Get 4 FREE months of Conformio to implement ISO 27001

ISO 27001 Valutazione, trattamento e gestione del rischio: la guida completa

ISO 27001 Valutazione, trattamento e gestione del rischio: la guida completa - 27001Academy
Sofrware per la conformità alla iso 27001
ISO 27001 Valutazione, trattamento e gestione del rischio: la guida completa - 27001Academy
MODELLI PER ISO 27001
ISO 27001 Valutazione, trattamento e gestione del rischio: la guida completa - 27001Academy
CORSI SU ISO 27001
La gestione del rischio

Che cos'è la gestione del rischio e perché è importante?

La gestione del rischio è probabilmente la parte più complessa dell'implementazione della ISO 27001 ma, allo stesso tempo, è il passo più importante all'inizio del tuo progetto per la sicurezza delle informazioni: pone le basi per la sicurezza delle informazioni nella tua azienda.

La gestione del rischio consta di due elementi principali: la valutazione del rischio (spesso chiamata analisi del rischio) e il trattamento del rischio.

Ma cosa sono effettivamente la valutazione e il trattamento del rischio e qual è il loro scopo? La valutazione del rischio è un processo durante il quale un'organizzazione deve identificare i rischi per la sicurezza delle informazioni e determinarne la probabilità e l'impatto. In parole povere, l'organizzazione deve riconoscere tutti i potenziali problemi con le relative informazioni, quanto è probabile che si verifichino e quali potrebbero essere le conseguenze.

Lo scopo del trattamento del rischio è scoprire quali controlli di sicurezza (cioè misure di protezione) sono necessari per evitare quei potenziali incidenti: la selezione dei controlli è chiamata processo di trattamento del rischio e nella ISO 27001 sono scelti dall'allegato A, che specifica 114 controlli diversi.

Le fasi principali nella valutazione e nel trattamento del rischio ISO 27001:
  1. Metodologia di gestione del rischio
  2. Valutazione del rischio
  3. Trattamento del rischio
  4. Rapporto di valutazione e trattamento del rischio
  5. Dichiarazione di applicabilità
  6. Piano di trattamento del rischio

La valutazione e il trattamento del rischio ISO 27001: le sei fasi principali

Sebbene la gestione del rischio nella ISO 27001 sia un lavoro complesso, molto spesso è inutilmente mal indirizzato. Questi sei passaggi di base faranno luce su ciò che devi fare:

1) Metodologia della valutazione del rischio ISO 27001

Questo è il primo passo del tuo viaggio attraverso la gestione del rischio nella ISO 27001. Devi definire le regole su come svolgerai la gestione del rischio, perché vuoi che l'intera organizzazione lo faccia allo stesso modo: il problema più grande con la valutazione del rischio si verifica quando parti diverse dell'organizzazione la eseguono in modi diversi. Pertanto, è necessario definire se si desidera una valutazione del rischio qualitativa o quantitativa, quali scale verranno utilizzate per la valutazione qualitativa, quale sarà il livello di rischio accettabile, ecc.

2) Implementazione della valutazione del rischio

Una volta che conosci le regole, puoi iniziare a scoprire quali potenziali problemi potrebbero verificarsi: devi elencare tutte le tue risorse, quindi le minacce e le vulnerabilità relative a tali risorse, valutare l'impatto e la probabilità per ciascuna combinazione di risorse/minacce/vulnerabilità e infine calcolare il livello di rischio.

Secondo la mia esperienza, le aziende di solito sono consapevoli solo del 30% dei loro rischi. Pertanto, probabilmente troverai questo tipo di esercizio piuttosto rivelatore: quando avrai finito, inizierai ad apprezzare lo sforzo che hai fatto.

3) Implementazione del trattamento del rischio

Naturalmente, non tutti i rischi sono uguali: devi concentrarti su quelli più importanti, i cosiddetti "rischi non accettabili".

Quando si implementa il trattamento del rischio nella ISO 27001, ci sono quattro opzioni tra cui scegliere per gestire (ovvero mitigare) ogni rischio non accettabile, come spiegato più avanti in questo articolo.

4) Rapporto di valutazione e trattamento del rischio

A differenza dei passaggi precedenti, questa fase è piuttosto noiosa: devi documentare tutto ciò che hai fatto finora. Questo non va fatto solo per gli auditor, poiché potresti voler controllare tu stesso questi risultati tra un anno o due.

5) Dichiarazione di Applicabilità

Questo documento mostra effettivamente il profilo della sicurezza della tua azienda: in base ai risultati del trattamento del rischio nella ISO 27001, devi elencare tutti i controlli che hai implementato, perché li hai implementati e in che modo. Questo documento è anche molto importante perché l'auditor di certificazione lo utilizzerà come linea guida principale per l'audit.

Per i dettagli su questo documento, vedere questo articolo: The importance of Statement of Applicability for ISO 27001.

6) Piano di trattamento del rischio

Questa è la fase in cui devi passare dalla teoria alla pratica. Siamo sinceri: fino ad ora, l'intero lavoro di gestione del rischio era puramente teorico, ma ora è il momento di mostrare alcuni risultati concreti.

Questo è lo scopo del Piano di trattamento del rischio: definire esattamente chi implementerà ciascun controllo, in quale periodo, con quale budget, ecc. Preferirei chiamare questo documento un "Piano di implementazione" o "Piano di azione", ma atteniamoci alla terminologia utilizzata nella ISO 27001.

E questo è tutto: hai iniziato il tuo viaggio dal non sapere come impostare la sicurezza delle informazioni fino ad avere un quadro molto chiaro di ciò che devi implementare. Il punto è che la ISO 27001 ti obbliga a fare questo viaggio in modo sistematico.

In che modo la ISO 27005 aiuta nella gestione del rischio?

La ISO/IEC 27005 è una norma dedicata esclusivamente alla gestione dei rischi per la sicurezza delle informazioni. È molto utile se si desidera ottenere informazioni più approfondite sulla valutazione e sul trattamento dei rischi per la sicurezza delle informazioni, ovvero se si desidera lavorare come consulente o forse come responsabile della sicurezza delle informazioni/responsabile del rischio su base permanente.

Tuttavia, se stai solo cercando di fare una valutazione del rischio una volta all'anno, questa norma probabilmente non è necessaria per te.

Scopri come eseguire la valutazione e il trattamento del rischio secondo ISO 27001. Leggi ora la guida completa alla gestione del rischio ISO 27001

Come scrivere la metodologia di valutazione del rischio per la ISO 27001


Molte aziende rendono la valutazione e il trattamento del rischio troppo difficili definendo una metodologia e un processo di valutazione del rischio ISO 27001 sbagliati (o non definendo affatto la metodologia).

Cosa richiede realmente la ISO 27001?

La ISO 27001 richiede di documentare l'intero processo di valutazione del rischio (paragrafo 6.1.2), e questo di solito viene fatto nel documento chiamato Metodologia di valutazione del rischio. Sfortunatamente, è proprio qui che troppe aziende commettono il primo grande errore: iniziano a implementare la valutazione del rischio senza la metodologia, in altre parole, senza definire delle regole chiare su come farlo.

Ci sono molti miti su come dovrebbe essere la valutazione del rischio, ma in realtà i requisiti ISO 27001:2013 non sono molto difficili – ecco cosa richiede la clausola 6.1.2:

  1. Definire come identificare i rischi che potrebbero causare la perdita di riservatezza, integrità e/o disponibilità delle tue informazioni.
  2. Definire come identificare i proprietari del rischio.
  3. Definire i criteri per valutare le conseguenze e valutare la probabilità del rischio.
  4. Definire come verrà calcolato il rischio.
  5. Definire i criteri per l'accettazione del rischio.

Quindi, in sostanza, devi definire questi cinque elementi: qualunque cosa non li includa tutti non sarà sufficiente ma, soprattutto, non è necessario aggiungere niente di più, il che significa: non complicare troppo le cose.

E sì, devi assicurarti che i risultati della valutazione del rischio siano coerenti, cioè devi definire una metodologia che produca risultati comparabili in tutti i reparti della tua azienda.

Quali sono le opzioni disponibili?

Naturalmente, ci sono molte opzioni disponibili per i cinque elementi di cui sopra: ecco cosa puoi scegliere:

Identificazione del rischio. Nella revisione del 2005 della ISO 27001, è stata prescritta la metodologia per l'identificazione: era necessario identificare risorse, minacce e vulnerabilità. L'attuale revisione del 2013 della ISO 27001 non richiede tale identificazione, il che significa che puoi identificare i rischi in base ai tuoi processi, in base ai tuoi reparti, utilizzando solo minacce e non vulnerabilità, o qualsiasi altra metodologia che ti piace; tuttavia, la mia preferenza personale è ancora il buon vecchio metodo risorse-minacce-vulnerabilità. (Vedi anche questo list of threats and vulnerabilities.)

I proprietari del rischio. Fondamentalmente, devi scegliere una persona che sia interessata a risolvere un rischio e sia posizionata abbastanza in alto nell'organizzazione per fare qualcosa al riguardo. Vedi anche questo articolo: Risk owners vs. asset owners in ISO 27001:2013.

Valutare le conseguenze e la probabilità. Devi valutare separatamente le conseguenze e la probabilità per ciascuno dei tuoi rischi; sei completamente libero di usare la scala che preferisci, ad esempio Basso-Medio-Alto, o da 1 a 5, o da 1 a 10, qualunque cosa sia più adatta alla tua azienda. Naturalmente, se vuoi semplificare le cose, scegli la scala Basso-Medio-Alto.

Metodo di calcolo del rischio. Questo di solito viene fatto tramite addizione (ad es. 2 + 5 = 7) o tramite moltiplicazione (ad es. 2 x 5 = 10). Se usi la scala Basso-Medio-Alto, è come usare la scala 1-2-3, quindi hai i numeri per effettuare il calcolo.

Criteri per l'accettazione dei rischi. Se il tuo metodo di calcolo del rischio produce valori da 2 a 10, allora puoi decidere che un livello di rischio accettabile è, ad esempio, 7 – ciò significherebbe che solo i rischi valutati a 8, 9 e 10 necessitano di trattamento. In alternativa, puoi esaminare ogni singolo rischio e decidere quale debba essere trattato o meno in base alla tua intuizione ed esperienza, senza utilizzare valori predefiniti. Anche questo articolo può esserti d’aiuto: Why is residual risk so important?

