Di: Sergio Palumbo

Troppo spesso sottovalutata, la gestione del rischio IT è fondamentale per pianificare ed adattare un’efficace gestione della sicurezza informatica. Questo libro di Alessandro Sinibaldi descrive le metodologie e le tecniche per il risk management, partendo dai concetti di base per poi descrivere tecniche e metodologie per l’analisi e la gestione.

Nella prima parte vengono introdotti i concetti di rischio, i processi aziendali, gli asset, la modellazione dei flussi informativi con i Data Flow Diagrams, i pericoli, le vulnerabilità e le contromisure. Per tutti questi aspetti l’autore propone modelli, standard e best practice per l’analisi del rischio e l’individuazione delle contromisure. Per queste ultime vengono illustrate best practice come i Common Criteria, ITIL, ISO 17799 e ISO 27000 ma anche leggi e normative, come ad esempio la legge sulla privacy o Basilea 2. Per il controllo del rischio l’autore illustra la metodologia OSSTMM e COBIT. La seconda parte del libro è dedicate alle metodologie Mehari, Octave, CRAMM, CORAS, EBIOS e vengono offerti cenni su COBRA e DREAD.

Il volume di Sinibaldi offre il giusto compromesso tra aspetti teorici ed aspetti pratici ed è particolarmente indicato per i responsabili dei sistemi informativi e per chi opera nell’ambito della sicurezza IT. La ricca dotazione di riferimenti e di link ipertestuali consente di poter approfondire gli argomenti di maggior interesse. Un’ottima raccolta dei link, ad esempio, è proposta nell’appendice C “Come scrivere una buona policy”: davvero preziosa.

Link: il sito di Hoepli Editore – www.hoepli.it