About me
Ogni organizzazione ha i suoi modi per gestire la propria attività, e dovrebbe rendere evidenti i modi con cui le effettua definendo sia gli obiettivi che un linguaggio comune.
A volte è necessario che siano compiuti degli interventi che aiutino l'organizzazione a comprendere :
- quali e come i suoi processi vengono effettuati e di quali dati ed informazioni necessitano;
- quale valore rappresentano per l'azienda;
- a quali rischi sono esposti e come proteggerli;
- quali sono i processi che necessitano di una revisione per migliorare il raggiungimento degli obiettivi.
I processi devono essere descritti e valutati, nella loro efficacia e nella loro efficienza, rispetto ad un risultato atteso che permetta di individuare un percorso di miglioramento, ove necessario.
Poiché è l’organizzazione che deve compiere il cambiamento non è sufficiente avere definito dei processi e delle procedure, per assicurarsi che il meccanismo funzioni correttamente deve verificare se quello che si aspetta venga fatto e che sia stato effettivamente eseguito. Quindi, per poter assicurare l'effettiva esecuzione di quanto previsto, è necessario, tramite definizioni di misure e rilevazioni periodiche delle attività , effettuare delle attività di ispezione. In seguito a queste attività è possibile individuare correzioni e suggerire azioni migliorative.
Lo stesso processo di deve applicare nella gestione della sicurezza della informazioni: da una parte la tecnologia è in continua evoluzione e, conseguentemente, la sua capacità di garantire la sicurezza; dall’altra anche l’informazione, con il passare del tempo, assume connotati diversi, di cui deve essere individuato e gestito il cambiamento, e definita la sua nuova e modalità di trattamento e applicazione.
Questo è quello che mi piacerebbe fare: assistere le organizzazioni nel:
- Disegnare , re-ingegnerizzare processi
- Comprendere il flusso, ed il valore, delle informazioni all'interno di una organizzazione
- valutare i rischi associati al trattamento delle informazioni e indicare i possibili rimedi organizzativi e tecnologici
- definire i piani per la implementazione di un Sistema di Gestione della Sicurezza delle Informazioni.
- assisterla nelle evoluzione nel tempo con verifiche periodiche e pianificazioni di miglioramento