ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert
Inserito da Agatino Grillo il Sab, 2006-10-21 08:56
ENISA | IT Colloquia | Ottobre 2006 | Rischi
061021-enisa-marinos-it
Louis Marinos è il coordinatore dell’Ad-hoc
Working Group on Risk Assessment and Risk Management (RA/RM)
di ENISA
IsacaRoma (IR): Grazie per la sua collaborazione dottor Marinos. Recentemente ENISA ha annunciato il suo primo deliverable nell’area del Risk Management: Inventory of Risk Management/Risk Assessment Methods and Tools. Può presentarci questo deliverable?
Louis Marinos (LM): Sin dalla costituzione di ENISA nel 2004, il Risk Management è stato identificato come uno dei temi più importanti da trattare nell’ambito dell’Information Security. Allo stesso tempo è stata evidenziata la necessità di costituire una knowledge base sulle metodologie, tool e best practice sul Risk Management. Così dopo lo start-up dell’agenzia, ad Heraklion, ci siamo concentrati sull’obiettivo di effettuare un censimento dei metodi e degli strumenti di tale area. Lo scopo di tale attività è di tenere costantemente informati ed aggiornati gli stakeholder sull’esistenza di metodologie e strumenti così da aiutarli nella selezione di quelli più adatti alle loro esigenze. In coperazione con l’ad-hoc Working Group on Risk Assessment and Risk Management di ENISA, abbiamo fatto un assessment dei più importanti metodi e tool usati in Europa.
Ovviamente sappiamo bene che il nostro censimento non è del tutto esaustivo anche a causa del numero ridotto di persone che hanno lavorato a questo compito. Proprio per tale motivo abbiamo previsto che gli stakeholder possano segnalarci le loro metodologie, tool e best pratice nel caso non siamo presenti nell’inventario o vi siano stati significativi aggiornamenti. Il nostro auspicio è che la nostra knowledge base si imponga nel tempo come un valido strumento di lavoro per l’area del Risk Management. L’URL per questa risorsa è: http://www.enisa.europa.eu/rmra/rm_home.html
IR: Ci sono particolarità per i metodi di RA/RM nelle piccole e medie aziende (Small and Medium Sized Enterprise - SMEs)?
LM: Come per molti altri quesiti della vita non esiste una risposta "uguale per tutti" a questa domanda. E ciò a causa della grande varietà di azienda che sono riconducibili alle SMEs (da 500 a 2 impiegati) ed alla diversità dei processi informativi (da sistemi disponibili al pubblico a sistemi molto riservati). In relazione a ciò le metodologie corrette da applicare potrebbero variare da quelle molto complesse a delle best practice semplificate utili ad esempio a tener conto dei rischi più comuni per gli asset principali (ad esempio: personal computer, documenti d’ufficio ed informazioni a riservatezza media). Proprio per rispondere a queste necessità abbiamo utilizzato dei template per la descrizione di ciascun metodo e tool dell’inventario. I template consistono di diversi attributi alcuni dei quali sono rilevanti per gli SMEs (ad esempio spread del metodo, settore supportato, personalizzazione del metodo eccetera). Per scegliere il miglior metodo, lo stakeholder dovrebbe pesare questi attributi e quindi individuare il metodo migliore. In futuro ENISA elaborerà ulteriormente i criteri di selezione dei metodi e fornirà ulteriori aiuti (esempi, best practice) per gli SME per assisterli nella selezione dell’approccio di Risk Management più appropriato.
IR: L’ad-hoc Working Group on RA/RM di ENISA ha identificato numerose aree di intervento; qual è la road map prevista?
LM: La Risk Management road map si trova nel sito web dedicato al Risk Management ; questa road map è stata realizzata insieme al Working Group ed è stata anticipate nell’ENISA Work Programme 2007 (il documento è stato inviato all’ENISA Management Board per l’accettazione finale). Alcuni item che dalla road map portano al Work Programme sono, per esempio per il prossimo anno, l’individuazione dei rischi emergenti e dei rischi tipici della business continuity. Ovviamente la road map è un documento live: nuovi rischi emergenti nel Risk Management possono essere inseriti nella road-map. I requirement degli utenti, per esempio, così come sono stati raccolti nel Workshop di ENISA a Roma saranno inclusi nelle future versioni della road-map.
IR: Uno dei temi più importanti del RA/RM riguarda appunto i rischi emergenti. Qual è la vostra visione?
