Report sui rischi informatici

Il report sui rischi informatici fornisce una visione strutturata dei rischi di sicurezza informatica di un'organizzazione, della sua attuale posizione di sicurezza e delle strategie di mitigazione dei rischi. Utilizza questo report per ottenere chiarezza, trasparenza e informazioni utili sui rischi di sicurezza informatica e sul loro potenziale impatto sugli obiettivi aziendali.

Questo report funge da strumento di comunicazione strategica, colmando il divario tra le operazioni tecniche di sicurezza informatica e il processo decisionale aziendale. Consente alla leadership di prendere decisioni informate e basate sul rischio e allinea le iniziative di sicurezza informatica agli obiettivi aziendali generali.

Creare il proprio dashboard di analisi utilizzando le funzionalità di creazione dei rapporti personalizzabili. Regolare gli elementi visivi e il layout e aggiungere narrazioni per le discussioni del consiglio. È inoltre possibile condividere la dashboard con i siti Boards, consentendo la condivisione e la pubblicazione delle relazioni all'interno della piattaforma Diligent One.

Accedere ai modelli di creazione di rapporti nel Centro attività

Prerequisito

I modelli di creazione di rapporti devono essere distribuiti e abilitati automaticamente nel Centro attività. Per assistenza contattare il proprio Customer Success Manager.

Per informazioni sull'accesso e sull'utilizzo dei modelli di rapporto nel Centro attività, consulta .

Connettere le dashboard ai siti di Boards

Per informazioni sulla connessione delle dashboard del Centro attività ai siti Boards, consulta Diligent One: Connettere le dashboard Centro attività ai siti Boards .

Comprensione della struttura delle dashboard

Il report sui rischi informatici offre diverse caratteristiche chiave, progettate per fornire approfondimenti completi sul rischio informatico e agevolare il processo decisionale basato sui dati. La struttura delle dashboard è composta da sei schede che consentono di creare una narrazione e presentare i risultati al consiglio di amministrazione. Include immagini e KPI che indicano le minacce e le vulnerabilità informatiche attuali ed emergenti, una visione cronologica delle prestazioni e dei miglioramenti della tua organizzazione in materia di sicurezza informatica. Selezionare ciascuna scheda per saperne di più.

Questa scheda presenta una panoramica concisa di informazioni critiche sulla sicurezza informatica, adatte a discussioni a livello di consiglio di amministrazione. È possibile visualizzare informazioni contestuali insieme a metriche chiave selezionate da altre sezioni del report, assicurando che il consiglio di amministrazione possa prendere decisioni informate sulla base di una narrazione chiara e mirata.

Elementi visivi disponibili

In questa sezione sono disponibili i seguenti elementi visivi:

Sintesi

Usa questa sezione per fornire un contesto strategico, evidenziare le tendenze e descrivere in dettaglio le iniziative di mitigazione del rischio, rendendo rapido il processo decisionale da parte dei dirigenti.

Panorama delle minacce

Questa immagine presenta una panoramica dell'attuale panorama delle minacce alla sicurezza informatica, riassumendo le minacce più importanti per la tua organizzazione.

Benchmarking

Questa sezione evidenzia le valutazioni storiche del rischio di sicurezza informatica da parte di piattaforme come BitSight, consentendo un confronto con gli standard del settore.

  • Valutazioni del rischio di BitSightLe valutazioni del rischio di BitSight sono punteggi numerici che vanno da 250 a 900, basati su dati in tempo reale, oggettivi e non intrusivi raccolti da fonti pubblicamente disponibili. Usa i grafici a linee per visualizzare le valutazioni storiche sulla sicurezza informatica della tua organizzazione. Questa visualizzazione ti aiuta a monitorare l'andamento dell'efficacia della sicurezza informatica nel tempo.
  • Maturità del NIST Cyber Security FrameworkIl framework di maturità, sviluppato dal National Institute of Standards and Technology (NIST), fornisce linee guida strutturate, best practice e standard per aiutare la tua organizzazione a gestire e ridurre i rischi di sicurezza informatica. Questi livelli di maturità vanno da "Ad hoc" a "Ottimizzato", indicando la progressione da pratiche iniziali e non strutturate a processi di sicurezza informatica completamente ottimizzati e integrati.

