La gestione del rischio è probabilmente la parte più complessa dell'implementazione della ISO 27001 ma, allo stesso tempo, è il passo più importante all'inizio del tuo progetto per la sicurezza delle informazioni: pone le basi per la sicurezza delle informazioni nella tua azienda.
La gestione del rischio consta di due elementi principali: la valutazione del rischio (spesso chiamata analisi del rischio) e il trattamento del rischio.
Ma cosa sono effettivamente la valutazione e il trattamento del rischio e qual è il loro scopo? La valutazione del rischio è un processo durante il quale un'organizzazione deve identificare i rischi per la sicurezza delle informazioni e determinarne la probabilità e l'impatto. In parole povere, l'organizzazione deve riconoscere tutti i potenziali problemi con le relative informazioni, quanto è probabile che si verifichino e quali potrebbero essere le conseguenze.
Lo scopo del trattamento del rischio è scoprire quali controlli di sicurezza (cioè misure di protezione) sono necessari per evitare quei potenziali incidenti: la selezione dei controlli è chiamata processo di trattamento del rischio e nella ISO 27001 sono scelti dall'allegato A, che specifica 114 controlli diversi.
Sebbene la gestione del rischio nella ISO 27001 sia un lavoro complesso, molto spesso è inutilmente mal indirizzato. Questi sei passaggi di base faranno luce su ciò che devi fare:
Questo è il primo passo del tuo viaggio attraverso la gestione del rischio nella ISO 27001. Devi definire le regole su come svolgerai la gestione del rischio, perché vuoi che l'intera organizzazione lo faccia allo stesso modo: il problema più grande con la valutazione del rischio si verifica quando parti diverse dell'organizzazione la eseguono in modi diversi. Pertanto, è necessario definire se si desidera una valutazione del rischio qualitativa o quantitativa, quali scale verranno utilizzate per la valutazione qualitativa, quale sarà il livello di rischio accettabile, ecc.
Una volta che conosci le regole, puoi iniziare a scoprire quali potenziali problemi potrebbero verificarsi: devi elencare tutte le tue risorse, quindi le minacce e le vulnerabilità relative a tali risorse, valutare l'impatto e la probabilità per ciascuna combinazione di risorse/minacce/vulnerabilità e infine calcolare il livello di rischio.
Secondo la mia esperienza, le aziende di solito sono consapevoli solo del 30% dei loro rischi. Pertanto, probabilmente troverai questo tipo di esercizio piuttosto rivelatore: quando avrai finito, inizierai ad apprezzare lo sforzo che hai fatto.
Naturalmente, non tutti i rischi sono uguali: devi concentrarti su quelli più importanti, i cosiddetti "rischi non accettabili".
Quando si implementa il trattamento del rischio nella ISO 27001, ci sono quattro opzioni tra cui scegliere per gestire (ovvero mitigare) ogni rischio non accettabile, come spiegato più avanti in questo articolo.
A differenza dei passaggi precedenti, questa fase è piuttosto noiosa: devi documentare tutto ciò che hai fatto finora. Questo non va fatto solo per gli auditor, poiché potresti voler controllare tu stesso questi risultati tra un anno o due.
Questo documento mostra effettivamente il profilo della sicurezza della tua azienda: in base ai risultati del trattamento del rischio nella ISO 27001, devi elencare tutti i controlli che hai implementato, perché li hai implementati e in che modo. Questo documento è anche molto importante perché l'auditor di certificazione lo utilizzerà come linea guida principale per l'audit.
Per i dettagli su questo documento, vedere questo articolo: The importance of Statement of Applicability for ISO 27001.
Questa è la fase in cui devi passare dalla teoria alla pratica. Siamo sinceri: fino ad ora, l'intero lavoro di gestione del rischio era puramente teorico, ma ora è il momento di mostrare alcuni risultati concreti.
Questo è lo scopo del Piano di trattamento del rischio: definire esattamente chi implementerà ciascun controllo, in quale periodo, con quale budget, ecc. Preferirei chiamare questo documento un "Piano di implementazione" o "Piano di azione", ma atteniamoci alla terminologia utilizzata nella ISO 27001.
E questo è tutto: hai iniziato il tuo viaggio dal non sapere come impostare la sicurezza delle informazioni fino ad avere un quadro molto chiaro di ciò che devi implementare. Il punto è che la ISO 27001 ti obbliga a fare questo viaggio in modo sistematico.
La ISO/IEC 27005 è una norma dedicata esclusivamente alla gestione dei rischi per la sicurezza delle informazioni. È molto utile se si desidera ottenere informazioni più approfondite sulla valutazione e sul trattamento dei rischi per la sicurezza delle informazioni, ovvero se si desidera lavorare come consulente o forse come responsabile della sicurezza delle informazioni/responsabile del rischio su base permanente.
Tuttavia, se stai solo cercando di fare una valutazione del rischio una volta all'anno, questa norma probabilmente non è necessaria per te.
La ISO 27001 richiede di documentare l'intero processo di valutazione del rischio (paragrafo 6.1.2), e questo di solito viene fatto nel documento chiamato Metodologia di valutazione del rischio. Sfortunatamente, è proprio qui che troppe aziende commettono il primo grande errore: iniziano a implementare la valutazione del rischio senza la metodologia, in altre parole, senza definire delle regole chiare su come farlo.
Ci sono molti miti su come dovrebbe essere la valutazione del rischio, ma in realtà i requisiti ISO 27001:2013 non sono molto difficili – ecco cosa richiede la clausola 6.1.2:
Quindi, in sostanza, devi definire questi cinque elementi: qualunque cosa non li includa tutti non sarà sufficiente ma, soprattutto, non è necessario aggiungere niente di più, il che significa: non complicare troppo le cose.
E sì, devi assicurarti che i risultati della valutazione del rischio siano coerenti, cioè devi definire una metodologia che produca risultati comparabili in tutti i reparti della tua azienda.
Naturalmente, ci sono molte opzioni disponibili per i cinque elementi di cui sopra: ecco cosa puoi scegliere:
Identificazione del rischio. Nella revisione del 2005 della ISO 27001, è stata prescritta la metodologia per l'identificazione: era necessario identificare risorse, minacce e vulnerabilità. L'attuale revisione del 2013 della ISO 27001 non richiede tale identificazione, il che significa che puoi identificare i rischi in base ai tuoi processi, in base ai tuoi reparti, utilizzando solo minacce e non vulnerabilità, o qualsiasi altra metodologia che ti piace; tuttavia, la mia preferenza personale è ancora il buon vecchio metodo risorse-minacce-vulnerabilità. (Vedi anche questo list of threats and vulnerabilities.)
I proprietari del rischio. Fondamentalmente, devi scegliere una persona che sia interessata a risolvere un rischio e sia posizionata abbastanza in alto nell'organizzazione per fare qualcosa al riguardo. Vedi anche questo articolo: Risk owners vs. asset owners in ISO 27001:2013.
Valutare le conseguenze e la probabilità. Devi valutare separatamente le conseguenze e la probabilità per ciascuno dei tuoi rischi; sei completamente libero di usare la scala che preferisci, ad esempio Basso-Medio-Alto, o da 1 a 5, o da 1 a 10, qualunque cosa sia più adatta alla tua azienda. Naturalmente, se vuoi semplificare le cose, scegli la scala Basso-Medio-Alto.
Metodo di calcolo del rischio. Questo di solito viene fatto tramite addizione (ad es. 2 + 5 = 7) o tramite moltiplicazione (ad es. 2 x 5 = 10). Se usi la scala Basso-Medio-Alto, è come usare la scala 1-2-3, quindi hai i numeri per effettuare il calcolo.
