L’Institute of Internal Audit, rappresentata in Italia dall’AIIA, ha annunciato la pubblicazione della sesta guida della serie “Global Technology Audit Guide (GTAG)” di cui abbiamo già parlato in questa newsletter anche con una intervista (in italiano ed inglese) alla curatrice del progetto.
La nuova guida è dedicata alla gestione e audit delle vulnerabilità tecnologiche (pdf, 574 K).
Il “Vulnerability Management” consiste nell’identificare, valutare e contrastare i “business risk” che provengono dall’utilizzo delle risorse IT. La guida si rivolge ai CAE - Chief Audit Executive – che hanno la necessità di valutare il grado effettivo di vulnerabilità tecnologia delle loro organizzazioni e fornisce raccomandazioni pratiche per la risoluzione e la gestione dei problemi.
Il documento permette di:

• comprendere il processo di “vulnerability management”;
• saper differenziare le diverse tipologie di vulnerability management (high e low);
• passare da un approccio technology-based ad un approccio risk-based;
• conoscere le best practice del vulnerability management;
• formulare le raccomandazioni e suggerimenti in modo più efficace nei confronti dei chief information officer, chief information security officer, chief executive officere chief financial officer.

Nel vulnerability management il ruolo dell’internal auditor consiste nel valutare l’efficacia delle misure preventive, di individuazione (detective) e di mitigazione nei confronti degli attacchi passati e futuri. Inoltre gli auditor devono tenere informato il Consiglio di Amministrazione delle minacce, vulnerabilità e misure correttive prese in relazione ai problemi individuati.
Gli autori della guida sono Sasha Romanosky della Heinz School of Public Policy and Management (Carnegie Mellon University); Gene Kim di Tripwire Inc. e dell’IT Process Institute e Bridget Kravchenko della General Motors Corp.

Indice del documento

• 1 Summary for the Chief Audit Executive
• 2 Introduction
• 2.1 Identifying Poor Vulnerability Management
• 2.2 Improving Vulnerability Management
• 2.3 The Internal Auditor’s Role
• 2.4 How Vulnerability Management Drives Changes to the IT Infrastructure
• 3 Vulnerability Management Lifecycle
• 3.1 Identification and Validation
• Scoping Systems
• Detecting Vulnerabilities
• Validating Findings
• 3.2 Risk Assessment and Prioritization
• Assessing Risks
• Prioritizing Vulnerabilities
• 3.3 Remediation
• Mitigating Critical Vulnerabilities
• Creating a Vulnerability Mitigation Process
• 3.4 Continually Improve
• Stopping the Spread
• Setting Expectations With OLAs
• Achieving Efficiency Through Automation
• Using Past Experience to Guide Future Actions
• 4 Organization Maturity
• 4.1 Low Performers
• 4.2 High Performers
• 5 Appendix
• 5.1 Metrics
• 5.2 Top 10 Questions CAEs Should Ask About Vulnerability Management
• 5.3 A Word on Vulnerability and Risk Management
• 5.4 Vulnerability Resources for the Internal Aud
• 5.5 Glossary
• 6 References
• 7 About the Authors
• Reviewers

IsacaRoma Newsletter link

• Interview with Lily Bi on GTAG project
• Intervista a Lily Bi sul progetto GTAG
• IIA: Global Technology Audit Guide

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter
ISACA: Standard, direttive e procedure – l’analisi dei rischi (24-09-2006)
ISACA: Standard, direttive e procedure – prima parte (23-09-2006)
Intervista a Ross Anderson (02-11-2005)
Lezioni di IS Auditing  (03-01-2006)
Conversazione con Simon Singh (28-10-2005)
COSO Enterprise Risk Management Framework (12-09-2006)
Bruce Schneier: domande e risposte (01-11-2005)