Nella sezione "Valutazione del rischio", troverai informazioni su come eseguire la valutazione del rischio.

La metodologia prima, tutto il resto dopo

Quindi, il punto è questo: non devi iniziare a valutare i rischi usando un foglio che hai scaricato da qualche parte su Internet: questo foglio potrebbe utilizzare una metodologia completamente inadatta per la tua azienda. Non devi iniziare a utilizzare la metodologia prescritta dallo strumento di valutazione del rischio che hai acquistato; dovresti invece scegliere lo strumento di valutazione del rischio che si adatta alla tua metodologia. (Oppure potresti decidere che non hai affatto bisogno di uno strumento e che puoi farlo usando dei semplici fogli Excel.)

In ogni caso, non dovresti iniziare a valutare i rischi prima di aver adattato la metodologia alla tua situazione specifica e alle tue esigenze.

Suggerimenti per la gestione del rischio per le aziende più piccole

Ho visto molte piccole aziende tentare di utilizzare un software per la gestione del rischio come parte del loro progetto di implementazione ISO 27001 che era probabilmente molto più adatto a delle grandi aziende. Il risultato è che di solito ci impiega troppo tempo e denaro per ottenere un effetto scarso.

Ecco alcuni suggerimenti su come rendere più gestibile la gestione del rischio per le aziende più piccole:

  • Scegli la metodologia giusta. La metodologia deve essere semplificata e contenere solo i cinque elementi richiesti dalla ISO 27001. Se finisci per utilizzare una metodologia che hai copiato da una grande azienda, ti troverai a fare una valutazione e trattamento del rischio che ti prenderà mesi invece che un paio di giorni.
  • Scegli lo strumento giusto. Trova il software che segue la tua metodologia (semplificata), non il contrario. In alcuni casi, un buon modello Excel farà un lavoro migliore rispetto a un software complicato.
  • Includi le persone giuste. Non devi provare a farlo da solo; dovresti includere i capi di tutti i tuoi reparti perché conoscono meglio i loro processi, il che significa che sanno dove potrebbero verificarsi potenziali problemi.
  • Non cercare di essere perfetto. Non cercare di trovare tutti i rischi la prima volta che lo fai: ti rallenterà soltanto; invece, dovresti completare la valutazione e il trattamento del rischio e tornare più tardi per aggiungere eventuali rischi mancanti.

Per concludere: la valutazione e il trattamento del rischio sono davvero i fondamenti della sicurezza delle informazioni / ISO 27001, ma ciò non significa che debbano essere complicati. Puoi farlo in modo semplice e il tuo buon senso è ciò che conta davvero.

Come affrontare le opportunità nella gestione del rischio della ISO 27001 utilizzando la ISO 31000

Quando le organizzazioni pensano ai rischi, generalmente si concentrano su ciò che potrebbe andare storto e adottano delle misure per prevenirlo, o almeno per minimizzarne gli effetti. Ma i rischi possono anche significare che può succedere qualcosa di buono e, non essendo pronti a sfruttare la situazione, se ne possono perdere i benefici.

Questa sezione illustrerà come considerare e gestire i rischi positivi, noti anche come opportunità, nel contesto della ISO 27001. Includendo le opportunità in un approccio SGSI, le organizzazioni possono aumentare i vantaggi della sicurezza delle informazioni.

In che modo la ISO 27001 definisce e tratta i rischi

Per la ISO 27001, il rischio è "l'effetto dell'incertezza sugli obiettivi" e "l'incertezza" è il motivo per cui non possiamo controllare completamente tutti i rischi (dopotutto, non puoi difenderti da ciò che non conosci o non capisci).

La stessa ISO 27001 non prescrive come trattare i rischi, mentre la norma di supporto, la ISO 27005, suggerisce quattro opzioni: modifica del rischio, mantenimento del rischio, prevenzione del rischio e condivisione del rischio. Informazioni dettagliate su queste opzioni di trattamento del rischio possono essere trovate più avanti nell'articolo, ma in breve, tutte le opzioni mirano a ridurre la probabilità che si verifichi un rischio e/o minimizzarne gli effetti; cioè, considerano gli scenari in cui qualcosa potrebbe andare storto.

Sebbene questo approccio possa essere stato appropriato all'inizio della norma, le organizzazioni oggi non possono più semplicemente pensare in termini di cosa può andare storto in relazione alla sicurezza delle informazioni.

Opzioni relative alle opportunità per la sicurezza delle informazioni

Nella norma più completa dell'ISO sulla gestione del rischio, la ISO 31000 – Gestione del rischio – Linee guida, oltre alle opzioni per gestire i rischi negativi, un'organizzazione può anche prendere in considerazione l’accettazione o l'aumento del rischio per perseguire un'opportunità, che può essere raggiunta attraverso:

  • Aumento del rischio – Ciò include l'adozione di misure per aumentare la probabilità che si verifichi un rischio. Questo può essere considerato come la controparte dell'opzione di mitigazione del rischio per i rischi negativi. Ad esempio, per cogliere l'opportunità di aumentare la produttività, un'organizzazione decide di implementare l'accesso remoto condividendo le risorse e il personale esistenti per creare ed eseguire il servizio che, di fatto, aumenta i rischi.
  • Sfruttamento del rischio – Ciò significa intraprendere ogni possibile azione per garantire che il rischio si realizzi. Si differenzia dall'opzione di aumento del rischio per il fatto che richiede maggiori sforzi e risorse per garantire efficacemente che il rischio si realizzi. Questo può essere considerato come la controparte dell'opzione di evitare il rischio per i rischi negativi. Ad esempio, quando vuoi lasciare che un rischio con un impatto ridotto si concretizzi perché vorresti testare il funzionamento della tua procedura di risposta agli incidenti.

Inoltre, la condivisione del rischio e l'accettazione del rischio possono essere utilizzate anche nel contesto della gestione delle opportunità.

  • Condivisione delle opportunità. Quando un'organizzazione si rende conto che, da sola, non può sfruttare i vantaggi di un'opportunità, può condividere il rischio, cercando un partner per dividere i costi e gli sforzi, in modo che entrambi possano condividere l'opportunità che nessuno dei due potrebbe sfruttare da solo. Ciò differisce dalla condivisione dei rischi negativi, perché in quest'ultimo caso l'organizzazione trasferisce a terzi solo i costi di un impatto negativo. Una joint venture tra una società di sviluppo di sistemi e un fornitore di servizi di gestione dei progetti è un buon esempio di condivisione del rischio che considera le opportunità.
  • Non fare niente. L'organizzazione può anche decidere consapevolmente di non fare nulla per l'opportunità (se si verifica, tanto meglio, ma considerando lo sforzo necessario per realizzarla, non vale la pena perseguirla) – questo è simile ad accettare i rischi negativi.

Quando è accettabile aumentare i rischi?

La risposta può sembrare ovvia... e, in effetti, lo è: quando il guadagno è maggiore delle perdite potenziali, e si possono accettare le perdite se si verificano.

Nell'esempio dell’accesso remoto, dovrai considerare non solo le opportunità perse legate a una mancata implementazione del servizio (es. perdita di tempo e fatica del team), ma anche le potenziali perdite legate ai rischi derivanti dall'uso dell'accesso remoto stesso (ad es. perdita della riservatezza delle informazioni).

Se queste potenziali perdite possono essere accettate dall'organizzazione, se dovessero verificarsi e sono inferiori ai potenziali guadagni derivanti dall'aumento della produttività, perché non correre il rischio?

Non solo sperare per il meglio; preparati ad esso

"Sperare nel meglio e prepararsi al peggio" è un motto comune per la pianificazione del rischio, ma in un momento in cui le organizzazioni richiedono il miglior uso delle risorse e ogni opportunità è cruciale, sperare semplicemente nel meglio non funziona più.

Adottando gli approcci di trattamento delle opportunità della ISO 31000 e introducendoli nel processo di gestione del rischio della ISO 27001, le organizzazioni possono svelare e sfruttare una nuova serie di opportunità che possono non solo migliorare le operazioni interne, ma anche aumentare i profitti e la visibilità sul mercato

La valutazione del rischio

Come eseguire la valutazione del rischio nella ISO 27001

Normalmente, eseguire la valutazione del rischio nella ISO 27001 è stressante solo quando si esegue questa operazione per la prima volta, il che significa che la valutazione del rischio non deve essere difficile una volta che sai come è stata eseguita.

Quindi, come puoi prepararti a ridurre questo stress?

Farlo da solo o assumere un consulente?

Poiché la valutazione e il trattamento del rischio sono piuttosto lunghi e complessi, puoi decidere se saranno gestiti dal project manager/responsabile della sicurezza delle informazioni da solo o con l'aiuto di qualche esperto esterno (ad es. un consulente). Un consulente potrebbe essere molto utile per le aziende più grandi, non solo per guidare il responsabile attraverso l'intero processo, ma anche per eseguire parte del processo, ad esempio, un consulente potrebbe fare i workshop e/o le interviste, compilare tutte le informazioni, scrivere i rapporti ecc., mentre il coordinatore dovrebbe gestire l'intero processo e coordinare le persone all'interno dell'azienda.

Le aziende più grandi di solito hanno un project team per l'implementazione della ISO 27001, quindi questo stesso project team prenderà parte al processo di valutazione del rischio: i membri del project team potrebbero effettuare le interviste.

Le aziende più piccole non hanno bisogno di avere un consulente o un project team: sì, il project manager dovrà prima ricevere un po' di formazione, ma con la documentazione e/o gli strumenti appropriati, questo processo può essere eseguito senza l'aiuto di esperti.

Devi usare uno strumento per la valutazione del rischio?

Gli strumenti possono accelerare il processo di valutazione e trattamento del rischio perché devono contenere i cataloghi di risorse, minacce e vulnerabilità; devono essere in grado di compilare i risultati in modo semiautomatico; e anche la produzione dei rapporti dovrebbe essere facile, il che li rende un'ottima scelta per le aziende più grandi.