Criteri per l'accettazione dei rischi. Se il tuo metodo di calcolo del rischio produce valori da 2 a 10, allora puoi decidere che un livello di rischio accettabile è, ad esempio, 7 – ciò significherebbe che solo i rischi valutati a 8, 9 e 10 necessitano di trattamento. In alternativa, puoi esaminare ogni singolo rischio e decidere quale debba essere trattato o meno in base alla tua intuizione ed esperienza, senza utilizzare valori predefiniti. Anche questo articolo può esserti d’aiuto: Why is residual risk so important?
Nella sezione "Valutazione del rischio", troverai informazioni su come eseguire la valutazione del rischio.
Quindi, il punto è questo: non devi iniziare a valutare i rischi usando un foglio che hai scaricato da qualche parte su Internet: questo foglio potrebbe utilizzare una metodologia completamente inadatta per la tua azienda. Non devi iniziare a utilizzare la metodologia prescritta dallo strumento di valutazione del rischio che hai acquistato; dovresti invece scegliere lo strumento di valutazione del rischio che si adatta alla tua metodologia. (Oppure potresti decidere che non hai affatto bisogno di uno strumento e che puoi farlo usando dei semplici fogli Excel.)
In ogni caso, non dovresti iniziare a valutare i rischi prima di aver adattato la metodologia alla tua situazione specifica e alle tue esigenze.
Ho visto molte piccole aziende tentare di utilizzare un software per la gestione del rischio come parte del loro progetto di implementazione ISO 27001 che era probabilmente molto più adatto a delle grandi aziende. Il risultato è che di solito ci impiega troppo tempo e denaro per ottenere un effetto scarso.
Ecco alcuni suggerimenti su come rendere più gestibile la gestione del rischio per le aziende più piccole:
Per concludere: la valutazione e il trattamento del rischio sono davvero i fondamenti della sicurezza delle informazioni / ISO 27001, ma ciò non significa che debbano essere complicati. Puoi farlo in modo semplice e il tuo buon senso è ciò che conta davvero.
Quando le organizzazioni pensano ai rischi, generalmente si concentrano su ciò che potrebbe andare storto e adottano delle misure per prevenirlo, o almeno per minimizzarne gli effetti. Ma i rischi possono anche significare che può succedere qualcosa di buono e, non essendo pronti a sfruttare la situazione, se ne possono perdere i benefici.
Questa sezione illustrerà come considerare e gestire i rischi positivi, noti anche come opportunità, nel contesto della ISO 27001. Includendo le opportunità in un approccio SGSI, le organizzazioni possono aumentare i vantaggi della sicurezza delle informazioni.
Per la ISO 27001, il rischio è "l'effetto dell'incertezza sugli obiettivi" e "l'incertezza" è il motivo per cui non possiamo controllare completamente tutti i rischi (dopotutto, non puoi difenderti da ciò che non conosci o non capisci).
La stessa ISO 27001 non prescrive come trattare i rischi, mentre la norma di supporto, la ISO 27005, suggerisce quattro opzioni: modifica del rischio, mantenimento del rischio, prevenzione del rischio e condivisione del rischio. Informazioni dettagliate su queste opzioni di trattamento del rischio possono essere trovate più avanti nell'articolo, ma in breve, tutte le opzioni mirano a ridurre la probabilità che si verifichi un rischio e/o minimizzarne gli effetti; cioè, considerano gli scenari in cui qualcosa potrebbe andare storto.
Sebbene questo approccio possa essere stato appropriato all'inizio della norma, le organizzazioni oggi non possono più semplicemente pensare in termini di cosa può andare storto in relazione alla sicurezza delle informazioni.
Nella norma più completa dell'ISO sulla gestione del rischio, la ISO 31000 – Gestione del rischio – Linee guida, oltre alle opzioni per gestire i rischi negativi, un'organizzazione può anche prendere in considerazione l’accettazione o l'aumento del rischio per perseguire un'opportunità, che può essere raggiunta attraverso:
Inoltre, la condivisione del rischio e l'accettazione del rischio possono essere utilizzate anche nel contesto della gestione delle opportunità.
La risposta può sembrare ovvia... e, in effetti, lo è: quando il guadagno è maggiore delle perdite potenziali, e si possono accettare le perdite se si verificano.
Nell'esempio dell’accesso remoto, dovrai considerare non solo le opportunità perse legate a una mancata implementazione del servizio (es. perdita di tempo e fatica del team), ma anche le potenziali perdite legate ai rischi derivanti dall'uso dell'accesso remoto stesso (ad es. perdita della riservatezza delle informazioni).
Se queste potenziali perdite possono essere accettate dall'organizzazione, se dovessero verificarsi e sono inferiori ai potenziali guadagni derivanti dall'aumento della produttività, perché non correre il rischio?
"Sperare nel meglio e prepararsi al peggio" è un motto comune per la pianificazione del rischio, ma in un momento in cui le organizzazioni richiedono il miglior uso delle risorse e ogni opportunità è cruciale, sperare semplicemente nel meglio non funziona più.
Adottando gli approcci di trattamento delle opportunità della ISO 31000 e introducendoli nel processo di gestione del rischio della ISO 27001, le organizzazioni possono svelare e sfruttare una nuova serie di opportunità che possono non solo migliorare le operazioni interne, ma anche aumentare i profitti e la visibilità sul mercato
Normalmente, eseguire la valutazione del rischio nella ISO 27001 è stressante solo quando si esegue questa operazione per la prima volta, il che significa che la valutazione del rischio non deve essere difficile una volta che sai come è stata eseguita.
Quindi, come puoi prepararti a ridurre questo stress?
Poiché la valutazione e il trattamento del rischio sono piuttosto lunghi e complessi, puoi decidere se saranno gestiti dal project manager/responsabile della sicurezza delle informazioni da solo o con l'aiuto di qualche esperto esterno (ad es. un consulente). Un consulente potrebbe essere molto utile per le aziende più grandi, non solo per guidare il responsabile attraverso l'intero processo, ma anche per eseguire parte del processo, ad esempio, un consulente potrebbe fare i workshop e/o le interviste, compilare tutte le informazioni, scrivere i rapporti ecc., mentre il coordinatore dovrebbe gestire l'intero processo e coordinare le persone all'interno dell'azienda.
Le aziende più grandi di solito hanno un project team per l'implementazione della ISO 27001, quindi questo stesso project team prenderà parte al processo di valutazione del rischio: i membri del project team potrebbero effettuare le interviste.
Le aziende più piccole non hanno bisogno di avere un consulente o un project team: sì, il project manager dovrà prima ricevere un po' di formazione, ma con la documentazione e/o gli strumenti appropriati, questo processo può essere eseguito senza l'aiuto di esperti.
Gli strumenti possono accelerare il processo di valutazione e trattamento del rischio perché devono contenere i cataloghi di risorse, minacce e vulnerabilità; devono essere in grado di compilare i risultati in modo semiautomatico; e anche la produzione dei rapporti dovrebbe essere facile, il che li rende un'ottima scelta per le aziende più grandi.
Tuttavia, per le aziende più piccole, il prezzo di tali strumenti potrebbe essere un ostacolo, anche se a mio avviso un ostacolo ancora più grande è il fatto che tali strumenti a volte sono troppo complessi per le aziende più piccole. In altre parole, il tempo necessario per imparare a lavorare con uno strumento del genere è generalmente molto più lungo di quello necessario per gestire dozzine di fogli Excel. Per non parlare del fatto che tali strumenti di solito richiedono di seguire una metodologia di valutazione del rischio eccessivamente complessa, che potrebbe essere sovradimensionata per le aziende più piccole.
In altre parole, se sei un'azienda piccola, scegli con attenzione lo strumento di valutazione del rischio e assicurati che sia facile da usare per le piccole organizzazioni.
