La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

21 giugno 2016 1 Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito.

Presentazioni simili


Presentazione sul tema: "21 giugno 2016 1 Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito."— Transcript della presentazione:

1 21 giugno 2016 1 Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito

2 Classificazione delle informazioni e valutazione d’impatto Un’azienda (organizzazione) non può implementare efficaci contromisure a protezione del proprio patrimonio informativo se prima non ha provveduto a: Classificare le informazioni in termini di riservatezza Valutare l’impatto per l’azienda a fronte di eventi che portino alla perdita di confidenzialità per informazioni classificate come riservate 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 2

3 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 3 Perdita di confidenzialità (1/3) La perdita di confidenzialità si può configurare in due distinte modalità: Sottrazione di informazioni riservate da parte di entità esterne Sottrazione di informazioni riservate da parte di personale interno (information leakage)

4 Perdita di confidenzialità (2/3) Sottrazione di informazioni riservate da parte di entità esterne Il rischio è legato ad azioni illecite di realtà terze (ad esempio aziende concorrenti) volte ad entrare in possesso di informazioni riservate dell’azienda, dei suoi clienti e/o dei suoi partner esiste poi il rischio che la sottrazione e distribuzione illecita di informazioni riservate sia condotta da aziende terze che ne dispongono in quanto partner 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 4

5 Perdita di confidenzialità (3/3) Sottrazione di informazioni riservate da parte di personale interno (information leakage) Le condizioni alla base dei fenomeni di information leakage sono due: Possibilità di accesso alle informazioni riservate Esistenza di relazioni tra chi commette l’illecito e la realtà terza che entrerà in possesso delle informazioni riservate 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 5

6 La ricerca del colpevole (1/4) All’interno di un’azienda possono essere definite svariate funzioni aziendali in seno alle quali possono essere trattate informazioni riservate. Tali informazioni sono in genere accessibili a due distinte categorie di utenti: Personale inquadrato con funzioni impiegatizie Figure dirigenziali 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 6

7 La ricerca del colpevole (2/4) Il personale inquadrato con funzioni impiegatizie è in genere così caratterizzabile: Accede esclusivamente a informazioni riservate connesse con la propria funzione L’accesso alle informazioni riservate è spesso monitorato e mediato da meccanismi di controllo Difficilmente svolge compiti che prevedano intense attività relazionali con entità esterne Statisticamente è dimostrato che solo una minima parte degli illeciti connessi col passaggio di informazioni riservate a terzi è commesso da personale di livello impiegatizio 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 7

8 La ricerca del colpevole (3/4) Nell’insieme del personale dipendente inquadrato con funzioni impiegatizie, un’eccezione è rappresentata dal personale IT con privilegi amministrativi. Trattasi infatti di utenti che spesso dispongono di accesso illimitato alla maggior parte delle informazioni riservate ed hanno altresì la possibilità di eludere eventuali meccanismi di controllo degli accessi alle informazioni. 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 8

9 La ricerca del colpevole (4/4) Le figure dirigenziali sono in genere così caratterizzabili: Accedono trasversalmente alle informazioni riservate (anche a quelle non connesse con la propria funzione) L’accesso alle informazioni riservate è raramente monitorato e mediato da meccanismi di controllo Molto spesso svolgono compiti che prevedono intense attività relazionali con entità esterne Statisticamente è dimostrato che la maggior parte degli illeciti connessi col passaggio di informazioni riservate a terzi è commesso da figure dirigenziali 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 9

10 Illecito e rischio Alla base di un illecito vi è sempre il convincimento di farla franca da parte di chi lo commette. Chi commette un illecito valuta basso (e molto spesso a ragione) il rischio di essere scoperto e/o di doverne rispondere. Conseguentemente è possibile ridurre il rischio legato al verificarsi di un illecito innalzando la soglia di rischio per chi lo commette. Tale soglia può essere facilmente innalzata fino al punto di convincere l’individuo che “il gioco non vale la candela” (ovvero che sarà certamente scoperto e chiamato a risponderne). 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 10

11 Temi di discussione Importanza dell’attività di analisi del rischio informatico Illeciti connessi con il furto di informazioni riservate: chi li commette? Policy e informative volte a regolare l’accesso e il trattamento delle informazioni riservate 21 giugno 2016 © 2003 Hacking Team All Rights Reserved 11


Scaricare ppt "21 giugno 2016 1 Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito."

Presentazioni simili


Annunci Google