Tuttavia, per le aziende più piccole, il prezzo di tali strumenti potrebbe essere un ostacolo, anche se a mio avviso un ostacolo ancora più grande è il fatto che tali strumenti a volte sono troppo complessi per le aziende più piccole. In altre parole, il tempo necessario per imparare a lavorare con uno strumento del genere è generalmente molto più lungo di quello necessario per gestire dozzine di fogli Excel. Per non parlare del fatto che tali strumenti di solito richiedono di seguire una metodologia di valutazione del rischio eccessivamente complessa, che potrebbe essere sovradimensionata per le aziende più piccole.

In altre parole, se sei un'azienda piccola, scegli con attenzione lo strumento di valutazione del rischio e assicurati che sia facile da usare per le piccole organizzazioni.

Opzioni per la raccolta delle informazioni

La valutazione del rischio significa che devi ottenere molti input dai tuoi dipendenti - essenzialmente, ci sono tre modi per farlo:

  1. Eseguire la valutazione del rischio tramite interviste: ciò significa che il coordinatore intervisterà la persona o le persone responsabili di ciascun reparto, dove spiegherà prima lo scopo della valutazione del rischio e si assicurerà che ogni decisione della persona responsabile sul livello di rischio (conseguenza e probabilità) abbia senso e non sia influenzata da pregiudizi.
  2. Realizzare dei workshop con le persone responsabili: in questi workshop, il coordinatore spiega a tutte le persone responsabili lo scopo della valutazione del rischio e, attraverso diversi esempi di casi reali, mostra come identificare i rischi e valutarne il livello.
  3. Invia la documentazione con una spiegazione dettagliata – qui non aiuti direttamente le persone responsabili, ma invii loro la metodologia di valutazione del rischio o alcune altre istruzioni su come compilare i fogli di valutazione del rischio, e lo fanno da soli.

L'ultima opzione è probabilmente la più semplice dal punto di vista del coordinatore, ma il problema è che le informazioni raccolte in questo modo saranno di bassa qualità. Se il processo di valutazione del rischio non è molto chiaro per te, sicuramente sarà ancora meno chiaro per gli altri dipendenti della tua azienda, non importa quanto sia piacevole la tua spiegazione scritta.

Naturalmente, fare le interviste produrrà probabilmente risultati migliori; tuttavia, questa opzione spesso non è fattibile perché richiede un grande investimento di tempo da parte del coordinatore. Quindi svolgere workshop molto spesso risulta essere la soluzione migliore.

Chi decide il livello di rischio?

La decisione sul livello di rischio (conseguenza e probabilità) dovrebbe sempre essere lasciata alle persone responsabili delle attività: il coordinatore non conoscerà mai abbastanza bene le risorse, i processi e l’ambiente per prendere tali decisioni, ma le persone che ci lavorano sicuramente lo ne avranno un’idea migliore.

Tuttavia, il coordinatore ha un’altra importante funzione durante il processo di valutazione del rischio: una volta che inizia a ricevere i risultati della valutazione del rischio, deve assicurarsi che abbiano un senso e che i criteri tra i diversi reparti siano uniformi. Anche se i workshop sono stati svolti o è stata fornita una spiegazione durante l’intervista alla persona responsabile, tenderanno sempre a dare un’importanza molto maggiore (ovvero rischi più elevati) al proprio reparto – in questi casi, il coordinatore deve mettere in discussione tale valutazione e chiede a questa persona di riconsiderare la sua decisione.

Non essere un perfezionista

La gestione del rischio in generale, ma in particolare la valutazione e l'analisi del rischio, può sembrare una perfetta opportunità per complicare le cose: poiché i requisiti della ISO 27001 sono piuttosto semplicistici, puoi aggiungere numerosi elementi nel tentativo di rendere il tuo approccio più "scientifico".

Ma devi farti una domanda: il tuo obiettivo è creare una perfetta valutazione del rischio che dovrà essere eseguita per diversi mesi o forse anni (perché è estremamente difficile elencare tutti i potenziali rischi che potrebbero esserci), oppure è il tuo obiettivo di completare questo processo in un lasso di tempo ragionevole, sapendo che non sarà accurato al 100%?

Se scegli quest'ultimo approccio, identificherai i rischi principali e farai in modo che i dipendenti inizino a pensare alla necessità di proteggere le informazioni aziendali. E avrai sempre l'opportunità di aggiungere gli altri rischi in seguito, una volta terminata l'implementazione iniziale. Questo è comunque ciò che la ISO 27001 ti richiede, come parte del miglioramento continuo.

Le fasi principali nella valutazione del rischio nella ISO 27001

La ISO 27001 richiede che la valutazione del rischio abbia cinque fasi principali, le stesse che sono spiegate nella sezione relativa alla metodologia di valutazione del rischio:

  1. Identificazione del rischio (elencare risorse, minacce e vulnerabilità)
  2. Assegnazione dei proprietari del rischio (soggetti responsabili del rischio)
  3. Analisi del rischio (valutazione delle conseguenze e della probabilità)
  4. Calcolo del rischio (determinazione del livello di rischio)
  5. Valutazione del rischio (accettazione dei rischi in base ai criteri determinati)

Ciascuna di queste fasi è descritta nelle sezioni seguenti.

Come abbinare risorse, minacce e vulnerabilità

L'attuale revisione del 2013 della ISO 27001 ti consente di identificare i rischi utilizzando qualsiasi metodologia tu voglia; tuttavia, la metodologia denominata “asset-based risk assessment” (valutazione del rischio sulla base delle risorse, definita dalla vecchia revisione del 2005 della ISO 27001) è ancora dominante e richiede l'identificazione di risorse, minacce e vulnerabilità.

Quindi, come si combinano risorse, minacce e vulnerabilità per identificare i rischi?

Come identificare i rischi

Per semplificare la valutazione del rischio, puoi utilizzare un foglio o un software che elencherà risorse, minacce e vulnerabilità divisi in colonne; dovresti anche includere alcune altre informazioni come l'ID del rischio, i proprietari del rischio, l'impatto e la probabilità, ecc.

Se usi un foglio, ho trovato più facile iniziare a elencare gli elementi colonna per colonna, non riga per riga: ciò significa che dovresti prima elencare tutte le tue risorse e solo allora iniziare a trovare un paio di minacce per ciascuna risorsa e, infine, trovare un paio di vulnerabilità per ogni minaccia.

Per sapere quali tipi di risorse dovresti prendere in considerazione, leggi questo articolo: How to handle Asset register (Asset inventory) according to ISO 27001 e clicca qui per vedere un catalogo di threats and vulnerabilities adatte alle piccole e medie imprese.

Relazione tra risorse, minacce e vulnerabilità

Vediamo, allora, come potrebbe apparire questa corrispondenza dei tre componenti, ad esempio:

Risorsa – documento cartaceo:

  • minaccia: incendio; vulnerabilità: il documento non è conservato in un armadio ignifugo (rischio legato alla perdita di disponibilità delle informazioni)
  • minaccia: incendio; vulnerabilità: manca il backup del documento (potenziale perdita di disponibilità)
  • minaccia: accesso non autorizzato; vulnerabilità: il documento non è chiuso a chiave in un armadietto (potenziale perdita di riservatezza)

Asset – documento digitale:

  • minaccia: guasto del disco rigido; vulnerabilità: manca il backup del documento (potenziale perdita di disponibilità)
  • minaccia: virus; vulnerabilità: il programma antivirus non è aggiornato correttamente (potenziale perdita di riservatezza, integrità e disponibilità)
  • minaccia: accesso non autorizzato; vulnerabilità: lo schema di controllo degli accessi non è adeguatamente definito (potenziale perdita di riservatezza, integrità e disponibilità)
  • minaccia: accesso non autorizzato; vulnerabilità: l'accesso è stato concesso a troppe persone (potenziale perdita di riservatezza, integrità e disponibilità)

Risorsa – amministratore di sistema (una persona):

  • minaccia: indisponibilità di tale persona; vulnerabilità: non vi è alcun sostituto per questa posizione (potenziale perdita di disponibilità)
  • minaccia: errori frequenti; vulnerabilità: mancanza di formazione (potenziale perdita di integrità e disponibilità)

A prima vista potrebbe sembrare complicato, ma una volta che inizi a farlo, vedrai che procederai piuttosto rapidamente.

Raggruppamento delle risorse

Per accelerare il processo, dovresti raggruppare le tue risorse in modo da avere meno elementi con cui eseguire la valutazione del rischio, ad esempio:

  • Se hai diversi laptop nella tua azienda, dovresti usare un elemento chiamato "laptop".
  • Se disponi di più server, puoi raggrupparli, ad esempio, in "server fisici" e "server virtuali" o forse "server per uso interno" e "server di produzione con dati dei clienti".
  • Se utilizzi più applicazioni SaaS, puoi raggrupparle in, ad esempio, "SaaS marketing e vendite", "SaaS sviluppo software" ecc.

Puoi raggruppare i tuoi dipendenti in, ad esempio, "top management", "amministratori di sistema IT" e "altri dipendenti".

Quanti rischi sono sufficienti?

Molto spesso, la gente mi chiede quanti rischi debbano elencare. Se iniziano a essere davvero scrupolosi, per ogni risorsa potrebbero trovare 10 minacce e per ogni minaccia almeno cinque vulnerabilità: una cosa piuttosto opprimente, vero? Se sei una piccola azienda con 50 risorse, ciò significherebbe che ti ritroveresti con 2.500 rischi, il che sarebbe probabilmente eccessivo per un'azienda di queste dimensioni.

Questo è il motivo per cui dovresti concentrarti solo sulle minacce e sulle vulnerabilità più importanti, ad esempio da tre a cinque minacce per risorsa e una o due vulnerabilità per minaccia.

Quindi il numero di rischi dovrebbe dipendere grosso modo dal numero di dipendenti nella tua azienda:

Numero dei dipendenti Numero delle risorse Numero dei rischi
Fino a 5 Da 5 a 10 Da 30 a 60
Da 5 a 20 Da 10 a 15 Da 60 a 90
Da 20 a 50 Da 15 a 30 Da 90 a 180
Da 50 a 200 Da 30 a 60 Da 180 a 360
Da 200 a 500 Da 60 a 200 Da 360 a 1200

&nbsp
Ci sono altri fattori che influenzeranno il numero di rischi: ad esempio, se sei un istituto finanziario o fornisci servizi all'esercito, probabilmente dovresti fare uno sforzo aggiuntivo per identificare più rischi di quelli mostrati sopra.