La valutazione del rischio significa che devi ottenere molti input dai tuoi dipendenti - essenzialmente, ci sono tre modi per farlo:
L'ultima opzione è probabilmente la più semplice dal punto di vista del coordinatore, ma il problema è che le informazioni raccolte in questo modo saranno di bassa qualità. Se il processo di valutazione del rischio non è molto chiaro per te, sicuramente sarà ancora meno chiaro per gli altri dipendenti della tua azienda, non importa quanto sia piacevole la tua spiegazione scritta.
Naturalmente, fare le interviste produrrà probabilmente risultati migliori; tuttavia, questa opzione spesso non è fattibile perché richiede un grande investimento di tempo da parte del coordinatore. Quindi svolgere workshop molto spesso risulta essere la soluzione migliore.
La decisione sul livello di rischio (conseguenza e probabilità) dovrebbe sempre essere lasciata alle persone responsabili delle attività: il coordinatore non conoscerà mai abbastanza bene le risorse, i processi e l’ambiente per prendere tali decisioni, ma le persone che ci lavorano sicuramente lo ne avranno un’idea migliore.
Tuttavia, il coordinatore ha un’altra importante funzione durante il processo di valutazione del rischio: una volta che inizia a ricevere i risultati della valutazione del rischio, deve assicurarsi che abbiano un senso e che i criteri tra i diversi reparti siano uniformi. Anche se i workshop sono stati svolti o è stata fornita una spiegazione durante l’intervista alla persona responsabile, tenderanno sempre a dare un’importanza molto maggiore (ovvero rischi più elevati) al proprio reparto – in questi casi, il coordinatore deve mettere in discussione tale valutazione e chiede a questa persona di riconsiderare la sua decisione.
La gestione del rischio in generale, ma in particolare la valutazione e l'analisi del rischio, può sembrare una perfetta opportunità per complicare le cose: poiché i requisiti della ISO 27001 sono piuttosto semplicistici, puoi aggiungere numerosi elementi nel tentativo di rendere il tuo approccio più "scientifico".
Ma devi farti una domanda: il tuo obiettivo è creare una perfetta valutazione del rischio che dovrà essere eseguita per diversi mesi o forse anni (perché è estremamente difficile elencare tutti i potenziali rischi che potrebbero esserci), oppure è il tuo obiettivo di completare questo processo in un lasso di tempo ragionevole, sapendo che non sarà accurato al 100%?
Se scegli quest'ultimo approccio, identificherai i rischi principali e farai in modo che i dipendenti inizino a pensare alla necessità di proteggere le informazioni aziendali. E avrai sempre l'opportunità di aggiungere gli altri rischi in seguito, una volta terminata l'implementazione iniziale. Questo è comunque ciò che la ISO 27001 ti richiede, come parte del miglioramento continuo.
La ISO 27001 richiede che la valutazione del rischio abbia cinque fasi principali, le stesse che sono spiegate nella sezione relativa alla metodologia di valutazione del rischio:
Ciascuna di queste fasi è descritta nelle sezioni seguenti.
L'attuale revisione del 2013 della ISO 27001 ti consente di identificare i rischi utilizzando qualsiasi metodologia tu voglia; tuttavia, la metodologia denominata “asset-based risk assessment” (valutazione del rischio sulla base delle risorse, definita dalla vecchia revisione del 2005 della ISO 27001) è ancora dominante e richiede l'identificazione di risorse, minacce e vulnerabilità.
Quindi, come si combinano risorse, minacce e vulnerabilità per identificare i rischi?
Per semplificare la valutazione del rischio, puoi utilizzare un foglio o un software che elencherà risorse, minacce e vulnerabilità divisi in colonne; dovresti anche includere alcune altre informazioni come l'ID del rischio, i proprietari del rischio, l'impatto e la probabilità, ecc.
Se usi un foglio, ho trovato più facile iniziare a elencare gli elementi colonna per colonna, non riga per riga: ciò significa che dovresti prima elencare tutte le tue risorse e solo allora iniziare a trovare un paio di minacce per ciascuna risorsa e, infine, trovare un paio di vulnerabilità per ogni minaccia.
Per sapere quali tipi di risorse dovresti prendere in considerazione, leggi questo articolo: How to handle Asset register (Asset inventory) according to ISO 27001 e clicca qui per vedere un catalogo di threats and vulnerabilities adatte alle piccole e medie imprese.
Vediamo, allora, come potrebbe apparire questa corrispondenza dei tre componenti, ad esempio:
Risorsa – documento cartaceo:
Asset – documento digitale:
Risorsa – amministratore di sistema (una persona):
A prima vista potrebbe sembrare complicato, ma una volta che inizi a farlo, vedrai che procederai piuttosto rapidamente.
Per accelerare il processo, dovresti raggruppare le tue risorse in modo da avere meno elementi con cui eseguire la valutazione del rischio, ad esempio:
Puoi raggruppare i tuoi dipendenti in, ad esempio, "top management", "amministratori di sistema IT" e "altri dipendenti".
Molto spesso, la gente mi chiede quanti rischi debbano elencare. Se iniziano a essere davvero scrupolosi, per ogni risorsa potrebbero trovare 10 minacce e per ogni minaccia almeno cinque vulnerabilità: una cosa piuttosto opprimente, vero? Se sei una piccola azienda con 50 risorse, ciò significherebbe che ti ritroveresti con 2.500 rischi, il che sarebbe probabilmente eccessivo per un'azienda di queste dimensioni.
Questo è il motivo per cui dovresti concentrarti solo sulle minacce e sulle vulnerabilità più importanti, ad esempio da tre a cinque minacce per risorsa e una o due vulnerabilità per minaccia.
Quindi il numero di rischi dovrebbe dipendere grosso modo dal numero di dipendenti nella tua azienda:
Numero dei dipendenti | Numero delle risorse | Numero dei rischi |
Fino a 5 | Da 5 a 10 | Da 30 a 60 |
Da 5 a 20 | Da 10 a 15 | Da 60 a 90 |
Da 20 a 50 | Da 15 a 30 | Da 90 a 180 |
Da 50 a 200 | Da 30 a 60 | Da 180 a 360 |
Da 200 a 500 | Da 60 a 200 | Da 360 a 1200 |
 
Ci sono altri fattori che influenzeranno il numero di rischi: ad esempio, se sei un istituto finanziario o fornisci servizi all'esercito, probabilmente dovresti fare uno sforzo aggiuntivo per identificare più rischi di quelli mostrati sopra.
Naturalmente, nel tempo scoprirai altri rischi che non hai identificato prima: dovresti aggiungerli al tuo elenco di rischi in seguito. Dopotutto, questo è ciò che riguarda il miglioramento continuo della ISO 27001.
Personalmente mi piace questa metodologia di risorse-minacce-vulnerabilità, perché penso che offra un buon equilibrio tra fare una valutazione del rischio rapidamente e allo stesso tempo farla in modo sistematico e sufficientemente dettagliato in modo da poter individuare dove si trovi il potenziale problema per la sicurezza.
Ed è proprio questo l'obiettivo della valutazione del rischio: scoprire un potenziale problema prima che si verifichi effettivamente. In altre parole, la ISO 27001 ti dice: meglio prevenire che curare.
Una volta che hai un elenco dei tuoi rischi, devi definire chi è responsabile di ciascuno di essi.
Nelle aziende molto piccole, puoi nominare una sola persona come proprietario del rischio per tutti i rischi; tuttavia, sia per le grandi che per le piccole imprese, un approccio molto migliore sarebbe considerare ciascun rischio separatamente e definire i proprietari del rischio sulla base di questi fattori:
Ad esempio, il proprietario del rischio di un rischio relativo alle registrazioni del personale potrebbe essere il capo del dipartimento delle risorse umane, perché questa persona sa meglio come vengono utilizzate queste registrazioni e quali sono i requisiti legali e possiede autorità sufficiente per avviare i cambiamenti nei processi e la tecnologia necessaria per la protezione.