Rischi chiave

Ottieni informazioni dettagliate sui rischi più urgenti per la sicurezza informatica, compreso il loro stato e le azioni necessarie per mitigarli.

  • RiepilogoPrepara una panoramica concisa dei rischi più critici che sono stati identificati, delle loro tendenze e di eventuali cambiamenti rispetto all'ultima revisione.
  • Registro del rischioEvidenzia i rischi critici che hanno subito cambiamenti significativi dall'ultima revisione. La tabella include i rischi ritenuti critici in base alla gravità, ai fattori di valutazione del rischio e ad altri criteri concordati. Descrive le iniziative come i piani di rimedio, il proprietario del rischio e la tempistica per affrontarlo.
  • Rischio critico In ritardoQuesta rappresentazione visiva evidenzia lo stato dei rischi critici distinguendo tra quelli completati in tempo e quelli in ritardo.

Incidenti

La sezione riassume la frequenza e la natura degli incidenti di sicurezza informatica segnalati, presentando queste informazioni in un formato comprensibile.

  • RiepilogoRiassumi il numero di incidenti critici segnalati in ogni trimestre, insieme alle azioni intraprese per risolverli e alle eventuali azioni in sospeso.
  • Incidenti per trimestreQuesto grafico illustra il numero di incidenti informatici registrati e segnalati in ogni trimestre dell'anno.

Iniziative

Ottieni dettagli sulle iniziative di sicurezza informatica in corso o proposte per migliorare la posizione di sicurezza della tua organizzazione.

  • Completato e RisultatiEvidenzia le iniziative significative che sono state completate e il loro impatto.
  • PrioritarioEvidenzia alcune iniziative chiave o strategiche che sono state rese prioritarie nel prossimo trimestre e il loro impatto.

Questa scheda fornisce le definizioni e le spiegazioni di tutti i termini chiave, i KPI e i concetti tecnici inclusi nel report sul rischio informatico per una rapida consultazione. Ti permette di avere una comprensione comune e accessibile del linguaggio complesso o tecnico utilizzato in altre parti del report, favorendo una comunicazione chiara e un processo decisionale più efficace.

In questa sezione vengono illustrati i seguenti termini:

  • La Gestione delle vulnerabilità è un processo proattivo finalizzato all'identificazione, alla valutazione, alla mitigazione e al monitoraggio delle vulnerabilità nei sistemi, nelle reti e nel software di un'organizzazione per ridurre i rischi di sicurezza informatica.

  • Gli Strumenti di scansione sono utilizzati per identificare le vulnerabilità e valutare i rischi di sicurezza all'interno dell'infrastruttura IT di un'organizzazione. Questi strumenti aiutano a monitorare e analizzare continuamente i sistemi per individuare i punti deboli della sicurezza che potrebbero essere sfruttati dai malintenzionati.

  • Il Test di penetrazione identifica le vulnerabilità, i punti deboli e le lacune di sicurezza nell'infrastruttura IT di un'organizzazione e aiuta a valutare le difese di sicurezza, a determinare i potenziali vettori di attacco e ad assistere le organizzazioni nella mitigazione dei rischi prima che gli aggressori reali possano sfruttarli.

  • Il software Security Incident and Event Management (SIEM) consolida in tempo reale le informazioni e gli eventi relativi alla sicurezza di un'organizzazione. Svolge un ruolo fondamentale nell'identificazione, nella gestione e nella risposta agli incidenti di sicurezza, fornendo una visione completa della posizione di sicurezza di un'organizzazione.

  • La Gestione degli incidenti è un processo strutturato per ridurre al minimo l'impatto degli incidenti di sicurezza, ripristinare rapidamente le normali operazioni e prevenire eventi futuri.

  • Il NIST CSF Cyber Security Framework è un framework che fornisce linee guida strutturate, best practice e standard per identificare, proteggere, rilevare, rispondere e recuperare dalle minacce informatiche.

