini del servizio Risk Assessment (valutazione dei rischi), la valutazione delle vulnerabilità è un'analisi di livello elevato. Le vulnerabilità identificate con questa valutazione si candidano per una valutazione tecnica più dettagliata condotta da Foundstone.

Utilizzando la modellazione delle minacce, Foundstone crea scenari che riflettono i possibili eventi. Ciascun asset viene analizzato tenendo conto del suo costo potenziale in caso di impatto, inclusi gli oneri legati alla distruzione fisica o alla perdita, del calo di fiducia dei clienti, della mancata soddisfazione dei requisiti normativi e di scenari catastrofici. Il risultato finale è una classificazione delle minacce in base alla prevalenza, una misura che indica se una minaccia ha la capacità e la motivazione di incidere su un asset.

Analisi completa
Dopo che Foundstone ha catalogato asset, vulnerabilità e minacce, inizia l'analisi. Il rischio si verifica quando sono riscontrati asset strategici, minacce plausibili e vulnerabilità esistenti. Foundstone punta su una valutazione dei rischi qualitativa anziché tentare di assegnare dei valori economici alle potenziali perdite.

Pianificazione di una roadmap per la sicurezza
Foundstone si concentra sulle strategie che assicurano la massima riduzione dei rischi con il minimo investimento nella sicurezza. Creiamo una roadmap per la sicurezza che comprende le quattro strategie di gestione dei rischi di Foundstone: mitigazione, trasferimento, elusione e accettazione. Le strategie vengono prioritizzate a seconda della quantità della riduzione del rischio e il corrispondente costo. I risultati sono riportati in una piano d'azione per la roadmap sulla sicurezza in cui sono dettagliati i problemi e le soluzioni del sistema, in base ai limiti di risorse e agli obiettivi di contenimento dei rischi della tua azienda.

Al termine dell'incarico, offriamo un rapporto tecnico completo sul servizio Risk Assessment (valutazione dei rischi), un riepilogo esecutivo, delle raccomandazioni sui passaggi successivi e un workshop con presentazione dei risultati della durata di mezza giornata.