Il passo successivo è calcolare quanto è grande ciascun rischio: ciò si ottiene valutando le conseguenze (chiamate anche impatto) che si avrebbero se il rischio si materializzasse e valutando la probabilità che il rischio si verifichi; con queste informazioni, puoi facilmente calcolare il livello di rischio.
La ISO 27001 in realtà non ti dice come fare la tua valutazione del rischio, ma ti dice che devi valutare le conseguenze e la probabilità e determinare il livello di rischio, quindi spetta a te decidere quale sia l'approccio più appropriato per la tua azienda.
Sulla base della ISO 27005, ci sono essenzialmente due modi per analizzare i rischi utilizzando il metodo qualitativo: la valutazione semplice del rischio e la valutazione dettagliata del rischio - troverai la loro spiegazione di seguito. La ISO 27005 suggerisce anche altri approcci alla valutazione del rischio, ma sono più complicati e non sono trattati in questo articolo.
Più avanti in questo articolo troverai una spiegazione del motivo per cui la valutazione quantitativa del rischio non può essere utilizzata nella pratica normale.
Nella valutazione semplice del rischio, valuti direttamente le conseguenze e la probabilità: una volta identificati i rischi, devi semplicemente utilizzare le scale per valutare separatamente le conseguenze e la probabilità di ciascun rischio. Ad esempio, puoi utilizzare la scala da 0 a 4, dove 0 è molto basso, 1 basso, 2 medio e così via, o la scala da 1 a 10, o Basso-Medio-Alto o qualsiasi altra scala. Più ampia è la scala, più precisi saranno i risultati che avrai, ma anche più tempo dovrai dedicare alla valutazione.
Quindi, ad esempio, nella valutazione semplice del rischio potresti avere qualcosa del genere:
Nella valutazione dettagliata del rischio, invece di valutare due elementi (conseguenze e probabilità), si valutano tre elementi: valore della risorsa, minaccia e vulnerabilità. Quindi, ecco un esempio di questa valutazione dettagliata del rischio:
Quando valuti la questione più da vicino, attraverso questi tre elementi nella valutazione dettagliata del rischio, ne valuterai indirettamente le conseguenze e la probabilità: valutando il valore del bene, stai semplicemente valutando che tipo di danno (cioè, conseguenza) potrebbe verificarsi a questo bene se la sua riservatezza, integrità o disponibilità fosse messa in pericolo; sia le minacce che le vulnerabilità influenzano direttamente la probabilità: maggiore è la minaccia e maggiore è la vulnerabilità, maggiore è la probabilità che si verifichi il rischio e viceversa.
E fondamentalmente, è tutto qui: se sei una piccola azienda, per te sarà sufficiente una valutazione semplice del rischio; se sei un'azienda di medie o grandi dimensioni, una valutazione dettagliata del rischio è quello che ci vuole. E non è necessario aggiungere altri elementi, perché servirebbe soltanto a rendere più difficile il tuo lavoro.
Molto spesso, vedo aziende che implementano una valutazione semplice del rischio (vale a dire, valutano direttamente le conseguenze e la probabilità), ma aggiungono anche il valore della risorsa a questa valutazione.
Perché è sbagliato? Per il semplice fatto che hanno già valutato le conseguenze una volta, quindi non hanno bisogno di valutarle di nuovo attraverso il valore della risorsa.
Quindi, ancora una volta, cerca di non esagerare e creare qualcosa di complesso solo perché sembra carino.
Il calcolo del rischio è in realtà molto semplice: di solito viene fatto tramite l’addizione (ad es. 2 + 5 = 7) o moltiplicazione (ad es. 2 x 5 = 10) di conseguenze e probabilità. Se usi una scala Basso-Medio-Alto, è come usare 1-2-3, quindi hai i numeri per il calcolo.
Quindi, usando gli esempi della sezione precedente, ecco come calcolare il rischio usando l'addizione:
Nella valutazione dettagliata del rischio spiegata nella sezione precedente, noterai che ho utilizzato la scala da 0 a 4 per valutare il valore della risorsa e la scala da 0 a 2 più piccola per valutare le minacce e le vulnerabilità. Questo perché il peso della conseguenza dovrebbe essere uguale al peso della probabilità: poiché minacce e vulnerabilità "rappresentano" congiuntamente la probabilità, il loro valore aggiunto massimo è 4, lo stesso del valore della risorsa (cioè conseguenza).
Dopo aver calcolato i rischi, devi valutare se questi sono accettabili o meno.
Questo passaggio è semplice: devi semplicemente confrontare il livello di rischio che hai calcolato con il livello accettabile dalla tua metodologia di valutazione del rischio. Ad esempio, se il tuo livello di rischio è 7 e il livello di rischio accettabile è 5, significa che il tuo rischio non è accettabile.
Tutti i rischi non accettabili devono passare alla fase successiva: il trattamento del rischio nella ISO 27001; non è necessario trattare ulteriormente tutti i rischi accettabili.
Risorsa Impatto | Minaccia | Vulnerabilità | Proprietario del rischio | Impatto (1-5) | Probabilità (1-5) | Rischio (=I+L) |
Server | Interruzione di elettricità | Nessun gruppo elettrogeno | Responsabile reparto IT | 4 | 2 | 6 |
Incendio | Nessun estintore | 5 | 3 | 8 | ||
Contratto | Accesso da parte di persone non autorizzate | Il contratto viene lasciato su un tavolo | Amministratore delegato | 4 | 4 | 8 |
Incendio | Nessuna protezione antincendio | 4 | 3 | 7 | ||
Amministratore di sistema | Infortunio | Nessun altro conosce le password | Capo reparto | 5 | 3 | 8 |
La maggior parte delle persone pensa che la valutazione del rischio sia la parte più difficile dell'implementazione della ISO 27001: è vero, la valutazione del rischio è probabilmente la più complessa, ma il trattamento del rischio è sicuramente quello più strategico e più costoso.
Lo scopo del trattamento del rischio sembra piuttosto semplice: controllare i rischi identificati durante la valutazione del rischio; nella maggior parte dei casi, ciò significherebbe diminuire il rischio riducendo la probabilità di un incidente (ad esempio, utilizzando materiali da costruzione non infiammabili) e/o ridurre l'impatto sulle risorse (ad esempio, utilizzando sistemi automatici di spegnimento degli incendi).
Durante il trattamento dei rischi, l'organizzazione dovrebbe concentrarsi su quei rischi che non sono accettabili; in caso contrario, sarebbe difficile definire le priorità e finanziare la mitigazione di tutti i rischi individuati.
Una volta che hai un elenco di rischi non accettabili dalla fase di valutazione del rischio, devi valutarli uno per uno e decidere come trattarli - di solito, vengono applicate queste opzioni:
La riduzione dei rischi è l'opzione più comune per il trattamento dei rischi e a tale scopo vengono utilizzati i controlli dell’allegato A della ISO 27001 (e qualsiasi altro controllo che un'azienda ritiene appropriato). Vedi qui come sono organizzati i controlli: Overview of ISO 27001:2013 Annex A.
Prima di iniziare il processo di implementazione, dovresti essere consapevole dei rischi non accettabili derivanti dalla valutazione del rischio, ma anche del budget disponibile per l'anno in corso, perché a volte i controlli richiedono un investimento.
Quando selezioni dei nuovi controlli, tieni a mente che ci sono fondamentalmente tre tipi di controlli:
Il trattamento del rischio è un passaggio in cui normalmente non includeresti una cerchia molto ampia di persone: dovrai fare un brainstorming su ciascuna opzione di trattamento con specialisti della tua azienda che si concentrano su determinate aree. Ad esempio, se il trattamento ha a che fare con l'IT, parlerai con i tuoi tecnici IT; se si tratta di nuovi corsi di formazione, parlerai con le risorse umane, ecc.