Questa scheda ti aiuta a monitorare lo stato degli audit sui vari prodotti o servizi, facendo riferimento a framework comuni come System and Organization Controls 2 (SOC 2) e Health Insurance Portability and Accountability Act (HIPAA). Ottieni un riepilogo dei risultati dei controlli recenti, identifica le aree di non conformità e vedi quali prodotti o domini hanno superato il controllo.

Elementi visivi disponibili

In questa sezione sono disponibili i seguenti elementi visivi:

Conformità/Audit

Utilizza questa sezione per registrare lo stato dei tuoi report di audit per prodotto o servizio.

Stato del report di audit (per prodotto/servizio)Questo grafico illustra lo stato degli audit condotti su vari prodotti o servizi. Mostra quali prodotti o servizi sono stati sottoposti ad audit, i vari framework di audit utilizzati, come SOC2 e HIPAA, e lo stato di questi audit.

Formazione sulla sicurezza

Usa questa sezione per monitorare le analisi della tua formazione sulla sicurezza e preparare il report sul completamento della campagna di sensibilizzazione alla sicurezza.

Completamento delle campagne di sensibilizzazione sulla sicurezza Questo grafico tiene traccia del completamento dei programmi di sensibilizzazione sulla sicurezza, indicando la percentuale di dipendenti o appaltatori che hanno completato la formazione obbligatoria o volontaria sulla sicurezza informatica.

Test di penetrazione

Usa questa sezione per riepilogare i problemi in sospeso identificati in base alla gravità e al tempo medio necessario per rimediare ai problemi ad alto rischio.

  • Problemi in sospeso identificati per gravità Questo grafico mostra l'intensità dei problemi in sospeso identificati durante gli audit o i controlli di conformità. La gravità viene misurata come critica, alta, media o bassa. Questo aiuta a capire la proporzione dei problemi in base alla loro gravità.

  • Tempo medio per rimediare alle issue ad alto rischio Questa metrica tiene conto del tempo medio impiegato per rimediare alle issue ad alto rischio identificate durante gli audit e fornisce indicazioni sull'efficienza della risposta della tua organizzazione alle vulnerabilità critiche.

Questa scheda dimostra la solidità del piano di risposta agli incidenti della tua organizzazione. È supportata da dati quantitativi ed enfatizza il rilevamento, la diagnosi, la riparazione e la prevenzione degli incidenti.

Elementi visivi disponibili

In questa sezione sono disponibili i seguenti elementi visivi:

Gestione degli incidenti

Usa questa sezione per identificare, evidenziare e spiegare i periodi in cui si sono verificati aumenti o diminuzioni significativi e non caratteristici degli incidenti di sicurezza informatica della tua organizzazione. Puoi includere commenti e dati acquisiti dal sistema di gestione degli incidenti della tua organizzazione.

Tendenza trimestrale degli incidentiOttieni una metrica di alto livello sulla generazione di avvisi o sul numero di incidenti registrati in un periodo di tempo specifico, ad esempio mensile, trimestrale o semestrale. I rischi in questo grafico sono classificati in base al loro livello di gravità su una scala di priorità critica, alta, media e bassa.

Identificazione dell'incidente

Usa questa sezione per preparare una metrica di alto livello sulla generazione di avvisi o sul numero di incidenti registrati in un periodo di tempo specifico, ad esempio mensile, trimestrale o semestrale.

Tendenza trimestrale degli incidentiQuesto grafico classifica gli incidenti in base alle fonti da cui sono stati raccolti. Le informazioni riportate in questo grafico provengono dalle seguenti fonti:

  • Audit si riferisce agli incidenti identificati durante gli audit di sicurezza.

  • Monitoraggio continuo riguarda incidenti identificati attraverso sistemi automatizzati che monitorano continuamente la rete e i sistemi della tua organizzazione per individuare eventuali anomalie o violazioni della sicurezza.

  • Quelli Riferiti dai clienti sono incidenti segnalati dai clienti. Ciò potrebbe includere feedback o reclami di clienti che hanno riscontrato problemi potenzialmente indicativi di un incidente di sicurezza.

  • Quelli Riferiti dai dipendenti sono incidenti segnalati dai dipendenti. I dipendenti possono notare attività sospette o potenziali violazioni della sicurezza e segnalarle al team IT o di sicurezza.

