Header Ad

Categories

Most Popular

  • giovedì, Giugno 5, 2025
  • Header Ad

Valutazione del rischio ISO 27001: basata su asset e basata su scenari

  • 389
  • 5
Valutazione del rischio ISO 27001

Valutazione del rischio ISO 27001: basata su asset e basata su scenari

La valutazione del rischio è una parte fondamentale dei requisiti dello standard ISO27001 ed è una certezza che un’organizzazione non otterrà la certificazione a meno che quest’area non sia stata affrontata. Ma è uno degli argomenti che crea più confusione nel percorso verso la certificazione, in particolare la scelta del tipo di valutazione del rischio da effettuare. In questo articolo del blog esaminiamo due degli approcci di valutazione del rischio ISO27001 più popolari: asset-based e scenario-based, e discutiamo i pro e i contro di ciascuno.

Valutazione del rischio ISO 27001

Un po’ di storia…

Nella versione 2005 della norma ISO27001 la scelta era già stata fatta per te; la valutazione del rischio basata sugli asset era la strada da percorrere e il testo era piuttosto prescrittivo:

4.2.1 Istituire l’ISMS

d) Identificare i rischi.

1) Identificare le risorse che rientrano nell’ambito dell’ISMS e i proprietari di queste risorse.

2) Identificare le minacce a tali risorse.

3) Identificare le vulnerabilità che potrebbero essere sfruttate dalle minacce.

4) Identificare gli impatti che le perdite di riservatezza, integrità e disponibilità possono avere sugli asset.

Quindi la discussione su come eseguire la valutazione del rischio è stata un po’ limitata.

La versione attuale dello standard ISO/IEC27001

Nella versione del 2013, tuttavia, ci è stato consentito di scegliere il nostro approccio di valutazione del rischio, purché soddisfi determinati criteri:

6.1.2 Valutazione del rischio per la sicurezza delle informazioni

L’organizzazione deve definire e applicare un processo di valutazione del rischio per la sicurezza delle informazioni che…

Ciò non significava che non si poteva continuare a eseguire valutazioni del rischio basate sugli asset, semplicemente non era necessario . Ma questo potrebbe spiegare perché il metodo basato sugli asset è ancora popolare negli ISMS in tutto il mondo.

Allora, cos’è una valutazione del rischio basata sugli asset?

Una valutazione del rischio basata sugli asset ruota attorno a tre concetti principali:

  1. Risorse
  2. Minacce
  3. Vulnerabilità

Diamo un’occhiata a ciascuno di questi a turno.

  1. Risorse

In teoria, le risorse sono tutto ciò che ha valore per la tua organizzazione. In pratica in un contesto ISO27001 si parla principalmente di asset informativi e dell’infrastruttura che li supporta. Un asset informativo è in genere un insieme di dati che l’organizzazione utilizza o archivia per raggiungere il suo scopo, quindi potrebbe essere un database clienti, record fornitori, dati finanziari ecc. La definizione di asset include anche hardware e software e cose fisiche come come edifici, ma questi tendono ad essere secondari rispetto alle risorse informative, quindi ad esempio un database di clienti è ospitato su un server che esegue Apache.

  1. Minacce

Una minaccia è qualcosa che potrebbe accadere alla tua risorsa per influire sulla sua riservatezza, integrità o disponibilità (la “triade della CIA” – un concetto centrale in ISO27001). Quindi questo potrebbe essere un hacker (l ‘”attore della minaccia”) che irrompe nel tuo server per rubare il database dei tuoi clienti (l’asset) o, più probabilmente, per crittografarlo e chiedere un riscatto.

  1. Vulnerabilità

Questo è il concetto che è probabilmente il più difficile da comprendere veramente. Che cos’è una “vulnerabilità”? Bene, fondamentalmente è una debolezza che non è stata risolta, il che rende più facile per la minaccia attaccare l’asset. Una classica vulnerabilità è un bug del software che non è stato corretto e nel corso degli anni sono stati numerosi quelli coinvolti in violazioni di alto profilo. Ma potrebbe anche trattarsi di un errore di configurazione, ad esempio la mancata protezione del bucket AWS o la mancanza di autenticazione a più fattori (MFA) su un accesso a una risorsa importante.

Potresti valutare di approfondire questo discorso con il tuo consulente qualità di fiducia.

Mettendolo insieme

Una valutazione del rischio basata sulle risorse comporta quindi l’esame delle minacce a ciascuna delle tue risorse e la decisione se ci sono vulnerabilità che la minaccia potrebbe sfruttare per influenzare la CIA della tua risorsa. Per coloro che sono al di sopra della tua propensione al rischio (ovvero, il grado di rischio con cui ti senti a tuo agio) tratteresti il ​​rischio utilizzando uno o più controlli.

Ad esempio, la narrazione potrebbe essere “è molto probabile che qualcuno possa hackerare il server (minaccia) che contiene il database del nostro cliente (asset) e crittografarlo perché non stiamo applicando correttamente le patch ad Apache (vulnerabilità), quindi acquisteremo del software che lo corregga in modo più affidabile (controllo)”.

Quindi, in che cosa differisce una valutazione del rischio basata su uno scenario?

Mentre una valutazione del rischio basata sulle risorse inizia con un elenco di risorse, una basata su scenari inizia con un elenco di cose che potrebbero accadere (scenari, molto simili alla nostra definizione di minacce sopra). Quindi inizieresti spesso con una sessione di brainstorming per elaborare un elenco di scenari da considerare e quindi elaborare cosa accadrebbe se si verificassero. Per valutare correttamente l’impatto è comunque necessario avere una buona comprensione delle proprie risorse e dei controlli esistenti in atto, quindi questo tipo di valutazione non è molto diverso da quello che abbiamo appena descritto.

La narrazione potrebbe includere domande come:

  • Cosa accadrebbe se qualcuno entrasse nella nostra rete?
  • Qual è il peggior danno che potrebbero fare?
  • Come stiamo già affrontando questo rischio?
  • Cos’altro potremmo fare per renderlo più difficile per loro?

Basato su asset o basato su scenari: qual è il migliore?

L’importante qui è che la tua valutazione del rischio sia completa quanto ti serve e che produca una serie di azioni che miglioreranno davvero la tua posizione di sicurezza. La maggior parte delle persone sarebbe d’accordo sul fatto che un approccio basato su scenari sia probabilmente più facile da capire, ma alcuni sosterrebbero che ciò è dovuto al fatto che è meno strutturato e quindi alcuni rischi potrebbero essere tralasciati. Tuttavia, il metodo basato sullo scenario può consentire al tuo team di concentrarsi prima sui rischi grandi e importanti per farli curare più velocemente. È probabile che l’approccio basato sugli asset produca un elenco più lungo di rischi che, sebbene ciò significhi che è più completo, potrebbe rendere la valutazione del rischio ingombrante e più difficile da attuare.

Richiedi una consulenza iso 9001 presso professionisti di lunga esperienza sul campo.

In sintesi

È un’affermazione ragionevole che “la migliore valutazione del rischio è quella che fai effettivamente”, perché qualunque metodo utilizzi, l’importante è incoraggiare tutte le persone coinvolte a pensare ai rischi. In ogni caso, dovrai fornire almeno una formazione di base su come condurre una valutazione del rischio in modo che tutti siano chiari sull’approccio scelto.

E una volta completata la valutazione del rischio, sarai un passo avanti verso il conseguimento della certificazione.

Ricorda che le certificazioni aziendali possono realmente fare la differenza in alcuni contesti.

Related Articles

Loader..

    Leave Your Comment

    Your email address will not be published.*

    Forgot Password