LM: I rischi emergenti riguardano uno degli aspetti su cui stiamo lavorando in questo momento. Per quest’anno (2006) non sono previsti deliverable in quest’area. Questo ovviamente non significa che non siamo attivi a riguardo: alcuni lavori iniziali sono già stati effettuati o sono in corso. Alcuni esempi: uno studio iniziale sullo status corrente e lo stato dell’arte dei rischi emergenti, una road map per i rischi emergenti, le considerazioni iniziali sui metodi migliori per raccogliere e disseminare informazioni sui rischi emergenti. Come è indicato nella visione di ENISA, i rischi emergenti comprendono campi molto vasti e diversi: a questo livello ENISA giocherà un ruolo centrale nella raccolta, nel processing e nella distribuzione delle informazioni sui rischi emergenti.
IR: RA/RM e Business Continuity Plan: che relazioni ci sono?
LM: Dal punto di vista del Risk Management, la business continuity è un elemento fondamentale per la gestione dei rischi di continuità. Così abbiamo incluso la business continuity nel nostro portfolio. Per il prossimo anno (2007) abbiamo pianificato di iniziare un censimento specifico per la Business Continuity. Come sempre inizieremo con il concentrarci sugli aspetti relativi alla IT continuity, dato che il focus di ENISA è specifico sulla Information Technology.
IR: Last but not least: l’ENISA Workshop sul Risk Management a Roma in ottobre; ce ne può parlare?
LM: ENISA ha organizzato per il 13 ottobre 2006 un workshop sul Risk Management. Lo scopo è presentare i risultati di ENISA del 2006 per l’area del Risk Management ed anche di raccogliere gli user requirement e feed back in quest’area. L’interesse della comunità di esperti in quest’area è stata notevole con oltre 40 esperti europei che hanno partecipato al workshop in rappresentanza di differenti aree ed aspetti del Risk Management, dall’education al training alle necessità per le piccole e medie imprese. Il successo dell’iniziativa è dimostrato anche dalla quantità e qualità dei feed-back e suggerimenti che abbiamo raccolto.
Un report sul workshop, I temi discussi e le presentazioni effettuate saranno presto disponibili alla URL http://www.enisa.europa.eu/rmra/events.html
IR: Grazie dott. Marinos
LM: Grazie a voi anche a nome di ENISA per l’opportunità che ci avete concesso grazie a questa intervista.
(a cura di Agatino Grillo)
Questa intervista è dispobile anche in inglese
IsacaRoma (IR): Grazie per la sua collaborazione dottor Marinos. Recentemente ENISA ha annunciato il suo primo deliverable nell’area del Risk Management: Inventory of Risk Management/Risk Assessment Methods and Tools. Può presentarci questo deliverable?
Louis Marinos (LM): Sin dalla costituzione di ENISA nel 2004, il Risk Management è stato identificato come uno dei temi più importanti da trattare nell’ambito dell’Information Security. Allo stesso tempo è stata evidenziata la necessità di costituire una knowledge base sulle metodologie, tool e best practice sul Risk Management. Così dopo lo start-up dell’agenzia, ad Heraklion, ci siamo concentrati sull’obiettivo di effettuare un censimento dei metodi e degli strumenti di tale area. Lo scopo di tale attività è di tenere costantemente informati ed aggiornati gli stakeholder sull’esistenza di metodologie e strumenti così da aiutarli nella selezione di quelli più adatti alle loro esigenze. In coperazione con l’ad-hoc Working Group on Risk Assessment and Risk Management di ENISA, abbiamo fatto un assessment dei più importanti metodi e tool usati in Europa.
Ovviamente sappiamo bene che il nostro censimento non è del tutto esaustivo anche a causa del numero ridotto di persone che hanno lavorato a questo compito. Proprio per tale motivo abbiamo previsto che gli stakeholder possano segnalarci le loro metodologie, tool e best pratice nel caso non siamo presenti nell’inventario o vi siano stati significativi aggiornamenti. Il nostro auspicio è che la nostra knowledge base si imponga nel tempo come un valido strumento di lavoro per l’area del Risk Management. L’URL per questa risorsa è: http://www.enisa.europa.eu/rmra/rm_home.html
IR: Ci sono particolarità per i metodi di RA/RM nelle piccole e medie aziende (Small and Medium Sized Enterprise - SMEs)?
LM: Come per molti altri quesiti della vita non esiste una risposta "uguale per tutti" a questa domanda. E ciò a causa della grande varietà di azienda che sono riconducibili alle SMEs (da 500 a 2 impiegati) ed alla diversità dei processi informativi (da sistemi disponibili al pubblico a sistemi molto riservati). In relazione a ciò le metodologie corrette da applicare potrebbero variare da quelle molto complesse a delle best practice semplificate utili ad esempio a tener conto dei rischi più comuni per gli asset principali (ad esempio: personal computer, documenti d’ufficio ed informazioni a riservatezza media). Proprio per rispondere a queste necessità abbiamo utilizzato dei template per la descrizione di ciascun metodo e tool dell’inventario. I template consistono di diversi attributi alcuni dei quali sono rilevanti per gli SMEs (ad esempio spread del metodo, settore supportato, personalizzazione del metodo eccetera). Per scegliere il miglior metodo, lo stakeholder dovrebbe pesare questi attributi e quindi individuare il metodo migliore. In futuro ENISA elaborerà ulteriormente i criteri di selezione dei metodi e fornirà ulteriori aiuti (esempi, best practice) per gli SME per assisterli nella selezione dell’approccio di Risk Management più appropriato.