Naturalmente, la decisione finale su qualsiasi nuova opzione di trattamento richiederà una decisione dal livello appropriato di responsabilità: a volte il responsabile del reparto IT sarà in grado di prendere tali decisioni, a volte sarà il tuo project team, a volte dovrai rivolgerti al capo dipartimento responsabile di un determinato settore (ad esempio, il capo dell'ufficio legale se chiedi clausole aggiuntive nei contratti con i tuoi partner), o forse al livello dirigenziale per investimenti più grandi. Se hai dubbi su chi può decidere cosa, consulta lo sponsor del tuo progetto.
Se scegli di misurare i rischi residui, cioè i rischi che rimarranno dopo l'applicazione dei controlli, dovrebbe essere fatto insieme alle persone responsabili in ciascun reparto. Devi mostrare a queste persone quali opzioni di trattamento hai pianificato e, sulla base di queste informazioni, e utilizzando le stesse scale della valutazione del rischio, valutare il rischio residuo per ogni rischio non accettabile identificato in precedenza durante la valutazione del rischio.
Quindi, ad esempio, se hai identificato una conseguenza del livello 4 e una probabilità del livello 5 durante la tua valutazione del rischio (che significherebbe un rischio di 9 con il metodo dell'addizione), il tuo rischio residuo potrebbe essere 5 se hai valutato che la conseguenza sarebbe inferiore a 3 e la probabilità a 2 a causa, ad esempio, di misure di protezione che intendevi implementare.
Quando si considerano le opzioni di trattamento del rischio, e in particolare le misure di protezione che un investimento in tecnologia comporta, fai attenzione a quanto segue: molto spesso, la prima idea che viene in mente sarà la più costosa. Tuttavia, a volte esistono alternative che saranno ugualmente efficaci, ma a un costo inferiore, quindi pensaci bene prima di acquistare un nuovo sistema costoso.
Inoltre, tieni presente che la maggior parte dei rischi esiste a causa del comportamento umano, non a causa delle macchine, quindi è opinabile se una macchina sia la soluzione a un problema umano.
In altre parole, quando si trattano i rischi è necessario essere creativi: è necessario capire come ridurre i rischi con un investimento minimo. Sarebbe più semplice se il tuo budget fosse illimitato, ma questo non accadrà mai.
Un esempio di tabella di trattamento del rischio potrebbe essere questo:
Risorsa | Minaccia | Vulnerabilità | Opzione di trattamento | Mezzi di implementazione |
Server | Incendio | Nessun estintore | 1) Diminuire il rischio + 2) Condividere il rischio |
Acquistare un estintore + acquistare una polizza assicurativa antincendio |
Laptop | Accesso da parte di persone non autorizzate | Password inadeguata | 1) Diminuire il rischio | Scrivere la Politica per la Password |
Amministratore di sistema | Lascia l'azienda | Nessuna persona per sostituirlo | 1) Diminuire il rischio | Assumere un secondo amministratore di sistema che imparerà tutto quello che fa il primo |
La ISO 27001 non specifica i contenuti del Rapporto di Valutazione del Rischio; dice solo che i risultati della valutazione del rischio e del processo di trattamento del rischio devono essere documentati – questo significa che qualsiasi cosa tu abbia fatto durante questo processo deve essere annotata. Pertanto, questo rapporto non riguarda solo la valutazione, ma anche il trattamento.
Il rapporto include tutti i rischi che sono stati identificati, i proprietari del rischio, il loro impatto e probabilità, il livello di rischio, i rischi non accettabili e le opzioni di trattamento per ciascun rischio non accettabile.
Di solito, il rapporto è redatto in forma sintetica (es. in una pagina), a cui si allega un elenco dettagliato dei rischi e dei controlli.
Il Piano di Trattamento del Rischio è uno dei documenti chiave della ISO 27001; tuttavia, molto spesso viene confuso con la documentazione prodotta a seguito di un processo di trattamento del rischio. Ecco la differenza.
Il processo di trattamento del rischio è solo una fase del processo di gestione del rischio che segue la fase di valutazione del rischio: nella valutazione del rischio è necessario identificare tutti i rischi e selezionare i rischi non accettabili. Il compito principale nella fase di trattamento del rischio è selezionare una o più opzioni per il trattamento di ciascun rischio non accettabile, ovvero decidere come mitigare tutti questi rischi.
Come spiegato nelle sezioni precedenti, di solito sono disponibili quattro opzioni di trattamento per le aziende: diminuire il rischio, evitare il rischio, condividere il rischio e tenere il rischio.
Secondo la norma ISO 27001, è necessario documentare i risultati del trattamento del rischio nel Rapporto di valutazione del rischio e tali risultati sono gli input principali per la stesura della Dichiarazione di Applicabilità. Ciò significa che i risultati del trattamento del rischio non sono documentati direttamente nel Piano di trattamento del rischio. Vedi anche: The importance of Statement of Applicability for ISO 27001.
Allora, dov'è il Piano di Trattamento del Rischio in tutto questo processo? La risposta è: può essere scritta solo dopo che la Dichiarazione di Applicabilità è stata completata.
Perché? Per iniziare a pensare al Piano di Trattamento del Rischio, è più facile pensare che sia un "Piano d'azione" o un "Piano d’implementazione", perché la ISO 27001 richiede di elencare i seguenti elementi in questo documento:
Ma per scrivere un tale documento, devi prima decidere quali controlli devono essere implementati, e questo viene fatto (in modo molto sistematico) attraverso la Dichiarazione di Applicabilità.
La domanda è: perché la ISO 27001 non richiede che i risultati del processo di trattamento del rischio siano documentati direttamente nel Piano di Trattamento del Rischio? Perché è necessario questo passaggio intermedio, sotto forma di Dichiarazione di applicabilità (SoA)?
A mio avviso, gli autori della ISO 27001 hanno voluto incoraggiare le aziende a ottenere un quadro completo della sicurezza delle informazioni – al momento di decidere quali controlli sono applicabili e quali no – attraverso la Dichiarazione di Applicabilità. Per la SoA, il risultato del trattamento del rischio non è l'unico input: altri input sono i requisiti legali, normativi e contrattuali, altre esigenze aziendali, ecc. In altre parole, la SoA è un documento più strategico che definisce il profilo della sicurezza di un'organizzazione, mentre il piano di trattamento del rischio è il piano di attuazione di tale strategia.
Una volta che hai scritto questo documento, è fondamentale ottenere l'approvazione della tua direzione perché ci vorrà molto tempo e fatica (e denaro) per implementare tutti i controlli che hai pianificato qui. E, senza il loro impegno, non ne otterrai nessuno.
Per concludere, il Piano di Trattamento del Rischio è il punto in cui la teoria si ferma e inizia la vita reale secondo la ISO 27001. Una buona valutazione del rischio e un processo di trattamento del rischio, nonché una Dichiarazione di Applicabilità completa, produrranno le basi per scoprire cosa devi fare con la tua sicurezza, ma il Piano di Trattamento del Rischio è il punto da cui devi iniziare a fare le cose reali. Ma non puoi iniziare a fare le cose reali prima di aver capito le cose giuste da fare.
Molto spesso, vedo che le persone confondono la gap analysis con la valutazione del rischio, il che è comprensibile, poiché lo scopo di entrambe è identificare le carenze nella sicurezza delle informazioni della loro azienda. Tuttavia, dal punto di vista della ISO 27001 e dal punto di vista di un auditor di certificazione, queste due sono abbastanza diverse.
