Re: analisi del rischio

On Mon, Jun 24, 2002 at 09:57:29AM +0200, Ste wrote:
> un saluto alla ml,
> 
> devo procedere all'analisi del rischio di una rete (una wan, con alcuni
> server esposti a internet).
Attenzione!
Spesso si fa' molta confusione fra i termini "risk assessment" "risk analisys"
"risk management" "security assessment" e quant'altro.

La "analisi del rischio" fa' parte di quella branchia della sicurezza "logico
procedurale" che richiede l'analisi dei flussi aziendali e tante altre cosucce
che un tecnico per definizione NON SA' di fare :)

Se e' di questo che parli guardati questo link che qualcosina trovi:

http://directory.securitysearch.net/General_Information/Security_Policy/index.shtml

Se decidessi di dare in "outsourcing" una cosa simile assicurati che chi
effettuera' la risk analisys fara' seguire il dovuto processo di risk
management e diffida da chi non abbia fatto questo servizio ad almeno una
decina di aziende.

Non ci si puo' improvvisare nel fare una analisi del rischio ed e' richiesto
il lavoro di un team di persone con competenze spesso molto etereogenee fra
loro da quelle dei flussi azienali, a quelle economiche, a quelle + o -
tecniche .

E stai ancora attento a chi viene tutto felice con strumenti automatici che ti
fa' una analisi per "asset" ( ovvero ti da' un malloppo di carta alto 10 cm
con scritto il valore di ogni componente del tuo sistema informativo ) e non
una analisi per "flussi" ( dove viene considerato il valore di un asset
all'interno di uno dei processi che lo vede coinvolto ) .

Ciao

> avete qualche link utile affinche' non mi dimentichi per strada qualche
> passaggio importante? :-)

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@blackhats.it - naif@sikurezza.org
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
 "Hacking is the future of security research" R.Power, CSI 
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List