Naturalmente, nel tempo scoprirai altri rischi che non hai identificato prima: dovresti aggiungerli al tuo elenco di rischi in seguito. Dopotutto, questo è ciò che riguarda il miglioramento continuo della ISO 27001.

Perché questa metodologia è ancora valida?

Personalmente mi piace questa metodologia di risorse-minacce-vulnerabilità, perché penso che offra un buon equilibrio tra fare una valutazione del rischio rapidamente e allo stesso tempo farla in modo sistematico e sufficientemente dettagliato in modo da poter individuare dove si trovi il potenziale problema per la sicurezza.

Ed è proprio questo l'obiettivo della valutazione del rischio: scoprire un potenziale problema prima che si verifichi effettivamente. In altre parole, la ISO 27001 ti dice: meglio prevenire che curare.

Assegnazione dei proprietari del rischio

Una volta che hai un elenco dei tuoi rischi, devi definire chi è responsabile di ciascuno di essi.

Nelle aziende molto piccole, puoi nominare una sola persona come proprietario del rischio per tutti i rischi; tuttavia, sia per le grandi che per le piccole imprese, un approccio molto migliore sarebbe considerare ciascun rischio separatamente e definire i proprietari del rischio sulla base di questi fattori:

  • la persona che conosce meglio la risorsa, e
  • la persona che ha il potere di apportare le modifiche necessarie

Ad esempio, il proprietario del rischio di un rischio relativo alle registrazioni del personale potrebbe essere il capo del dipartimento delle risorse umane, perché questa persona sa meglio come vengono utilizzate queste registrazioni e quali sono i requisiti legali e possiede autorità sufficiente per avviare i cambiamenti nei processi e la tecnologia necessaria per la protezione.

Come determinare le conseguenze e la probabilità

Il passo successivo è calcolare quanto è grande ciascun rischio: ciò si ottiene valutando le conseguenze (chiamate anche impatto) che si avrebbero se il rischio si materializzasse e valutando la probabilità che il rischio si verifichi; con queste informazioni, puoi facilmente calcolare il livello di rischio.

La ISO 27001 in realtà non ti dice come fare la tua valutazione del rischio, ma ti dice che devi valutare le conseguenze e la probabilità e determinare il livello di rischio, quindi spetta a te decidere quale sia l'approccio più appropriato per la tua azienda.

Sulla base della ISO 27005, ci sono essenzialmente due modi per analizzare i rischi utilizzando il metodo qualitativo: la valutazione semplice del rischio e la valutazione dettagliata del rischio - troverai la loro spiegazione di seguito. La ISO 27005 suggerisce anche altri approcci alla valutazione del rischio, ma sono più complicati e non sono trattati in questo articolo.

Più avanti in questo articolo troverai una spiegazione del motivo per cui la valutazione quantitativa del rischio non può essere utilizzata nella pratica normale.

Valutazione semplice del rischio (o di base)

Nella valutazione semplice del rischio, valuti direttamente le conseguenze e la probabilità: una volta identificati i rischi, devi semplicemente utilizzare le scale per valutare separatamente le conseguenze e la probabilità di ciascun rischio. Ad esempio, puoi utilizzare la scala da 0 a 4, dove 0 è molto basso, 1 basso, 2 medio e così via, o la scala da 1 a 10, o Basso-Medio-Alto o qualsiasi altra scala. Più ampia è la scala, più precisi saranno i risultati che avrai, ma anche più tempo dovrai dedicare alla valutazione.

Quindi, ad esempio, nella valutazione semplice del rischio potresti avere qualcosa del genere:

  • Risorsa: laptop
  • Minaccia: furto
  • Vulnerabilità: i dipendenti non sanno come proteggere i propri dispositivi mobili
  • Conseguenze: 3 (su una scala da 0 a 4)
  • Probabilità: 4 (su una scala da 0 a 4)

Valutazione dettagliata del rischio

Nella valutazione dettagliata del rischio, invece di valutare due elementi (conseguenze e probabilità), si valutano tre elementi: valore della risorsa, minaccia e vulnerabilità. Quindi, ecco un esempio di questa valutazione dettagliata del rischio:

  • Risorsa: laptop
  • Minaccia: furto
  • Vulnerabilità: i dipendenti non sanno come proteggere i propri dispositivi mobili
  • Valore patrimoniale: 3 (su una scala da 0 a 4)
  • Valore di minaccia: 2 (su una scala da 0 a 2)
  • Valore di vulnerabilità: 2 (su una scala da 0 a 2)

Quando valuti la questione più da vicino, attraverso questi tre elementi nella valutazione dettagliata del rischio, ne valuterai indirettamente le conseguenze e la probabilità: valutando il valore del bene, stai semplicemente valutando che tipo di danno (cioè, conseguenza) potrebbe verificarsi a questo bene se la sua riservatezza, integrità o disponibilità fosse messa in pericolo; sia le minacce che le vulnerabilità influenzano direttamente la probabilità: maggiore è la minaccia e maggiore è la vulnerabilità, maggiore è la probabilità che si verifichi il rischio e viceversa.

E fondamentalmente, è tutto qui: se sei una piccola azienda, per te sarà sufficiente una valutazione semplice del rischio; se sei un'azienda di medie o grandi dimensioni, una valutazione dettagliata del rischio è quello che ci vuole. E non è necessario aggiungere altri elementi, perché servirebbe soltanto a rendere più difficile il tuo lavoro.

Perché è sbagliato valutare sia le risorse che le conseguenze?

Molto spesso, vedo aziende che implementano una valutazione semplice del rischio (vale a dire, valutano direttamente le conseguenze e la probabilità), ma aggiungono anche il valore della risorsa a questa valutazione.

Perché è sbagliato? Per il semplice fatto che hanno già valutato le conseguenze una volta, quindi non hanno bisogno di valutarle di nuovo attraverso il valore della risorsa.

Quindi, ancora una volta, cerca di non esagerare e creare qualcosa di complesso solo perché sembra carino.

Come calcolare il livello di rischio

Il calcolo del rischio è in realtà molto semplice: di solito viene fatto tramite l’addizione (ad es. 2 + 5 = 7) o moltiplicazione (ad es. 2 x 5 = 10) di conseguenze e probabilità. Se usi una scala Basso-Medio-Alto, è come usare 1-2-3, quindi hai i numeri per il calcolo.

Quindi, usando gli esempi della sezione precedente, ecco come calcolare il rischio usando l'addizione:

  • Valutazione semplice del rischio: Conseguenze (3) + Probabilità (4) = Rischio (7)
  • Valutazione dettagliata del rischio: Valore della risorsa (3) + valore della minaccia (2) + valore della vulnerabilità (2) = rischio (7)

Nella valutazione dettagliata del rischio spiegata nella sezione precedente, noterai che ho utilizzato la scala da 0 a 4 per valutare il valore della risorsa e la scala da 0 a 2 più piccola per valutare le minacce e le vulnerabilità. Questo perché il peso della conseguenza dovrebbe essere uguale al peso della probabilità: poiché minacce e vulnerabilità "rappresentano" congiuntamente la probabilità, il loro valore aggiunto massimo è 4, lo stesso del valore della risorsa (cioè conseguenza).

Valutazione del rischio

Dopo aver calcolato i rischi, devi valutare se questi sono accettabili o meno.

Questo passaggio è semplice: devi semplicemente confrontare il livello di rischio che hai calcolato con il livello accettabile dalla tua metodologia di valutazione del rischio. Ad esempio, se il tuo livello di rischio è 7 e il livello di rischio accettabile è 5, significa che il tuo rischio non è accettabile.

Tutti i rischi non accettabili devono passare alla fase successiva: il trattamento del rischio nella ISO 27001; non è necessario trattare ulteriormente tutti i rischi accettabili.

Esempio di valutazione del rischio

Risorsa Impatto Minaccia Vulnerabilità Proprietario del rischio Impatto (1-5) Probabilità (1-5) Rischio (=I+L)
Server Interruzione di elettricità Nessun gruppo elettrogeno Responsabile reparto IT 4 2 6
Incendio Nessun estintore 5 3 8
Contratto Accesso da parte di persone non autorizzate Il contratto viene lasciato su un tavolo Amministratore delegato 4 4 8
Incendio Nessuna protezione antincendio 4 3 7
Amministratore di sistema Infortunio Nessun altro conosce le password Capo reparto 5 3 8
Trattamento del rischio

Lo scopo del trattamento del rischio

La maggior parte delle persone pensa che la valutazione del rischio sia la parte più difficile dell'implementazione della ISO 27001: è vero, la valutazione del rischio è probabilmente la più complessa, ma il trattamento del rischio è sicuramente quello più strategico e più costoso.

Lo scopo del trattamento del rischio sembra piuttosto semplice: controllare i rischi identificati durante la valutazione del rischio; nella maggior parte dei casi, ciò significherebbe diminuire il rischio riducendo la probabilità di un incidente (ad esempio, utilizzando materiali da costruzione non infiammabili) e/o ridurre l'impatto sulle risorse (ad esempio, utilizzando sistemi automatici di spegnimento degli incendi).

Durante il trattamento dei rischi, l'organizzazione dovrebbe concentrarsi su quei rischi che non sono accettabili; in caso contrario, sarebbe difficile definire le priorità e finanziare la mitigazione di tutti i rischi individuati.