La gap analysis non è altro che leggere ogni clausola della ISO 27001 e analizzare se tale requisito è già implementato nella tua azienda. Quando lo fai, puoi dire Sì o No, oppure puoi usare una scala simile a questa:
La gap analysis non è obbligatoria nella ISO 27001; viene fatto indirettamente durante lo sviluppo della Dichiarazione di Applicabilità - la clausola 6.1.3 d) dice che è necessario determinare "... se [i controlli necessari] siano implementati o meno".
Pertanto, non è necessario eseguire la gap analysis per le clausole della parte principale della norma, ma solo per i controlli dell'allegato A. Inoltre, non è necessario eseguire la gap analysis prima dell'inizio dell'implementazione della ISO 27001: devi farlo come parte della tua Dichiarazione di Applicabilità, solo dopo la valutazione e il trattamento del rischio.
La gap analysis ti dice quanto sei lontano dai requisiti/controlli della ISO 27001; non ti dice quali problemi possono verificarsi o quali controlli implementare. La valutazione del rischio indica quali incidenti possono verificarsi e quali controlli implementare, ma non fornisce una panoramica di quali controlli sono già implementati.
Sebbene la valutazione del rischio sia fondamentale per l'implementazione della ISO 27001, la gap analysis viene eseguita solo indirettamente durante la stesura della Dichiarazione di Applicabilità, pertanto l'una non sostituisce l'altra ed entrambe sono richieste, ma in diverse fasi di implementazione e con scopi diversi.
A volte le aziende eseguono la gap analysis prima dell'inizio dell'implementazione della ISO 27001, per avere un'idea di dove si trovano in questo momento e per scoprire quali risorse dovranno impiegare per implementare la ISO 27001. Tuttavia, l'utilità di tale approccio è dubbio, poiché solo la valutazione del rischio mostrerà la reale portata di ciò che deve essere implementato e in quale forma.
Abbastanza spesso vedo delle persone che cercano le checklist della ISO 27001 per eseguire l'audit interno; tuttavia, si aspettano che tali checklist li aiutino con, ad esempio, quali informazioni ha l'organizzazione, chi ha accesso ad esse, come sono protette, quanto sono riservate, ecc.
Il problema è: questo genere di cose non fa parte di un audit interno: fa parte della valutazione del rischio.
Lo scopo della valutazione del rischio è scoprire quali problemi possono sorgere con le tue informazioni e/o operazioni, ovvero cosa possa mettere a repentaglio la riservatezza, l'integrità e la disponibilità delle tue informazioni o cosa possa minacciare la continuità delle tue attività.
Di conseguenza, la valutazione del rischio deve essere effettuata all'inizio del progetto ISO 27001, mentre l'audit interno viene effettuato solo dopo che l'implementazione è stata completata. Vedi anche: How to organize initial risk assessment according to ISO 27001 and ISO 22301.
L'audit interno non è altro che elencare tutte le regole e requisiti, e poi verificare se tali regole e requisiti sono stati rispettati.
In genere, le regole e i requisiti sono i seguenti:
Quando si svolge un audit interno, è necessario verificare se tutte le regole e i requisiti sono stati rispettati, nell'intero ambito del proprio Sistema di Gestione della Sicurezza delle Informazioni o del Sistema di Gestione della Continuità Operativa.
Ciò viene fatto utilizzando varie tecniche:
Vedi anche: Corso per auditor interno ISO 27001.
Quindi, direi che una delle differenze principali sta nella mentalità: la valutazione del rischio si occupa delle cose (potenziali) che potrebbero accadere in futuro, mentre l'audit interno si occupa di come sono state fatte le cose in passato.
La seconda grande differenza è che l'audit interno si concentra sul rispetto di varie regole e requisiti, mentre la valutazione del rischio non è altro che un'analisi che fornisce una base per costruire determinate regole.
La terza differenza è che la valutazione del rischio viene eseguita prima di iniziare ad applicare i controlli di sicurezza, mentre l'audit interno viene eseguito una volta che questi sono già implementati.
Tuttavia, hanno (purtroppo) una cosa in comune: sono entrambi molto spesso trascurati nelle aziende perché percepiti solo come un esercizio burocratico privo di reale valore. Tuttavia, chi la pensa così non si rende conto che sono entrambi cruciali per rafforzare la sicurezza delle tue informazioni.
Alcuni giorni fa, la seguente domanda mi è stata fatta da uno dei nostri clienti: "Qual è la differenza tra la Valutazione del Rischio nel SGSI e nella Gestione della Continuità Operativa?" E, sebbene la risposta a questa domanda possa sembrare facile, in realtà non lo è.
Ecco il resto della domanda: “… Perché sul tuo blog ho scoperto che se ho fatto il SGSI dovrebbe andare bene per la Gestione della Continuità Operativa. D'altra parte, la ISO 22301 consiglia di utilizzare la norma ISO 31000.
È vero che la ISO 22301 si riferisce alla ISO 31000 per quanto riguarda la valutazione del rischio, ma anche la ISO 27001 – questo non significa che si possa effettivamente usare la ISO 31000 per l'implementazione, perché questa norma è scritta in modo molto generale poiché copre tutti i tipi di rischi – non solo continuità operativa e sicurezza delle informazioni, ma anche rischi finanziari, di mercato, di credito e altri.
D'altra parte, il quadro di valutazione del rischio è descritto molto meglio nella ISO 27001, e ancor più precisamente nella ISO 27005; l'obiettivo della valutazione del rischio per la sicurezza delle informazioni è preservare la riservatezza, l'integrità e la disponibilità. E la disponibilità è il collegamento chiave tra la sicurezza delle informazioni e la continuità aziendale: durante l'esecuzione della valutazione del rischio SGSI, verranno presi in considerazione anche tutti i rischi della continuità aziendale.
E la cosa buona è che la valutazione del rischio così come è descritta nella ISO 27001 e nella ISO 27005 è perfettamente allineata con la ISO 31000.
Ma qui è dove le cose potrebbero complicarsi: il mio cliente aveva un'altra domanda, perché voleva che fosse chiarito tutto: "Penso che un'altra differenza tra questi due approcci di valutazione del rischio sia che con l'SGSI ci occupiamo di risorse (sia primarie che di supporto), invece con la Gestione della Continuità Operativa ci occupiamo di attività e processi critici”.
E aveva sostanzialmente ragione: la valutazione del rischio per la continuità operativa non deve essere così dettagliata; può essere reso di alto livello per attività e processi. Ma, a mio avviso, il problema è nell'implementazione: come puoi mitigare i rischi se non sai esattamente dove sono i problemi?
È qui che penso che l’impianto di valutazione del rischio della ISO 27001 sia migliore: ti costringe a individuare dove sono i punti deboli, quali risorse dovrebbero essere protette meglio, ecc. Se mantenessi la valutazione del rischio a livello di processo, probabilmente non otterresti tutte queste preziose informazioni.
Compatibilità nella mitigazione del rischio
Vale la pena menzionare qui che le opzioni del trattamento del rischio nella ISO 27001 sono completamente allineate con i requisiti di mitigazione del rischio nella ISO 22301 e nella ISO 31000. Fondamentalmente, la mitigazione della continuità aziendale si riduce alle quattro opzioni descritte precedentemente in questo articolo. Non ci sono opzioni elencate nella ISO 22301, mentre nella ISO 31000 sono nominate e organizzate in modo leggermente diverso, ma sono essenzialmente le stesse.
E per finire, c'è un altro aspetto positivo della ISO 27001: nell'allegato A ti offre un catalogo di possibili misure di protezione tra cui scegliere; questo è qualcosa che né ISO 22301 né ISO 31000 hanno.
