8 passaggi per una valutazione del rischio ISO27001 di successo
Se stai implementando lo standard di sicurezza delle informazioni ISO27001, non passerà molto tempo prima di incontrare i requisiti nell’area della valutazione e del trattamento del rischio. Infatti, se dovessi scegliere quale parte della norma fosse la più significativa, sarebbe probabilmente questa; è alla base di quasi tutto il resto, quindi è importante che tu lo capisca appieno.
In questo articolo, analizzeremo gli otto passaggi principali durante la conduzione di una valutazione del rischio ISO27001 e, si spera, elimineremo parte del mistero e della confusione attorno a questa importante area.
Qual è lo scopo della valutazione del rischio?
Ma perché dobbiamo fare una valutazione del rischio ISO27001? Immagino che la prima cosa da dire sia che ci sono molte azioni che potresti intraprendere per rendere la tua organizzazione più sicura. E intendo molto. C’è una scelta infinita di software, hardware, procedure, politiche e altri controlli che possono aiutare a bloccare le minacce e reagire quando le superano. Se la sicurezza fosse la tua unica considerazione, bloccheresti il sistema in modo che solo pochi eletti e istruiti possano accedervi e li faresti entrare in una stanza sicura (dopo aver scansionato le loro retine ovviamente) per utilizzare una singola funzione terminale completamente separato da Internet. E in un caso estremo è esattamente la cosa giusta da fare.
Quindi, come scegli quale livello di sicurezza implementare in modo che i tuoi sistemi siano protetti ma le persone possano comunque utilizzarli in modo efficace? Valuti i rischi e poi fai ciò che è giustificato e appropriato. E aiutare a identificare il miglior livello di compromesso è il punto della valutazione del rischio.
Quindi ora conosci il punto della valutazione del rischio, ecco i nostri 8 passaggi per una riuscita…
Hai dei dubbi? Rivolgiti ad un consulente iso
Passaggio 1: comprendere lo standard
Prima di iniziare a provare a soddisfare i requisiti dello standard ISO27001, consiglio sempre di leggerlo per assicurarti di fare ciò che dice effettivamente, piuttosto che basare il tuo lavoro sull’interpretazione di qualcun altro di ciò che dice. Quindi, se non hai ancora una copia dello standard, vai subito al sito web ISO e dai loro alcuni franchi svizzeri in cambio di una copia PDF. Mentre sei lì, potresti anche prendere in considerazione una copia di ISO27005 che descrive come condurre la gestione dei rischi per la sicurezza delle informazioni in modo più dettagliato.
La sezione principale della norma ISO27001 che contiene i requisiti relativi al rischio è la clausola 6. Pianificazione . La prima cosa da notare è che lo standard in realtà parla di “rischi e opportunità” piuttosto che solo di rischi. Un’opportunità è fondamentalmente un buon rischio o un rischio che ha un esito potenzialmente positivo. Anche se dovrai affrontare anche le opportunità, non ne parleremo più qui.
La seconda cosa da notare è che sono necessarie due aree principali di valutazione del rischio; uno ha a che fare con i rischi per il sistema di gestione della sicurezza delle informazioni (ISMS) in particolare (Clausola 6.1.1 Generale) e l’altro ha a che fare con rischi più generali per la sicurezza delle informazioni ( Clausola 6.1.2 Valutazione del rischio per la sicurezza delle informazioni ). In questo articolo, ci concentreremo sul secondo di questi.
Passaggio 2: decidi il tuo approccio
Esistono molti modi diversi per valutare i rischi, ma ciò a cui la maggior parte si riduce è una combinazione di probabilità e impatto . Puoi avere un rischio che è quasi certo che accadrà, ma se non causa molto dolore, è improbabile che sentirai che è giustificato fare qualsiasi cosa per fermarlo. Allo stesso modo, un rischio che sarebbe completamente catastrofico ma che è quasi certo non accadrà mai non meriterà la tua attenzione. Ma un rischio che è molto probabile e causerà enormi problemi ti terrà sveglio la notte a meno che tu non faccia qualcosa al riguardo.
Ma come si misura la probabilità e l’impatto? Anche in questo caso ci sono molti modi, ma tutti si riducono a due tipi di metodo: qualitativo e quantitativo. La prima è una valutazione soggettiva della scala della probabilità e dell’impatto, spesso utilizzando un intervallo numerico di base come da uno a cinque o da uno a dieci. Questo è generalmente un giudizio diretto. Il secondo cerca di mettere un numero significativo contro l’oggetto; per esempio, l’impatto è spesso espresso in termini di denaro: forse si verificherebbe una perdita di $ 10.000. Allo stesso modo, la probabilità potrebbe essere espressa in percentuale o il numero di volte in cui il rischio potrebbe verificarsi in un arco di tempo definito (ad esempio una volta ogni tre anni). Inevitabilmente questi approcci sono un compromesso tra facilità d’uso e precisione; se sei pronto a seguire la strada quantitativa, preparati a richiedere più tempo per definire ed eseguire la valutazione, anche se i risultati potrebbero essere più difendibili.