Divulgazione degli incidenti

Utilizza questa sezione per segnalare e analizzare gli incidenti di sicurezza informatica considerati rilevanti in base a fattori quantitativi e qualitativi.

Informativa 8K si riferisce a un report richiesto dalla Securities and Exchange Commission (SEC) degli Stati Uniti. Tutte le società quotate in borsa devono presentare questo report per divulgare gli eventi materiali che potrebbero influenzare gli azionisti o gli investitori. Lo scopo dell'Informativa 8K è garantire la trasparenza e la segnalazione tempestiva di eventi aziendali significativi, compresi gli incidenti di sicurezza informatica considerati rilevanti.

  • Ultimo aggiornamento mostra la data più recente in cui è stato aggiornato il report di divulgazione di un'azienda.

  • Data di divulgazione mostra la data in cui è stato depositato il report di divulgazione di una società.

  • Azienda visualizza il nome dell'azienda che ha presentato il report di divulgazione.

Questa scheda si concentra sul processo proattivo di identificazione, valutazione, mitigazione e monitoraggio delle vulnerabilità all'interno dei sistemi, delle reti e del software della tua organizzazione.

Elementi visivi disponibili

In questa sezione sono disponibili i seguenti elementi visivi:

Gestione delle vulnerabilità

Delinea le vulnerabilità attuali della tua organizzazione, evidenziando gli risorse ad alto rischio e le vulnerabilità critiche che richiedono attenzione immediata.

Vulnerabilità di produzioneUtilizza il grafico per avere una visione dei dati storici che mostrano la proporzione di vulnerabilità aperte rispetto a quelle risolte per valutare l'allocazione delle risorse destinate alla correzione. La linea rossa rappresenta le vulnerabilità aperte e quella grigia le vulnerabilità risolte.

Reattività alle vulnerabilità

Valuta la rapidità e l'efficacia con cui la tua organizzazione risponde alle vulnerabilità identificate.

Vulnerabilità di produzione aperteQuesto grafico fornisce un'idea del livello di reattività della tua organizzazione nel reagire ai risultati delle vulnerabilità segnalate. Il grafico include metriche come il tempo medio di intervento e/o il tempo medio di riparazione, misurati rispetto a uno SLA definito nella Policy di gestione delle vulnerabilità, per mostrare la tua reattività.

SLA di correzione

Fornisci aggiornamenti sugli SLA, che sono accordi formalizzati che definiscono le tempistiche e le responsabilità previste per affrontare e risolvere le vulnerabilità identificate.

Vulnerabilità delle infrastrutture critiche e di alto livello - Conformità agli SLAQuesto grafico illustra la percentuale di vulnerabilità risolte entro la scadenza prevista, in base alla gravità del rischio.

Usa questa sezione per concentrarti sulla valutazione e sulla gestione dei rischi posti dai tuoi fornitori e dai sistemi informatici di terze parti. Questa sezione valuta i progressi della tua organizzazione nell'identificare questi rischi e le misure adottate per gestirli.

Elementi visivi disponibili

In questa sezione sono disponibili i seguenti elementi visivi:

Classificazione di terze parti e fornitori

Classifica i fornitori in base alla criticità dei servizi che forniscono, ad esempio rischio critico, alto, medio o basso. Questa classificazione aiuta a dare priorità agli sforzi per gestire le relazioni più rischiose.

Venditori per classificazioneUsa questa rappresentazione visiva per classificare i fornitori in base al livello di rischio che rappresentano per la tua organizzazione. Questa tabella classifica i fornitori in categorie come rischio critico, alto, medio e basso.

Valutazioni del rischio di terze parti e fornitori

Identifica il rischio associato ai fornitori di terze parti includendo metriche come il numero e la percentuale di fornitori che rientrano negli SLA di valutazione del rischio.

Fornitori che rientrano nello SLA di valutazione del rischioUtilizza questo grafico per verificare se le valutazioni del rischio per i fornitori terzi vengono condotte entro le scadenze previste dall'accordo sul livello di servizio (SLA). Lo SLA determina la frequenza e le scadenze per l'esecuzione delle valutazioni del rischio, in particolare per i fornitori identificati come ad alto rischio o critici.