Se stai implementando la ISO 27001, o soprattutto la ISO 22301, per la prima volta, probabilmente sei confuso dalla valutazione del rischio e dall'analisi dell'impatto aziendale. Qual è il loro scopo? In che modo sono differenti? Si possono eseguire contemporaneamente?
Per dirla in breve, la valutazione del rischio ti mostrerà quali tipi di incidenti potresti dover affrontare, mentre l'analisi dell'impatto aziendale ti mostrerà quanto velocemente devi recuperare le tue attività dagli incidenti per evitare danni maggiori.
Lo scopo di questa valutazione è quello di scoprire sistematicamente quali incidenti possono accadere alla tua organizzazione e quindi, attraverso il processo di trattamento del rischio, prepararsi al fine di ridurre al minimo i danni di tali incidenti.
Nella mia esperienza, i dipendenti (e l'organizzazione nel suo insieme) sono generalmente consapevoli solo del 25-40% dei rischi, quindi non è possibile cercare di ricordare tutti i rischi a memoria e questa identificazione deve essere eseguita in modo sistematico.
L'analisi dell'impatto aziendale è obbligatoria per l'implementazione della continuità aziendale secondo la ISO 22301, ma non per ISO 27001.
Lo scopo della BIA è principalmente quello di dare un'idea (1) sulla tempistica del tuo ripristino e (2) sulla tempistica del tuo backup, poiché la tempistica è cruciale: la differenza di solo un paio d'ore potrebbe significare la vita o morte per alcune aziende se colpite da un grave incidente.
Più precisamente, l'analisi dell'impatto aziendale ti aiuterà a determinare l'Obiettivo Massimo Accettabile Di Interruzione/Tempo di Ripristino, l’Obiettivo di Perdita Massima di Dati / Punto di Ripristino, le risorse richieste e altre informazioni importanti che ti aiuteranno a sviluppare la strategia di continuità aziendale per ciascuna delle tue attività. Scopri di più qui: How to implement business impact analysis (BIA) according to ISO 22301.
Come già concluso, il BIA viene solitamente utilizzato solo nell'implementazione della continuità operativa / ISO 22301; potrebbe essere fatto per la sicurezza delle informazioni, ma non avrebbe molto senso. La valutazione del rischio (o RA – Risk Assessment) è obbligatoria sia per la ISO 27001 che per la ISO 22301.
In secondo luogo, gli output di RA sono leggermente diversi da quelli di BIA: la RA ti fornisce un elenco di rischi insieme ai loro valori, mentre il BIA ti dà i tempi entro i quali devi recuperare (RTO - Recovery Time Objective) e quante informazioni puoi permetterti di perdere (RPO - recovery point objective).
Quindi, sebbene questi due siano correlati perché devono concentrarsi sulle risorse e sui processi dell'organizzazione, vengono utilizzati in contesti diversi.
In realtà, la ISO 22301 consente entrambi gli approcci e potresti sentire molte teorie su quale sia il migliore. Tuttavia, preferisco eseguire prima la valutazione del rischio perché in questo modo avrai una migliore impressione di quali incidenti possono verificarsi (a quali rischi sei esposto) e quindi sarai più preparato per eseguire l'analisi dell'impatto aziendale (che si concentra sul conseguenze di tali incidenti); inoltre, se per la valutazione del rischio si sceglie l'approccio basato sulle risorse, sarà più facile identificare tutte le risorse in un secondo momento nell'analisi dell'impatto aziendale. Quello che non dovresti assolutamente fare è eseguire contemporaneamente la valutazione del rischio e l'analisi dell'impatto aziendale, perché ciascuno di essi separatamente è già abbastanza complesso: combinarli normalmente significa cacciarsi nei guai.
La valutazione del rischio nella ISO 27001 è sempre stata un tema discusso, e soprattutto con le modifiche nella revisione del 2013 – ci sono molti dubbi sul fatto che la valutazione del rischio fatta secondo la revisione del 2005 debba essere modificata e, in caso affermativo, quanto è grande il cambiamento.
Cominciamo con un paio di miti legati alla gestione del rischio che si sono sviluppati intorno alla ISO 27001:2013:
Come vedrai, le modifiche non sono molto significative:
Un cambiamento indiretto che non è visibile in prima lettura della norma è che la gestione del rischio ha assunto il ruolo di azioni preventive (le azioni preventive non esistono più nella revisione del 2013) – solo leggendo la clausola 6.1.1 della ISO 27001:2013 più attentamente questo diventa ovvio. Ma questo cambiamento ha un senso – le azioni preventive non sono altro che concludere cosa possono accadere cose negative in futuro e agire per prevenirle – e questo è esattamente ciò che riguarda anche la valutazione e il trattamento del rischio. Pertanto, la ISO 27001:2013 ha solo corretto ciò che non era molto logico nella ISO 27001:2005, e la cosa buona è che non è necessario modificare il processo di valutazione del rischio a causa di questo.
Quindi, come puoi vedere, i cambiamenti nella valutazione del rischio e nel trattamento sono relativamente di lieve entità e, se hai fatto un buon lavoro con la ISO 27001:2005, troverai relativamente facile il passaggio alla revisione del 2013 della ISO 27001. Tutto quello che devi fare è identificare i proprietari del rischio per ogni rischio e dare loro la responsabilità di prendere decisioni sui rischi.
Nel processo di valutazione del rischio, una domanda comune posta dalle organizzazioni è se adottare un approccio quantitativo o qualitativo. La buona notizia è che puoi utilizzare l'approccio più semplice (approccio qualitativo) ed essere pienamente conforme alla ISO 27001; puoi anche utilizzare entrambi gli approcci se vuoi fare un passo avanti nel rendere la tua valutazione del rischio altamente avanzata.
Nella valutazione qualitativa del rischio, l'attenzione si concentra sulle percezioni delle parti interessate sulla probabilità che si verifichi un rischio e sul suo impatto sugli aspetti organizzativi rilevanti (ad esempio, finanziari, reputazionali, ecc.). Questa percezione è rappresentata in scale come “basso-medio-alto” o “1-2-3-4-5”, che servono a definire il valore finale del rischio.
Poiché ha poca dipendenza matematica (il rischio può essere calcolato attraverso una semplice somma, moltiplicazione o altra forma di combinazione non matematica di valori di probabilità e di conseguenza), la valutazione qualitativa del rischio è facile e veloce da eseguire.
Un problema con la valutazione qualitativa è che è altamente distorta, sia in termini di probabilità che di definizione dell'impatto, da parte di coloro che la eseguono.
Ad esempio, per il personale delle risorse umane, gli impatti delle risorse umane saranno più rilevanti degli impatti dell'IT e viceversa. Per quanto riguarda un pregiudizio nella probabilità, una mancanza di comprensione dei tempi di altri processi può portare qualcuno a pensare che errori e fallimenti si verificano più spesso nel proprio processo che negli altri, e questo potrebbe non essere vero.
Questa situazione con pregiudizi generalmente rende la valutazione qualitativa più utile nel contesto locale in cui viene eseguita, perché le persone al di fuori del contesto probabilmente avranno divergenze per quanto riguarda la definizione del valore di impatto.
D'altra parte, la valutazione quantitativa del rischio si concentra su dati fattuali e misurabili per calcolare i valori di probabilità e impatto, normalmente esprimendo i valori di rischio in termini monetari, il che rende i suoi risultati utili al di fuori del contesto della valutazione (la perdita di denaro è comprensibile per qualsiasi reparto aziendale). Per raggiungere un risultato monetario, la valutazione quantitativa del rischio fa spesso uso di questi concetti:
Basandosi su dati fattuali e misurabili, la valutazione quantitativa del rischio ha come principali vantaggi la presentazione di risultati molto precisi sul valore del rischio e il massimo investimento che renderebbe utile il trattamento del rischio, in modo che sia redditizio per l'organizzazione. Di seguito è riportato un esempio di come vengono calcolati i valori di rischio attraverso la valutazione quantitativa del rischio:
Cioè, in questo caso, l'organizzazione ha un rischio annuale di subire una perdita di $ 250.000 in caso di perdita del suo database. Quindi, qualsiasi controllo implementato (ad es. backup, gestione delle patch, ecc.) che costa meno di questo valore sarebbe redditizio.
