Gruppo di Ricerca: coordinato da Carrozzi Luigi.

Partecipanti:
Silvano Bari (Studio Bari e Associati)
Michele Bianco (Accenture Italia S.p.A.)
James Cheyne
Annalisa Cocco (GFI Italia S.p.A.)
Nicola Mancini (G.S.E. S.p.A.) 
Simone Posti (G.E.  Gestioni Elettroniche S.p.A.)
Natale Prampolini
Stefano Spagnoli (G.S.E. S.p.A.)
Antonio Tomassi (G.S.E. S.p.A.) 
 

Presentazione del progetto

Dopo i risultati del GdR ISMS-fase I (cfr.: Le guide AIEA - Information Security Management System - Un Valore Aggiunto per le Aziende) è partita la seconda fase, con l'intento di:
- affrontare la tematica degli ISMS  in maniera ancora più incisiva (pratiche operative per avviare e gestire ISMS sulla base delle Best Practice enunciate in ISMS fase I);
- rendere più efficace il meccanismo di condivisione delle conoscenze interno al gruppo;
- rendere più efficace l'attività di creazione del prodotto finale che razionalizza e sistematizza quanto elaborato dal gruppo.
 

Obiettivi

In questa seconda fase il GdR ha inteso focalizzare la sua attenzione su uno degli aspetti fondamentali per la costituzione di un ISMS: il Risk Management (RM).
E' convinzione del Gruppo che troppo spesso il RM viene condotto all'interno delle organizzazioni mossi esclusivamente dai doveri di compliance (adempimenti a leggi, regolamenti) e relegando tale attività a mero "adempimento burocratico". Viene così persa una  rilevante opportunità di governo delle attività di business.
Il RM attraverso la determinazione del livello di esposizione del rischio gravante sugli information asset, la presa di decisone circa il livello di esposizione ritenuto accettabile e le conseguenti attività di gestione del rischio, costituisce attività irrinunciabile per il governo della sicurezza delle informazioni e conseguentemente per garantire la sopravvivenza stessa del business.
Obiettivo del GdR è quindi quello di tracciare un percorso per le organizzazioni virtuose che per cultura o necessità (ad es. se operanti in contesti mission critical)  intendono mettere in campo un RM per la sicurezza delle informazioni efficace, aderente alla realtà dell'organizzazione, traguardando obiettivi di eccellenza operativa e favorendo la progressiva crescita delle competenze e del grado di maturità dell'organizzazione sul tema.
 

Deliverables

Il GdR presenta l'approccio e le pratiche del Knowledge Based Risk Management applicato alla sicurezza delle informazioni, partendo dalla consapevolezza che le modalità di acquisizione e gestione delle informazioni e delle conoscenze in tutte le fasi del processo di RM costituiscono un fattore critico di successo.
Le conclusioni del lavoro del Gruppo sono riportate nella Guida AIEA " Il  knowledge based information security risk management - Guida all' eccellenza operativa nel risk management per la sicurezza delle informazioni", distribuita ai soci nel gennaio 2010.