Le quattro opzioni di trattamento più comuni

Una volta che hai un elenco di rischi non accettabili dalla fase di valutazione del rischio, devi valutarli uno per uno e decidere come trattarli - di solito, vengono applicate queste opzioni:

  • Diminuire il rischio: questa opzione è la più comune e include l'implementazione di misure di protezione (controlli), ad esempio, implementando il backup diminuirai il rischio di perdita di dati.
  • Evitare il rischio: interrompere l'esecuzione di determinate attività o processi se incorrono in tali rischi che sono semplicemente troppo grandi per essere mitigati con qualsiasi altra opzione, ad esempio, puoi decidere di vietare l'uso di laptop al di fuori dei locali dell'azienda se il rischio di accesso non autorizzato per quei laptop è troppo alto (perché, ad esempio, potrebbero bloccare l'intera infrastruttura IT che stai utilizzando).
  • Condividere il rischio – questo significa che trasferisci il rischio a un'altra parte – ad esempio, acquisti una polizza assicurativa per il tuo server fisico contro gli incendi e quindi trasferisci parte del tuo rischio finanziario a una compagnia di assicurazioni. Sfortunatamente, questa opzione non ha alcuna influenza sull'incidente stesso, quindi la strategia migliore è utilizzare questa opzione insieme alle opzioni 1) o 2).
  • Tenere (accettare) il rischio: questa è l'opzione meno desiderabile e significa che l'organizzazione accetta il rischio senza fare nulla al riguardo. Questa opzione dovrebbe essere utilizzata solo se il costo della mitigazione è superiore al danno che un incidente potrebbe causare.

La riduzione dei rischi è l'opzione più comune per il trattamento dei rischi e a tale scopo vengono utilizzati i controlli dell’allegato A della ISO 27001 (e qualsiasi altro controllo che un'azienda ritiene appropriato). Vedi qui come sono organizzati i controlli: Overview of ISO 27001:2013 Annex A.

Implementazione dei controlli di sicurezza

Prima di iniziare il processo di implementazione, dovresti essere consapevole dei rischi non accettabili derivanti dalla valutazione del rischio, ma anche del budget disponibile per l'anno in corso, perché a volte i controlli richiedono un investimento.

Quando selezioni dei nuovi controlli, tieni a mente che ci sono fondamentalmente tre tipi di controlli:

  1. Definire nuove regole: le regole sono documentate attraverso piani, politiche, procedure, istruzioni, ecc., anche se non è necessario documentare alcuni processi meno complessi.
  2. Implementare nuove tecnologie: ad esempio, sistemi di backup, posizioni di ripristino di emergenza per data center alternativi, ecc.
  3. Modificare la struttura organizzativa: in alcuni casi, sarà necessario introdurre una nuova funzione lavorativa, oppure modificare le responsabilità di una posizione esistente.

Decidere quali controlli selezionare

Il trattamento del rischio è un passaggio in cui normalmente non includeresti una cerchia molto ampia di persone: dovrai fare un brainstorming su ciascuna opzione di trattamento con specialisti della tua azienda che si concentrano su determinate aree. Ad esempio, se il trattamento ha a che fare con l'IT, parlerai con i tuoi tecnici IT; se si tratta di nuovi corsi di formazione, parlerai con le risorse umane, ecc.

Naturalmente, la decisione finale su qualsiasi nuova opzione di trattamento richiederà una decisione dal livello appropriato di responsabilità: a volte il responsabile del reparto IT sarà in grado di prendere tali decisioni, a volte sarà il tuo project team, a volte dovrai rivolgerti al capo dipartimento responsabile di un determinato settore (ad esempio, il capo dell'ufficio legale se chiedi clausole aggiuntive nei contratti con i tuoi partner), o forse al livello dirigenziale per investimenti più grandi. Se hai dubbi su chi può decidere cosa, consulta lo sponsor del tuo progetto.

Rischio residuo

Se scegli di misurare i rischi residui, cioè i rischi che rimarranno dopo l'applicazione dei controlli, dovrebbe essere fatto insieme alle persone responsabili in ciascun reparto. Devi mostrare a queste persone quali opzioni di trattamento hai pianificato e, sulla base di queste informazioni, e utilizzando le stesse scale della valutazione del rischio, valutare il rischio residuo per ogni rischio non accettabile identificato in precedenza durante la valutazione del rischio.

Quindi, ad esempio, se hai identificato una conseguenza del livello 4 e una probabilità del livello 5 durante la tua valutazione del rischio (che significherebbe un rischio di 9 con il metodo dell'addizione), il tuo rischio residuo potrebbe essere 5 se hai valutato che la conseguenza sarebbe inferiore a 3 e la probabilità a 2 a causa, ad esempio, di misure di protezione che intendevi implementare.

I controlli di sicurezza più costosi non sono sempre i migliori

Quando si considerano le opzioni di trattamento del rischio, e in particolare le misure di protezione che un investimento in tecnologia comporta, fai attenzione a quanto segue: molto spesso, la prima idea che viene in mente sarà la più costosa. Tuttavia, a volte esistono alternative che saranno ugualmente efficaci, ma a un costo inferiore, quindi pensaci bene prima di acquistare un nuovo sistema costoso.

Inoltre, tieni presente che la maggior parte dei rischi esiste a causa del comportamento umano, non a causa delle macchine, quindi è opinabile se una macchina sia la soluzione a un problema umano.

In altre parole, quando si trattano i rischi è necessario essere creativi: è necessario capire come ridurre i rischi con un investimento minimo. Sarebbe più semplice se il tuo budget fosse illimitato, ma questo non accadrà mai.

Esempio di trattamento del rischio

Un esempio di tabella di trattamento del rischio potrebbe essere questo:

Risorsa Minaccia Vulnerabilità Opzione di trattamento Mezzi di implementazione
Server Incendio Nessun estintore 1) Diminuire il rischio +
2) Condividere il rischio
Acquistare un estintore + acquistare una polizza assicurativa antincendio
Laptop Accesso da parte di persone non autorizzate Password inadeguata 1) Diminuire il rischio Scrivere la Politica per la Password
Amministratore di sistema Lascia l'azienda Nessuna persona per sostituirlo 1) Diminuire il rischio Assumere un secondo amministratore di sistema che imparerà tutto quello che fa il primo

Come scrivere un rapporto di valutazione e trattamento del rischio

La ISO 27001 non specifica i contenuti del Rapporto di Valutazione del Rischio; dice solo che i risultati della valutazione del rischio e del processo di trattamento del rischio devono essere documentati – questo significa che qualsiasi cosa tu abbia fatto durante questo processo deve essere annotata. Pertanto, questo rapporto non riguarda solo la valutazione, ma anche il trattamento.

Il rapporto include tutti i rischi che sono stati identificati, i proprietari del rischio, il loro impatto e probabilità, il livello di rischio, i rischi non accettabili e le opzioni di trattamento per ciascun rischio non accettabile.

Di solito, il rapporto è redatto in forma sintetica (es. in una pagina), a cui si allega un elenco dettagliato dei rischi e dei controlli.

Il Piano di trattamento del rischio a confronto con il processo di trattamento del rischio: qual è la differenza?

Il Piano di Trattamento del Rischio è uno dei documenti chiave della ISO 27001; tuttavia, molto spesso viene confuso con la documentazione prodotta a seguito di un processo di trattamento del rischio. Ecco la differenza.

Cos’è il processo di trattamento del rischio?

Il processo di trattamento del rischio è solo una fase del processo di gestione del rischio che segue la fase di valutazione del rischio: nella valutazione del rischio è necessario identificare tutti i rischi e selezionare i rischi non accettabili. Il compito principale nella fase di trattamento del rischio è selezionare una o più opzioni per il trattamento di ciascun rischio non accettabile, ovvero decidere come mitigare tutti questi rischi.

Come spiegato nelle sezioni precedenti, di solito sono disponibili quattro opzioni di trattamento per le aziende: diminuire il rischio, evitare il rischio, condividere il rischio e tenere il rischio.

Secondo la norma ISO 27001, è necessario documentare i risultati del trattamento del rischio nel Rapporto di valutazione del rischio e tali risultati sono gli input principali per la stesura della Dichiarazione di Applicabilità. Ciò significa che i risultati del trattamento del rischio non sono documentati direttamente nel Piano di trattamento del rischio. Vedi anche: The importance of Statement of Applicability for ISO 27001.

Come si scrive un Piano di Trattamento del Rischio?

Allora, dov'è il Piano di Trattamento del Rischio in tutto questo processo? La risposta è: può essere scritta solo dopo che la Dichiarazione di Applicabilità è stata completata.

Perché? Per iniziare a pensare al Piano di Trattamento del Rischio, è più facile pensare che sia un "Piano d'azione" o un "Piano d’implementazione", perché la ISO 27001 richiede di elencare i seguenti elementi in questo documento:

  • quali controlli di sicurezza e altre attività è necessario implementare
  • chi è responsabile dell'implementazione
  • quali sono le scadenze
  • quali risorse (ossia, finanziarie e umane) sono necessarie per l'implementazione, e
  • come valuterete se l'implementazione è stata eseguita correttamente

Ma per scrivere un tale documento, devi prima decidere quali controlli devono essere implementati, e questo viene fatto (in modo molto sistematico) attraverso la Dichiarazione di Applicabilità.

Lo scopo del Piano di Trattamento del Rischio

La domanda è: perché la ISO 27001 non richiede che i risultati del processo di trattamento del rischio siano documentati direttamente nel Piano di Trattamento del Rischio? Perché è necessario questo passaggio intermedio, sotto forma di Dichiarazione di applicabilità (SoA)?

A mio avviso, gli autori della ISO 27001 hanno voluto incoraggiare le aziende a ottenere un quadro completo della sicurezza delle informazioni – al momento di decidere quali controlli sono applicabili e quali no – attraverso la Dichiarazione di Applicabilità. Per la SoA, il risultato del trattamento del rischio non è l'unico input: altri input sono i requisiti legali, normativi e contrattuali, altre esigenze aziendali, ecc. In altre parole, la SoA è un documento più strategico che definisce il profilo della sicurezza di un'organizzazione, mentre il piano di trattamento del rischio è il piano di attuazione di tale strategia.

Una volta che hai scritto questo documento, è fondamentale ottenere l'approvazione della tua direzione perché ci vorrà molto tempo e fatica (e denaro) per implementare tutti i controlli che hai pianificato qui. E, senza il loro impegno, non ne otterrai nessuno.

