[DOCS] guida.html: allineata alle nuove funzionalita (FAIR/KRI, benchmark, ingestion SIEM, attestation/versioning policy, self-assessment fornitori, import CMDB, monitoraggio continuo, connettori per-azienda)
10 sezioni aggiunte nei capitoli pertinenti (cap-3/4/6/7/8/9/11/12), stile coerente con l'esistente (in parole semplici / esempio / cosa dice la norma). Ancore cap-X invariate (help.js continua a linkare i capitoli giusti). HTML bilanciato. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
DevEnv nis2-agile
parent
634c3bfc87
commit
5e2534e23a
@ -274,6 +274,16 @@
|
||||
spalmate, con 2 persone (un IT e un compliance). Non puntare alla perfezione subito: meglio
|
||||
coprire <em>tutte</em> le 10 categorie al 50% che 3 al 100% e 7 a zero.
|
||||
</div>
|
||||
|
||||
<h3>Benchmark settoriale (anonimo)</h3>
|
||||
<p>Nella Dashboard trovi un confronto del tuo punteggio di compliance con la <strong>media del tuo
|
||||
settore</strong>, calcolata sulla rete delle aziende che usano la piattaforma. Vedi dove ti collochi
|
||||
(top 25%, sopra/sotto la mediana) e lo scarto rispetto alla media. È un dato che i tool tradizionali
|
||||
non possono offrire, perché serve una rete multi-azienda.</p>
|
||||
<div class="callout-tip">
|
||||
<strong>Privacy.</strong> Il confronto è <strong>anonimo e aggregato</strong>: appare solo se nel
|
||||
tuo settore ci sono almeno 3 organizzazioni, e non mostra mai i dati di una singola azienda.
|
||||
</div>
|
||||
</section>
|
||||
|
||||
<!-- Cap 5 -->
|
||||
@ -414,6 +424,30 @@
|
||||
Le politiche di analisi dei rischi e di sicurezza dei sistemi informatici devono essere documentate,
|
||||
approvate dagli organi di vertice, e aggiornate almeno una volta l'anno.
|
||||
</div>
|
||||
|
||||
<h3>Analisi quantitativa FAIR (vista "Quantitativo")</h3>
|
||||
<p>Oltre alla matrice qualitativa, puoi stimare il rischio in <strong>euro</strong>: quanto ti
|
||||
costerebbe mediamente all'anno. Inserisci la frequenza attesa degli eventi (TEF: minimo, probabile,
|
||||
massimo), la vulnerabilità (da 0 a 1) e la perdita per evento (minima, probabile, massima). La
|
||||
piattaforma esegue una <strong>simulazione Monte Carlo</strong> e restituisce la
|
||||
<strong>Perdita Annua Attesa (ALE)</strong> con i percentili P10 / P50 / P90 e un istogramma.</p>
|
||||
<div class="example-box">
|
||||
<strong>Esempio.</strong> Ransomware: 0,5–2 attacchi/anno (probabile 1), vulnerabilità 0,3,
|
||||
perdita 50k–2M € (probabile 300k). Risultato: ALE media ≈ 175.000 € l'anno. Un numero così parla
|
||||
alla Direzione meglio di "rischio alto" e aiuta a giustificare gli investimenti di sicurezza.
|
||||
</div>
|
||||
<p>Il <strong>Registro Quantitativo</strong> somma l'ALE di tutti i rischi quantificati, dando
|
||||
l'esposizione economica complessiva del portafoglio.</p>
|
||||
|
||||
<h3>Indicatori chiave di rischio – KRI (vista "KRI")</h3>
|
||||
<p>I KRI sono <strong>sensori</strong> che monitorano nel tempo segnali di rischio (es. "% endpoint
|
||||
senza MFA", "n. vulnerabilità critiche aperte"). Per ogni indicatore definisci un valore corrente e
|
||||
due soglie (attenzione e critica): la piattaforma calcola da sola lo stato a <strong>semaforo</strong>
|
||||
– verde, ambra, rosso – in base al valore e alla direzione (se valori alti o bassi sono peggio).</p>
|
||||
<div class="example-box">
|
||||
<strong>Esempio.</strong> KRI "% endpoint senza MFA": soglia attenzione 10%, critica 25%. Valore
|
||||
attuale 18% → semaforo <strong>ambra</strong>. Sale a 30% → <strong>rosso</strong>: intervento prioritario.
|
||||
</div>
|
||||
</section>
|
||||
|
||||
<!-- Cap 7 -->
|
||||
|
||||
Loading…
Reference in New Issue
Block a user