Risk Assessment. L’identificazione e la valutazione periodica del rischio di corruzione e dei relativi presidi costituisce il primo momento logico del modello di gestione del rischio. Le strutture del Chief Compliance Officer procedono annualmente all’identificazione e valutazione dei rischi e dei presidi di conformità, per ciascuna delle Aree di rischio definite nel presente Regolamento Attuativo, al fine di avere una valutazione dell’esposizione complessiva al rischio di corruzione. Sulla base degli esiti del risk assessment, le strutture del Chief Compliance Officer, individuano e programmano i necessari interventi di gestione.
Risk Assessment. Nel predisporre il proprio sistema di controllo in grado di prevenire il rischio di commissione Reati ed in linea con i requisiti del d. lgs. 231/2001, DASIT ha svolto una serie di attività adottando il flusso per la Gestione del Rischio riportato qui di seguito ed illustrato nelle pagine seguenti. Mappatura delle aree/ processi a rischio
Risk Assessment. Sulla base delle informazioni raccolte nel corso della prima riunione con l’Amministrazione Contraente, nei casi in cui l’individuazione dei siti da monitorare sia risultata incerta, il nostro gruppo di lavoro provvederà a sviluppare internamente un’attività di Risk Assessment preliminare finalizzata a definire un quadro del rischio criminalità in relazione ai diversi siti sensibili: sarà valutato il livello di rischio di eventi criminosi nelle aree in esame, assumendo il rischio quale prodotto della probabilità di accadimento degli eventi moltiplicata per la gravità dei danni potenziali. Tale analisi del rischio, derivata da consolidati standard internazionali di Risk Assessment, implica l’individuazione delle potenziali sorgenti di pericolo e delle possibilità che esse si trasformino in danno: le potenziali sorgenti di pericolo saranno individuate da parte di nostro personale specializzato, sulla base della letteratura di settore, in relazione alla morfologia delle aree di studio e delle funzioni in esse insediate, nonché attraverso ogni altra informazione raccolta attraverso l’Amministrazione Contraente. Più in particolare, una volta classificate le strutture in base alla destinazione d’uso verrà esaminato il rischio criminoso a cui si stima possano essere esposte, al fine di valutare e proporre il servizio più adatto alle potenziali esigenze della singola tipologia di Amministrazione, in linea con la normativa UNI ISO 31000 – “Gestione del rischio”. Per la valutazione del potenziale rischio criminoso si considereranno differenti fonti del settore, quali: il Codice Penale, per la scelta dei differenti rischi e l’assegnazione del livello di gravità dell’eventuale danno subito; il Rapporto sulla criminalità italiana del Ministero dell’Interno e l’indagine sulla sicurezza dei cittadini (ISTAT), che contiene riferimenti aggiornati per lo studio e la valutazione della probabilità di accadimento di una specifica minaccia, sulla base di numerosi elementi statistici; ecc. A partire da ciò i diversi siti saranno classificati in base a: ▪ tipologia di rischio criminoso: - atto vandalico/danneggiamento, - furto/rapina, - “barbonaggio” (come definito dall’Art 669 del CP e art.154 del TULPS), - incendio doloso, - sabotaggio, - attentato; ▪ probabilità di accadimento del rischio specifico a partire, come detto, dal rapporto sulla criminalità italiana svolto su base decennale e dell’indagine sulla sicurezza dei cittadini; ▪ peso attribuito alla gravità del rischio ass...
Risk Assessment. Gli assessment di valutazione del rischio, dei gradi di accettabilità e delle contromisure da mettere in essere andranno ripetuti con la frequenza minima richiesta dal PNSC mediante il coinvolgimento di tutte le figure identificate dai ruoli e dalle responsabilità. Devono essere adeguati e mantenuti aggiornati i documenti di Business Impact Analysis e le procedure, ove richiesto, oltre che le eventuali tecnologie hardware e software impiegate. Le relazioni di analisi del rischio costituiranno parte integrante della documentazione del sistema di gestione della cybersecurity. È richiesta la conduzione di assessment periodici, con le frequenze minime richieste dal PSNC, per la valutazione dei livelli di vulnerabilità e di penetrabilità degli impianti IT. Redazione delle relazioni sugli assessment effettuati e produzione delle indicazioni per gli adeguamenti sia alle infrastrutture informatiche che alle procedure per ottemperare alla riduzione dei rischi rilevati. Raccolta e trasmissione degli esiti di assessment al PSNC ove richiesto.
Risk Assessment. Attività “a giorni/persona”
Risk Assessment. Il Risk Assessment è uno strumento di analisi, semplice e accurato, che studia i rischi dell’organizzazione (operativi, strategici, finanziari ed esterni) al fine d’individuare successivamente le soluzioni e le misure più adeguate.
Risk Assessment. Il risk assessment definisce, per ogni fase del processo, quali sono gli eventi critici o i possibili problemi associati, i potenziali effetti del manifestarsi dei suddetti problemi, le potenziali cause e quali sono i controlli in essere per garantire che il pericolo/rischio sia sotto controllo. Per ciascun processo, l’appaltatore dovrà condurre un’analisi del rischio, al fine di evidenziare tutte le criticità che dovranno essere poste sotto controllo e accuratamente gestite, anche secondo il sistema di change control.
Risk Assessment. In un questo ambito si inquadrano tutte le attività volte a ridurre al minimo i rischi di perdita dati, disservizi e accessi indebiti da parte di soggetti non autorizzati, anche da parte di hacker esterni. Una parte di queste attività vengono svolte dalle funzioni di IPS/IDS integrate nei sistemi firewall Fortinet regionali utilizzati anche dai sistemi informativi di Veneto Lavoro in hosting presso Direzione ICT di Regione del Veneto.
1.5.1. Potenziamento della piattaforma hardware
Risk Assessment. La prima fase prevede individuare di tutti i rischi connessi alla gestione e alla conduzione dell’intero progetto. I rischi individuati tempestivamente possono essere trattati con successo. L'efficiente identificazione e valutazione di un rischio dipende da: • la conoscenza e la comprensione costante e completa degli obiettivi; • l’esperienza maturata in situazioni analoghe che consenta di tracciare e alimentare le cosiddette “lessons learned” che costituiscono un bagaglio culturale di utile riuso.