Per concludere, il Piano di Trattamento del Rischio è il punto in cui la teoria si ferma e inizia la vita reale secondo la ISO 27001. Una buona valutazione del rischio e un processo di trattamento del rischio, nonché una Dichiarazione di Applicabilità completa, produrranno le basi per scoprire cosa devi fare con la tua sicurezza, ma il Piano di Trattamento del Rischio è il punto da cui devi iniziare a fare le cose reali. Ma non puoi iniziare a fare le cose reali prima di aver capito le cose giuste da fare.

Altri aspetti della valutazione del rischio

Gap analysis a confronto con la valutazione del rischio nella ISO 27001

Molto spesso, vedo che le persone confondono la gap analysis con la valutazione del rischio, il che è comprensibile, poiché lo scopo di entrambe è identificare le carenze nella sicurezza delle informazioni della loro azienda. Tuttavia, dal punto di vista della ISO 27001 e dal punto di vista di un auditor di certificazione, queste due sono abbastanza diverse.

Che cos'è la gap analysis nella ISO 27001?

La gap analysis non è altro che leggere ogni clausola della ISO 27001 e analizzare se tale requisito è già implementato nella tua azienda. Quando lo fai, puoi dire Sì o No, oppure puoi usare una scala simile a questa:

  • 0 – requisito non implementato né pianificato
  • 1 – il requisito è pianificato ma non implementato
  • 2 – il requisito è implementato solo in parte, quindi non ci si possono aspettare tutti gli effetti
  • 3 – il requisito è implementato, ma la misurazione, la revisione e il miglioramento non vengono eseguiti
  • 4 – il requisito è implementato e la misurazione, la revisione e il miglioramento vengono eseguiti regolarmente

La gap analysis non è obbligatoria nella ISO 27001; viene fatto indirettamente durante lo sviluppo della Dichiarazione di Applicabilità - la clausola 6.1.3 d) dice che è necessario determinare "... se [i controlli necessari] siano implementati o meno".

Pertanto, non è necessario eseguire la gap analysis per le clausole della parte principale della norma, ma solo per i controlli dell'allegato A. Inoltre, non è necessario eseguire la gap analysis prima dell'inizio dell'implementazione della ISO 27001: devi farlo come parte della tua Dichiarazione di Applicabilità, solo dopo la valutazione e il trattamento del rischio.

La differenza tra gap analysis e risk assessment

La gap analysis ti dice quanto sei lontano dai requisiti/controlli della ISO 27001; non ti dice quali problemi possono verificarsi o quali controlli implementare. La valutazione del rischio indica quali incidenti possono verificarsi e quali controlli implementare, ma non fornisce una panoramica di quali controlli sono già implementati.

Sebbene la valutazione del rischio sia fondamentale per l'implementazione della ISO 27001, la gap analysis viene eseguita solo indirettamente durante la stesura della Dichiarazione di Applicabilità, pertanto l'una non sostituisce l'altra ed entrambe sono richieste, ma in diverse fasi di implementazione e con scopi diversi.

A volte le aziende eseguono la gap analysis prima dell'inizio dell'implementazione della ISO 27001, per avere un'idea di dove si trovano in questo momento e per scoprire quali risorse dovranno impiegare per implementare la ISO 27001. Tuttavia, l'utilità di tale approccio è dubbio, poiché solo la valutazione del rischio mostrerà la reale portata di ciò che deve essere implementato e in quale forma.

La valutazione del rischio a confronto con l’audit interno

Abbastanza spesso vedo delle persone che cercano le checklist della ISO 27001 per eseguire l'audit interno; tuttavia, si aspettano che tali checklist li aiutino con, ad esempio, quali informazioni ha l'organizzazione, chi ha accesso ad esse, come sono protette, quanto sono riservate, ecc.

Il problema è: questo genere di cose non fa parte di un audit interno: fa parte della valutazione del rischio.

La differenza nelle tempistiche

Lo scopo della valutazione del rischio è scoprire quali problemi possono sorgere con le tue informazioni e/o operazioni, ovvero cosa possa mettere a repentaglio la riservatezza, l'integrità e la disponibilità delle tue informazioni o cosa possa minacciare la continuità delle tue attività.

Di conseguenza, la valutazione del rischio deve essere effettuata all'inizio del progetto ISO 27001, mentre l'audit interno viene effettuato solo dopo che l'implementazione è stata completata. Vedi anche: How to organize initial risk assessment according to ISO 27001 and ISO 22301.

Come si svolge l'audit interno?

L'audit interno non è altro che elencare tutte le regole e requisiti, e poi verificare se tali regole e requisiti sono stati rispettati.

In genere, le regole e i requisiti sono i seguenti:

Quando si svolge un audit interno, è necessario verificare se tutte le regole e i requisiti sono stati rispettati, nell'intero ambito del proprio Sistema di Gestione della Sicurezza delle Informazioni o del Sistema di Gestione della Continuità Operativa.

Ciò viene fatto utilizzando varie tecniche:

  • Esaminando tutta la documentazione e delle registrazioni
  • Intervistando i dipendenti
  • Tramite osservazioni personali (ad es. girando per i locali aziendali)

Vedi anche: Corso per auditor interno ISO 27001.

Le principali differenze tra i due

Quindi, direi che una delle differenze principali sta nella mentalità: la valutazione del rischio si occupa delle cose (potenziali) che potrebbero accadere in futuro, mentre l'audit interno si occupa di come sono state fatte le cose in passato.

La seconda grande differenza è che l'audit interno si concentra sul rispetto di varie regole e requisiti, mentre la valutazione del rischio non è altro che un'analisi che fornisce una base per costruire determinate regole.

La terza differenza è che la valutazione del rischio viene eseguita prima di iniziare ad applicare i controlli di sicurezza, mentre l'audit interno viene eseguito una volta che questi sono già implementati.

Tuttavia, hanno (purtroppo) una cosa in comune: sono entrambi molto spesso trascurati nelle aziende perché percepiti solo come un esercizio burocratico privo di reale valore. Tuttavia, chi la pensa così non si rende conto che sono entrambi cruciali per rafforzare la sicurezza delle tue informazioni.

La valutazione del rischio della ISO 27001 può essere utilizzata per la continuità aziendale della ISO 22301?

Alcuni giorni fa, la seguente domanda mi è stata fatta da uno dei nostri clienti: "Qual è la differenza tra la Valutazione del Rischio nel SGSI e nella Gestione della Continuità Operativa?" E, sebbene la risposta a questa domanda possa sembrare facile, in realtà non lo è.

Ecco il resto della domanda: “… Perché sul tuo blog ho scoperto che se ho fatto il SGSI dovrebbe andare bene per la Gestione della Continuità Operativa. D'altra parte, la ISO 22301 consiglia di utilizzare la norma ISO 31000.

Perché l’impianto di gestione del rischio ISO 27001 è una buona soluzione

È vero che la ISO 22301 si riferisce alla ISO 31000 per quanto riguarda la valutazione del rischio, ma anche la ISO 27001 – questo non significa che si possa effettivamente usare la ISO 31000 per l'implementazione, perché questa norma è scritta in modo molto generale poiché copre tutti i tipi di rischi – non solo continuità operativa e sicurezza delle informazioni, ma anche rischi finanziari, di mercato, di credito e altri.

D'altra parte, il quadro di valutazione del rischio è descritto molto meglio nella ISO 27001, e ancor più precisamente nella ISO 27005; l'obiettivo della valutazione del rischio per la sicurezza delle informazioni è preservare la riservatezza, l'integrità e la disponibilità. E la disponibilità è il collegamento chiave tra la sicurezza delle informazioni e la continuità aziendale: durante l'esecuzione della valutazione del rischio SGSI, verranno presi in considerazione anche tutti i rischi della continuità aziendale.

E la cosa buona è che la valutazione del rischio così come è descritta nella ISO 27001 e nella ISO 27005 è perfettamente allineata con la ISO 31000.

Possibili differenze nell’approccio

Ma qui è dove le cose potrebbero complicarsi: il mio cliente aveva un'altra domanda, perché voleva che fosse chiarito tutto: "Penso che un'altra differenza tra questi due approcci di valutazione del rischio sia che con l'SGSI ci occupiamo di risorse (sia primarie che di supporto), invece con la Gestione della Continuità Operativa ci occupiamo di attività e processi critici”.

E aveva sostanzialmente ragione: la valutazione del rischio per la continuità operativa non deve essere così dettagliata; può essere reso di alto livello per attività e processi. Ma, a mio avviso, il problema è nell'implementazione: come puoi mitigare i rischi se non sai esattamente dove sono i problemi?

È qui che penso che l’impianto di valutazione del rischio della ISO 27001 sia migliore: ti costringe a individuare dove sono i punti deboli, quali risorse dovrebbero essere protette meglio, ecc. Se mantenessi la valutazione del rischio a livello di processo, probabilmente non otterresti tutte queste preziose informazioni.

Compatibilità nella mitigazione del rischio

Compatibilità nella mitigazione del rischio

Vale la pena menzionare qui che le opzioni del trattamento del rischio nella ISO 27001 sono completamente allineate con i requisiti di mitigazione del rischio nella ISO 22301 e nella ISO 31000. Fondamentalmente, la mitigazione della continuità aziendale si riduce alle quattro opzioni descritte precedentemente in questo articolo. Non ci sono opzioni elencate nella ISO 22301, mentre nella ISO 31000 sono nominate e organizzate in modo leggermente diverso, ma sono essenzialmente le stesse.

E per finire, c'è un altro aspetto positivo della ISO 27001: nell'allegato A ti offre un catalogo di possibili misure di protezione tra cui scegliere; questo è qualcosa che né ISO 22301 né ISO 31000 hanno.

La valutazione del rischio a confronto con l’analisi dell'impatto aziendale

Se stai implementando la ISO 27001, o soprattutto la ISO 22301, per la prima volta, probabilmente sei confuso dalla valutazione del rischio e dall'analisi dell'impatto aziendale. Qual è il loro scopo? In che modo sono differenti? Si possono eseguire contemporaneamente?

Per dirla in breve, la valutazione del rischio ti mostrerà quali tipi di incidenti potresti dover affrontare, mentre l'analisi dell'impatto aziendale ti mostrerà quanto velocemente devi recuperare le tue attività dagli incidenti per evitare danni maggiori.