Qualunque approccio tu decida, dovrai anche considerare gli strumenti che utilizzerai per ottenere la valutazione del rischio. Viene spesso utilizzato un foglio di calcolo e anche una varietà di sistemi basati su cloud e desktop possono essere d’aiuto.
Passaggio 3: documenta il tuo processo
È un requisito dello standard ISO27001 che il processo di valutazione del rischio per la sicurezza delle informazioni esista come informazione documentata e fornisce un elenco di aree che questo documento dovrebbe coprire. Questi includono la definizione dei criteri per eseguire le valutazioni dei rischi e per l’accettazione dei rischi, garantire che le valutazioni producano risultati ragionevoli e quindi come identificare, valutare e valutare i rischi. Non dimenticare che ogni rischio deve avere anche un proprietario.
Sebbene il trattamento del rischio abbia una propria sottosezione dello standard ( 6.1.3 Trattamento del rischio per la sicurezza delle informazioni ), è possibile decidere di considerare i due aspetti nel loro insieme e includere la valutazione e il trattamento come un unico processo.
Passaggio 4: eseguire la valutazione del rischio
Una volta deciso l’approccio e documentato il processo, è giunto il momento di eseguire la valutazione iniziale del rischio. È importante ricordare che la valutazione e il trattamento del rischio sono uno sport di squadra e dovrai coinvolgere le persone giuste in ogni fase per identificare, analizzare, valutare e trattare i tuoi rischi. Approcci validi a questo compito includono lunghi incontri faccia a faccia (si spera con la pizza), presentazione di valutazioni individuali a un punto centrale per la raccolta e tour di interviste con persone rilevanti. Si spera che il risultato finale sia un elenco di rischi ben descritti con probabilità e impatti concordati che possono quindi essere presi in considerazione per il trattamento.
Passaggio 5 – Decidi i tuoi controlli
Il trattamento del rischio consiste nell’applicare controlli per ridurre la probabilità o l’impatto (o entrambi) di un rischio per portarlo entro livelli accettabili. Alcuni dei tuoi rischi potrebbero essere già accettabili (secondo i tuoi criteri definiti) e va bene. Ma per quelli che superano i livelli accettabili è necessario fare alcune scelte su cosa fare al riguardo. Per la ISO27001 il modo principale per trattare i rischi è utilizzare l’elenco dei controlli di riferimento nell’allegato A della norma. È possibile utilizzare un diverso insieme di controlli (come quelli definiti dal NIST, un ente di normalizzazione degli Stati Uniti, per esempio) ma la maggior parte delle persone non lo fa, soprattutto perché il set nell’allegato A è proprio lì nello standard e sono generalmente considerati essere abbastanza buono per cominciare. Spesso dovrai usare i tuoi controlli, definiti localmente, oltre al set di controlli dell’allegato A ed è perfettamente ok.
Passaggio 6: implementa i controlli
Quindi hai identificato, valutato e valutato i tuoi rischi e hai deciso i controlli che utilizzerai per portarli a livelli accettabili. Tutto quello che devi fare ora è implementare quei controlli. Facile eh? Bene, spesso è qui che inizia il duro lavoro perché lo standard ISO27001 include 114 controlli e, anche se potrebbero non essere necessari tutti, ci sono ancora molte procedure e politiche da mettere in atto, software da installare e formazione da fornire. Alcune di queste attività potrebbero richiedere mesi anziché settimane, quindi cerca di distribuire il più possibile il carico tra team e individui.
Passaggio 7: crea la tua dichiarazione di applicabilità
A seconda della natura della tua attività, potresti non aver bisogno di tutti i controlli elencati nell’allegato A della norma ISO27001. Nell’ambito della certificazione, ti verrà richiesto di creare un documento chiamato “Dichiarazione di applicabilità” che indichi quali dei controlli si applicano o non si applicano, le ragioni principali di ciò e se sono ancora implementati.
Passaggio 8: revisione e revisione
Dopo aver completato la tua valutazione del rischio iniziale e aver messo in atto i controlli applicabili, entrerai quindi in una fase di revisione continua in cui tieni d’occhio i tuoi rischi per rilevare eventuali cambiamenti che vale la pena rivalutare. Ciò potrebbe essere dovuto a modifiche interne come nuove aree di business o eventi esterni come livelli di minaccia aumentati. I controlli applicabili possono cambiare nel tempo man mano che la tua attività si sviluppa, quindi dovrai mantenere aggiornata la Dichiarazione di applicabilità.
Rivolgiti a consulenti qualità certificati per avere ulteriori dettagli in merito.
In conclusione
La valutazione e il trattamento del rischio è uno degli strumenti principali che un’organizzazione ha a disposizione per proteggersi dalle minacce alla sicurezza delle informazioni. le certificazioni aziendali possono realmente fare la differenza in alcuni contesti. Fatto bene, questo processo fornisce un meccanismo adattabile per adeguare i tuoi controlli (e quindi le spese) in modo che il livello di protezione che mantieni rimanga appropriato e proporzionato e si eviti una reazione eccessiva dispendiosa.