IR: L’ad-hoc Working Group on RA/RM di ENISA ha identificato numerose aree di intervento; qual è la road map prevista?
LM: La Risk Management road map si trova nel sito web dedicato al Risk Management ; questa road map è stata realizzata insieme al Working Group ed è stata anticipate nell’ENISA Work Programme 2007 (il documento è stato inviato all’ENISA Management Board per l’accettazione finale). Alcuni item che dalla road map portano al Work Programme sono, per esempio per il prossimo anno, l’individuazione dei rischi emergenti e dei rischi tipici della business continuity. Ovviamente la road map è un documento live: nuovi rischi emergenti nel Risk Management possono essere inseriti nella road-map. I requirement degli utenti, per esempio, così come sono stati raccolti nel Workshop di ENISA a Roma saranno inclusi nelle future versioni della road-map.
IR: Uno dei temi più importanti del RA/RM riguarda appunto i rischi emergenti. Qual è la vostra visione?
LM: I rischi emergenti riguardano uno degli aspetti su cui stiamo lavorando in questo momento. Per quest’anno (2006) non sono previsti deliverable in quest’area. Questo ovviamente non significa che non siamo attivi a riguardo: alcuni lavori iniziali sono già stati effettuati o sono in corso. Alcuni esempi: uno studio iniziale sullo status corrente e lo stato dell’arte dei rischi emergenti, una road map per i rischi emergenti, le considerazioni iniziali sui metodi migliori per raccogliere e disseminare informazioni sui rischi emergenti. Come è indicato nella visione di ENISA, i rischi emergenti comprendono campi molto vasti e diversi: a questo livello ENISA giocherà un ruolo centrale nella raccolta, nel processing e nella distribuzione delle informazioni sui rischi emergenti.
IR: RA/RM e Business Continuity Plan: che relazioni ci sono?
LM: Dal punto di vista del Risk Management, la business continuity è un elemento fondamentale per la gestione dei rischi di continuità. Così abbiamo incluso la business continuity nel nostro portfolio. Per il prossimo anno (2007) abbiamo pianificato di iniziare un censimento specifico per la Business Continuity. Come sempre inizieremo con il concentrarci sugli aspetti relativi alla IT continuity, dato che il focus di ENISA è specifico sulla Information Technology.
IR: Last but not least: l’ENISA Workshop sul Risk Management a Roma in ottobre; ce ne può parlare?
LM: ENISA ha organizzato per il 13 ottobre 2006 un workshop sul Risk Management. Lo scopo è presentare i risultati di ENISA del 2006 per l’area del Risk Management ed anche di raccogliere gli user requirement e feed back in quest’area. L’interesse della comunità di esperti in quest’area è stata notevole con oltre 40 esperti europei che hanno partecipato al workshop in rappresentanza di differenti aree ed aspetti del Risk Management, dall’education al training alle necessità per le piccole e medie imprese. Il successo dell’iniziativa è dimostrato anche dalla quantità e qualità dei feed-back e suggerimenti che abbiamo raccolto.
Un report sul workshop, I temi discussi e le presentazioni effettuate saranno presto disponibili alla URL http://www.enisa.europa.eu/rmra/events.html
IR: Grazie dott. Marinos
LM: Grazie a voi anche a nome di ENISA per l’opportunità che ci avete concesso grazie a questa intervista.
(a cura di Agatino Grillo)
Questa intervista è dispobile anche in inglese
IsacaRoma link
ENISA
- ENISA:
la guida per costituire un CERT
ENISA: il glossario del Risk Management (lettere S - Z) - ENISA: il glossario del Risk Management (lettere N - R)
- ENISA: il glossario del Risk Management (lettere F - M)
- ENISA:
Inventario delle metodologie di Risk Management / Risk Assessment
- ENISA: il glossario del Risk Management (lettere A - E)
- ENISA: il sito dedicato al Risk management ed assessment
- ENISA
Risk Management Workshop, 13 ottobre 2006, Roma
- ENISA – Intervista ad Isabella Santa, Awareness Raising Working Group Coordinator
- ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008
- ENISA, l’agenzia di sicurezza europea
- Intervista ad Andrea Pirotti, Executive Director di ENISA
- La visione di ENISA
- ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare
ENISA Quarterly
» email this story | printer friendly version | 1568 reads