Lo scopo della valutazione del rischio

Lo scopo di questa valutazione è quello di scoprire sistematicamente quali incidenti possono accadere alla tua organizzazione e quindi, attraverso il processo di trattamento del rischio, prepararsi al fine di ridurre al minimo i danni di tali incidenti.

Nella mia esperienza, i dipendenti (e l'organizzazione nel suo insieme) sono generalmente consapevoli solo del 25-40% dei rischi, quindi non è possibile cercare di ricordare tutti i rischi a memoria e questa identificazione deve essere eseguita in modo sistematico.

Lo scopo dell'analisi di impatto aziendale (o BIA - business impact analysis)

L'analisi dell'impatto aziendale è obbligatoria per l'implementazione della continuità aziendale secondo la ISO 22301, ma non per ISO 27001.

Lo scopo della BIA è principalmente quello di dare un'idea (1) sulla tempistica del tuo ripristino e (2) sulla tempistica del tuo backup, poiché la tempistica è cruciale: la differenza di solo un paio d'ore potrebbe significare la vita o morte per alcune aziende se colpite da un grave incidente.

Più precisamente, l'analisi dell'impatto aziendale ti aiuterà a determinare l'Obiettivo Massimo Accettabile Di Interruzione/Tempo di Ripristino, l’Obiettivo di Perdita Massima di Dati / Punto di Ripristino, le risorse richieste e altre informazioni importanti che ti aiuteranno a sviluppare la strategia di continuità aziendale per ciascuna delle tue attività. Scopri di più qui: How to implement business impact analysis (BIA) according to ISO 22301.

La differenza tra i due

Come già concluso, il BIA viene solitamente utilizzato solo nell'implementazione della continuità operativa / ISO 22301; potrebbe essere fatto per la sicurezza delle informazioni, ma non avrebbe molto senso. La valutazione del rischio (o RA – Risk Assessment) è obbligatoria sia per la ISO 27001 che per la ISO 22301.

In secondo luogo, gli output di RA sono leggermente diversi da quelli di BIA: la RA ti fornisce un elenco di rischi insieme ai loro valori, mentre il BIA ti dà i tempi entro i quali devi recuperare (RTO - Recovery Time Objective) e quante informazioni puoi permetterti di perdere (RPO - recovery point objective).

Quindi, sebbene questi due siano correlati perché devono concentrarsi sulle risorse e sui processi dell'organizzazione, vengono utilizzati in contesti diversi.

Cosa viene prima: la valutazione del rischio o l’analisi dell'impatto aziendale?

In realtà, la ISO 22301 consente entrambi gli approcci e potresti sentire molte teorie su quale sia il migliore. Tuttavia, preferisco eseguire prima la valutazione del rischio perché in questo modo avrai una migliore impressione di quali incidenti possono verificarsi (a quali rischi sei esposto) e quindi sarai più preparato per eseguire l'analisi dell'impatto aziendale (che si concentra sul conseguenze di tali incidenti); inoltre, se per la valutazione del rischio si sceglie l'approccio basato sulle risorse, sarà più facile identificare tutte le risorse in un secondo momento nell'analisi dell'impatto aziendale. Quello che non dovresti assolutamente fare è eseguire contemporaneamente la valutazione del rischio e l'analisi dell'impatto aziendale, perché ciascuno di essi separatamente è già abbastanza complesso: combinarli normalmente significa cacciarsi nei guai.

ISO 27005: Revisione 2005 a confronto con la revisione 2013: cosa è cambiato nella gestione del rischio

La valutazione del rischio nella ISO 27001 è sempre stata un tema discusso, e soprattutto con le modifiche nella revisione del 2013 – ci sono molti dubbi sul fatto che la valutazione del rischio fatta secondo la revisione del 2005 debba essere modificata e, in caso affermativo, quanto è grande il cambiamento.

I miti

Cominciamo con un paio di miti legati alla gestione del rischio che si sono sviluppati intorno alla ISO 27001:2013:

  • "Dobbiamo usare la ISO 31000 per la gestione del rischio". Falso – la ISO 31000 è menzionata solo nella ISO 27001:2013, ma non è obbligatoria. (Vedi anche ISO 31000 and ISO 27001 – How are they related?)
  • "Dobbiamo eliminare risorse, minacce e vulnerabilità dalla nostra valutazione del rischio nella ISO 27001". Falso ancora: puoi mantenere la tua vecchia metodologia se ti piace, perché la ISO 27001:2013 ti lascia la libertà di identificare i rischi come preferisci.
  • "Non dobbiamo più identificare i proprietari delle risorse". Un'altra falsa affermazione: sebbene la ISO 27001:2013 non richieda di identificare i proprietari delle risorse come parte della valutazione del rischio, nel controllo A.8.1.2. richiede di farlo (Vedi anche Risk owners vs. asset owners in ISO 27001:2013)
  • "L'identificazione dei rischi basata su riservatezza, integrità e disponibilità (o C-I-A , Confidentiality, Integrity, Availability) è un nuovo concetto". Falso – questo concetto esisteva anche nella ISO 27001:2005; in realtà, l'intera norma si basa sul concetto di proteggere la C-I-A fin dall'inizio.

Cosa è cambiato nella gestione del rischio nella ISO 27001:2013

Come vedrai, le modifiche non sono molto significative:

  • La Politica della Sicurezza delle Informazioni di alto livello non ha bisogno di stabilire criteri rispetto ai quali verranno valutati i rischi – questo era il requisito della ISO 27001:2005 4.2.1 b) 4); nella ISO 27001:2013 è ancora necessario definire i criteri di valutazione del rischio, ma non come parte della politica di alto livello.
  • Come accennato in precedenza, non è necessario utilizzare la metodologia risorse-minacce-vulnerabilità per identificare i rischi: ad esempio, è possibile identificare i rischi in base ai propri processi, in base ai propri reparti, utilizzando solo minacce e non vulnerabilità o qualsiasi altro metodologia tu preferisca
  • È necessario identificare i proprietari del rischio per ogni rischio.
  • La ISO 27001:2005 richiedeva alla direzione di approvare i rischi residui, nonché l'attuazione e il funzionamento dell'SGSI. Al contrario, nella ISO 27001:2013, i proprietari del rischio devono accettare i rischi residui e approvare il Piano di Trattamento del Rischio.
  • Le opzioni di trattamento nella revisione del 2013 non si limitano solo all'applicazione dei controlli, all'accettazione dei rischi, all'evitare i rischi e a trasferire i rischi come nella revisione del 2005: in pratica, sei libero di considerare qualsiasi opzione di trattamento che ritieni appropriata.

Un cambiamento indiretto che non è visibile in prima lettura della norma è che la gestione del rischio ha assunto il ruolo di azioni preventive (le azioni preventive non esistono più nella revisione del 2013) – solo leggendo la clausola 6.1.1 della ISO 27001:2013 più attentamente questo diventa ovvio. Ma questo cambiamento ha un senso – le azioni preventive non sono altro che concludere cosa possono accadere cose negative in futuro e agire per prevenirle – e questo è esattamente ciò che riguarda anche la valutazione e il trattamento del rischio. Pertanto, la ISO 27001:2013 ha solo corretto ciò che non era molto logico nella ISO 27001:2005, e la cosa buona è che non è necessario modificare il processo di valutazione del rischio a causa di questo.

Quindi, come puoi vedere, i cambiamenti nella valutazione del rischio e nel trattamento sono relativamente di lieve entità e, se hai fatto un buon lavoro con la ISO 27001:2005, troverai relativamente facile il passaggio alla revisione del 2013 della ISO 27001. Tutto quello che devi fare è identificare i proprietari del rischio per ogni rischio e dare loro la responsabilità di prendere decisioni sui rischi.

Valutazione qualitativa vs quantitativa del rischio

Nel processo di valutazione del rischio, una domanda comune posta dalle organizzazioni è se adottare un approccio quantitativo o qualitativo. La buona notizia è che puoi utilizzare l'approccio più semplice (approccio qualitativo) ed essere pienamente conforme alla ISO 27001; puoi anche utilizzare entrambi gli approcci se vuoi fare un passo avanti nel rendere la tua valutazione del rischio altamente avanzata.

Valutazione qualitativa del rischio

Nella valutazione qualitativa del rischio, l'attenzione si concentra sulle percezioni delle parti interessate sulla probabilità che si verifichi un rischio e sul suo impatto sugli aspetti organizzativi rilevanti (ad esempio, finanziari, reputazionali, ecc.). Questa percezione è rappresentata in scale come “basso-medio-alto” o “1-2-3-4-5”, che servono a definire il valore finale del rischio.

Poiché ha poca dipendenza matematica (il rischio può essere calcolato attraverso una semplice somma, moltiplicazione o altra forma di combinazione non matematica di valori di probabilità e di conseguenza), la valutazione qualitativa del rischio è facile e veloce da eseguire.

Un problema con la valutazione qualitativa è che è altamente distorta, sia in termini di probabilità che di definizione dell'impatto, da parte di coloro che la eseguono.

Ad esempio, per il personale delle risorse umane, gli impatti delle risorse umane saranno più rilevanti degli impatti dell'IT e viceversa. Per quanto riguarda un pregiudizio nella probabilità, una mancanza di comprensione dei tempi di altri processi può portare qualcuno a pensare che errori e fallimenti si verificano più spesso nel proprio processo che negli altri, e questo potrebbe non essere vero.

Questa situazione con pregiudizi generalmente rende la valutazione qualitativa più utile nel contesto locale in cui viene eseguita, perché le persone al di fuori del contesto probabilmente avranno divergenze per quanto riguarda la definizione del valore di impatto.

Valutazione quantitativa del rischio

D'altra parte, la valutazione quantitativa del rischio si concentra su dati fattuali e misurabili per calcolare i valori di probabilità e impatto, normalmente esprimendo i valori di rischio in termini monetari, il che rende i suoi risultati utili al di fuori del contesto della valutazione (la perdita di denaro è comprensibile per qualsiasi reparto aziendale). Per raggiungere un risultato monetario, la valutazione quantitativa del rischio fa spesso uso di questi concetti:

  • SLE (Single Loss Expectancy) – Aspettativa di perdita singola: denaro che si prevede andrà perso se l'incidente si verifica una sola volta.
  • ARO (Annual Rate of Occurrence) – Frequenza annua di occorrenza: quante volte in un intervallo di un anno si prevede che si verifichi l'incidente.
  • ALE (Annual Loss Expectancy) – Aspettativa di perdita annua: denaro che si prevede di perdere in un anno considerando SLE e ARO (ALE = SLE * ARO). Per la valutazione quantitativa del rischio, questo è il valore del rischio.

Basandosi su dati fattuali e misurabili, la valutazione quantitativa del rischio ha come principali vantaggi la presentazione di risultati molto precisi sul valore del rischio e il massimo investimento che renderebbe utile il trattamento del rischio, in modo che sia redditizio per l'organizzazione. Di seguito è riportato un esempio di come vengono calcolati i valori di rischio attraverso la valutazione quantitativa del rischio:

  • Valore del database: $ 2,5 milioni (SLE)
  • Le statistiche del produttore mostrano che un errore catastrofico nel database (dovuto a software o hardware) si verifica una volta ogni 10 anni (1/10 = 0,1) (ARO)
  • Valore di rischio: $ 2.500.000 x 0,1 = $ 250.000 (ALE)

Cioè, in questo caso, l'organizzazione ha un rischio annuale di subire una perdita di $ 250.000 in caso di perdita del suo database. Quindi, qualsiasi controllo implementato (ad es. backup, gestione delle patch, ecc.) che costa meno di questo valore sarebbe redditizio.

Il problema con la valutazione quantitativa è che, nella maggior parte dei casi, non ci sono dati sufficienti su SLE e ARO, o l'ottenimento di tali dati costa troppo.

Combinazione di approcci

Come puoi notare, le valutazioni qualitative e quantitative hanno caratteristiche specifiche che rendono ognuna di esse migliore per uno specifico scenario di valutazione del rischio, ma nel quadro generale, la combinazione di entrambi gli approcci può rivelarsi la migliore alternativa per un processo di valutazione del rischio.

Utilizzando innanzitutto l'approccio qualitativo, è possibile identificare rapidamente la maggior parte dei rischi. Successivamente, puoi utilizzare l'approccio quantitativo sui rischi più elevati, per avere informazioni più dettagliate per il processo decisionale.

Un esempio generale potrebbe essere un appuntamento medico. Il medico prima pone alcune semplici domande e dalle risposte del paziente decide quali esami più dettagliati eseguire, invece di provare tutti gli esami che conosce all'inizio.

Adatta il tuo approccio per ottimizzare i tuoi sforzi e risultati

La valutazione del rischio è una delle parti più critiche della gestione del rischio e anche una delle più complesse, influenzata da problemi umani, tecnici e amministrativi. Se non fatta correttamente, potrebbe compromettere tutti gli sforzi per implementare un sistema di gestione della sicurezza delle informazioni ISO 27001, che fa riflettere le organizzazioni sull'opportunità di eseguire valutazioni qualitative o quantitative. Ma non è necessario fare affidamento su un unico approccio, perché la ISO 27001 consente di eseguire una valutazione del rischio sia qualitativa che quantitativa.

Se la tua azienda ha bisogno di una valutazione del rischio facile e veloce, puoi optare per una valutazione qualitativa (e questo è ciò che fa il 99% delle aziende). Tuttavia, se hai bisogno di fare un investimento davvero importante che è fondamentale per la sicurezza, forse ha senso investire tempo e denaro nella valutazione quantitativa del rischio.

In breve, adottando un approccio combinato che tiene conto delle informazioni e dei tempi di risposta necessari, nonché dei dati e delle conoscenze disponibili, è possibile migliorare l'efficacia del processo di valutazione del rischio per la sicurezza delle informazioni ISO 27001 e anche fare un passo avanti rispetto a quanto richiesto dalla norma.

Quali sono i diversi tipi di valutazione del rischio?

Uno dei cambiamenti più significativi nella versione 2013 della ISO 27001 è che non prescrive più alcun approccio particolare nella valutazione del rischio. Sebbene richieda ancora l'adozione di un approccio di valutazione del rischio basato sui processi, l'obbligo di utilizzare un modello risorse-minacce-vulnerabilità nella fase di identificazione del rischio non esiste più.

Sebbene ciò offra maggiore libertà alle organizzazioni di scegliere l'approccio di identificazione del rischio più adatto alle loro esigenze, l'assenza di tale orientamento è fonte di molta confusione per le organizzazioni su come affrontare l'identificazione del rischio.

Qui spiegherò come la ISO 31010 (una norma incentrato sulla valutazione del rischio) può aiutarti, presentando alcuni dei suoi approcci di identificazione del rischio che possono essere utilizzati per trovare, riconoscere e descrivere i rischi. Anche se l'approccio suggerito dalla ISO 31010 non è obbligatorio per la ISO 27001, le aziende che desiderano esplorare altri approcci alla valutazione del rischio potrebbero trovarlo utile.

La fase di identificazione del rischio

Secondo la ISO 31010, lo scopo dell'identificazione del rischio è identificare cosa potrebbe accadere, o quali situazioni potrebbero esistere, che potrebbero influenzare il raggiungimento degli obiettivi proposti. Considerando la sicurezza delle informazioni, alcuni esempi pratici sono:

  • Uno sbalzo di tensione può causare il guasto di un'unità di archiviazione, con conseguente perdita di dati.
  • Una mancanza di attenzione può indurre un dipendente a inviare una segnalazione alla persona sbagliata, portando alla divulgazione non autorizzata di informazioni.
  • Un cambiamento delle condizioni ambientali può causare letture errate del dispositivo, compromettendo l'integrità dei dati.

Una volta identificato un rischio, l'organizzazione dovrebbe anche identificare eventuali controlli esistenti che influiscono su tale rischio e procedere alle fasi successive della valutazione del rischio (analisi del rischio e valutazione del rischio).

Potenziali metodologie per l'identificazione dei rischi

Secondo la ISO 31010, una descrizione del rischio deve contenere alcuni elementi:

  • fonti di rischio: elementi dello scenario che, isolati o combinati, possono potenzialmente influenzare i risultati attesi (es. l'energia elettrica per alimentare l'unità di accumulo)
  • evento: un insieme specifico di circostanze (es. guasto dell'unità di accumulo)
  • causa: la condizione iniziale che dà inizio all'evento (es. la sovratensione)
  • conseguenza: il risultato dell'evento che incide sull'obiettivo (es. perdita di dati, che pregiudica la disponibilità delle informazioni)

La ISO 31010 suggerisce le seguenti metodologie di identificazione del rischio che aiutano a raccogliere tutti gli elementi di rischio:

Brainstorming: una tecnica di creatività di gruppo per raccogliere una grande quantità di informazioni per trovare una conclusione per una situazione specifica. A causa della sua forte enfasi sull'immaginazione, è utile identificare i rischi in situazioni che richiedono una risposta rapida e hanno pochi dati formali disponibili (ad esempio, la selezione di misure meno dannose per contenere un attacco in corso), o sono nuovi per l'organizzazione, come rischi connessi all'ingresso in un nuovo segmento di mercato.

Intervista: una conversazione in cui vengono presentate domande predefinite a un intervistato per comprendere la sua percezione di una determinata situazione (ad es. tendenze del mercato, prestazioni dei processi, aspettative dei prodotti, ecc.) e quindi identificare i rischi considerando la sua prospettiva. È consigliato quando sono richiesti pareri particolari dettagliati (ad es. del AD, Direttore Finanziario, clienti, ecc.).

Metodo Delphi: una tecnica collaborativa anonima utilizzata per combinare diverse opinioni di esperti in modo affidabile e imparziale verso un consenso (ad esempio, selezionando un fornitore di sicurezza, definendo una strategia di protezione). Si differenzia dal brainstorming perché lavora per eliminare le soluzioni durante la sua realizzazione, invece di crearle. Dovrebbe essere preso in considerazione in situazioni in cui le caratteristiche dei partecipanti possono influenzare le opinioni degli altri (ad esempio, tutti sono d'accordo/in disaccordo con qualcuno solo a causa della sua posizione).

Checklist: una tecnica in cui viene elaborata una lista di elementi per garantire che gli argomenti più comuni, oltre a quelli critici, sull'oggetto in questione non vengano dimenticati durante l'identificazione del rischio (ad esempio, guasti comuni nello sviluppo del software o misure di protezione richieste dal contratto). Ciò aumenta la coerenza e la completezza dell'identificazione del rischio. Il suo utilizzo è consigliato nei casi in cui sono ampiamente disponibili informazioni storiche, riferimenti di mercato e conoscenza di situazioni precedenti.

Analisi dello scenario: metodologia che utilizza modelli che descrivono possibili scenari futuri per identificare i rischi considerando i possibili esiti, le strategie e le azioni che portano ai risultati e le possibili implicazioni per il business. Un approccio comune alla sicurezza delle informazioni è, ad esempio, l'uso di scenari permissivi, restrittivi ed equilibrati per identificare i rischi nel controllo degli accessi. Dovrebbe essere considerato in situazioni in cui sono disponibili più soluzioni o i risultati possono presentare grandi variazioni.

Che dire dell'approccio risorsa-minaccia-vulnerabilità?

Sebbene la metodologia basata sulle risorse non sia obbligatoria nella norma ISO 27001:2013, è comunque un approccio valido che viene utilizzato nella maggior parte dei progetti di conformità. Naturalmente, le organizzazioni che hanno già implementato un approccio basato sulle risorse e pensano che sia adatto a loro possono continuare a usarlo normalmente.

Tuttavia, se si desidera utilizzare un approccio diverso che possa trarre il massimo vantaggio dalla situazione e dalle informazioni disponibili, l'organizzazione può prendere in considerazione altri approcci per l'identificazione del rischio e rendere la valutazione del rischio più avanzata.

Per vedere come utilizzare il registro dei rischi ISO 27001 con cataloghi di risorse, minacce e vulnerabilità e ottenere suggerimenti automatici su come sono correlati, registrati per una prova gratuita di 14 giorni di Conformio, il software di conformità leader per la ISO27001.

Advisera Dejan Kosutic
Autore
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.