Il problema con la valutazione quantitativa è che, nella maggior parte dei casi, non ci sono dati sufficienti su SLE e ARO, o l'ottenimento di tali dati costa troppo.
Come puoi notare, le valutazioni qualitative e quantitative hanno caratteristiche specifiche che rendono ognuna di esse migliore per uno specifico scenario di valutazione del rischio, ma nel quadro generale, la combinazione di entrambi gli approcci può rivelarsi la migliore alternativa per un processo di valutazione del rischio.
Utilizzando innanzitutto l'approccio qualitativo, è possibile identificare rapidamente la maggior parte dei rischi. Successivamente, puoi utilizzare l'approccio quantitativo sui rischi più elevati, per avere informazioni più dettagliate per il processo decisionale.
Un esempio generale potrebbe essere un appuntamento medico. Il medico prima pone alcune semplici domande e dalle risposte del paziente decide quali esami più dettagliati eseguire, invece di provare tutti gli esami che conosce all'inizio.
La valutazione del rischio è una delle parti più critiche della gestione del rischio e anche una delle più complesse, influenzata da problemi umani, tecnici e amministrativi. Se non fatta correttamente, potrebbe compromettere tutti gli sforzi per implementare un sistema di gestione della sicurezza delle informazioni ISO 27001, che fa riflettere le organizzazioni sull'opportunità di eseguire valutazioni qualitative o quantitative. Ma non è necessario fare affidamento su un unico approccio, perché la ISO 27001 consente di eseguire una valutazione del rischio sia qualitativa che quantitativa.
Se la tua azienda ha bisogno di una valutazione del rischio facile e veloce, puoi optare per una valutazione qualitativa (e questo è ciò che fa il 99% delle aziende). Tuttavia, se hai bisogno di fare un investimento davvero importante che è fondamentale per la sicurezza, forse ha senso investire tempo e denaro nella valutazione quantitativa del rischio.
In breve, adottando un approccio combinato che tiene conto delle informazioni e dei tempi di risposta necessari, nonché dei dati e delle conoscenze disponibili, è possibile migliorare l'efficacia del processo di valutazione del rischio per la sicurezza delle informazioni ISO 27001 e anche fare un passo avanti rispetto a quanto richiesto dalla norma.
Uno dei cambiamenti più significativi nella versione 2013 della ISO 27001 è che non prescrive più alcun approccio particolare nella valutazione del rischio. Sebbene richieda ancora l'adozione di un approccio di valutazione del rischio basato sui processi, l'obbligo di utilizzare un modello risorse-minacce-vulnerabilità nella fase di identificazione del rischio non esiste più.
Sebbene ciò offra maggiore libertà alle organizzazioni di scegliere l'approccio di identificazione del rischio più adatto alle loro esigenze, l'assenza di tale orientamento è fonte di molta confusione per le organizzazioni su come affrontare l'identificazione del rischio.
Qui spiegherò come la ISO 31010 (una norma incentrato sulla valutazione del rischio) può aiutarti, presentando alcuni dei suoi approcci di identificazione del rischio che possono essere utilizzati per trovare, riconoscere e descrivere i rischi. Anche se l'approccio suggerito dalla ISO 31010 non è obbligatorio per la ISO 27001, le aziende che desiderano esplorare altri approcci alla valutazione del rischio potrebbero trovarlo utile.
Secondo la ISO 31010, lo scopo dell'identificazione del rischio è identificare cosa potrebbe accadere, o quali situazioni potrebbero esistere, che potrebbero influenzare il raggiungimento degli obiettivi proposti. Considerando la sicurezza delle informazioni, alcuni esempi pratici sono:
Una volta identificato un rischio, l'organizzazione dovrebbe anche identificare eventuali controlli esistenti che influiscono su tale rischio e procedere alle fasi successive della valutazione del rischio (analisi del rischio e valutazione del rischio).
Secondo la ISO 31010, una descrizione del rischio deve contenere alcuni elementi:
La ISO 31010 suggerisce le seguenti metodologie di identificazione del rischio che aiutano a raccogliere tutti gli elementi di rischio:
Brainstorming: una tecnica di creatività di gruppo per raccogliere una grande quantità di informazioni per trovare una conclusione per una situazione specifica. A causa della sua forte enfasi sull'immaginazione, è utile identificare i rischi in situazioni che richiedono una risposta rapida e hanno pochi dati formali disponibili (ad esempio, la selezione di misure meno dannose per contenere un attacco in corso), o sono nuovi per l'organizzazione, come rischi connessi all'ingresso in un nuovo segmento di mercato.
Intervista: una conversazione in cui vengono presentate domande predefinite a un intervistato per comprendere la sua percezione di una determinata situazione (ad es. tendenze del mercato, prestazioni dei processi, aspettative dei prodotti, ecc.) e quindi identificare i rischi considerando la sua prospettiva. È consigliato quando sono richiesti pareri particolari dettagliati (ad es. del AD, Direttore Finanziario, clienti, ecc.).
Metodo Delphi: una tecnica collaborativa anonima utilizzata per combinare diverse opinioni di esperti in modo affidabile e imparziale verso un consenso (ad esempio, selezionando un fornitore di sicurezza, definendo una strategia di protezione). Si differenzia dal brainstorming perché lavora per eliminare le soluzioni durante la sua realizzazione, invece di crearle. Dovrebbe essere preso in considerazione in situazioni in cui le caratteristiche dei partecipanti possono influenzare le opinioni degli altri (ad esempio, tutti sono d'accordo/in disaccordo con qualcuno solo a causa della sua posizione).
Checklist: una tecnica in cui viene elaborata una lista di elementi per garantire che gli argomenti più comuni, oltre a quelli critici, sull'oggetto in questione non vengano dimenticati durante l'identificazione del rischio (ad esempio, guasti comuni nello sviluppo del software o misure di protezione richieste dal contratto). Ciò aumenta la coerenza e la completezza dell'identificazione del rischio. Il suo utilizzo è consigliato nei casi in cui sono ampiamente disponibili informazioni storiche, riferimenti di mercato e conoscenza di situazioni precedenti.
Analisi dello scenario: metodologia che utilizza modelli che descrivono possibili scenari futuri per identificare i rischi considerando i possibili esiti, le strategie e le azioni che portano ai risultati e le possibili implicazioni per il business. Un approccio comune alla sicurezza delle informazioni è, ad esempio, l'uso di scenari permissivi, restrittivi ed equilibrati per identificare i rischi nel controllo degli accessi. Dovrebbe essere considerato in situazioni in cui sono disponibili più soluzioni o i risultati possono presentare grandi variazioni.
Sebbene la metodologia basata sulle risorse non sia obbligatoria nella norma ISO 27001:2013, è comunque un approccio valido che viene utilizzato nella maggior parte dei progetti di conformità. Naturalmente, le organizzazioni che hanno già implementato un approccio basato sulle risorse e pensano che sia adatto a loro possono continuare a usarlo normalmente.
Tuttavia, se si desidera utilizzare un approccio diverso che possa trarre il massimo vantaggio dalla situazione e dalle informazioni disponibili, l'organizzazione può prendere in considerazione altri approcci per l'identificazione del rischio e rendere la valutazione del rischio più avanzata.
Per vedere come utilizzare il registro dei rischi ISO 27001 con cataloghi di risorse, minacce e vulnerabilità e ottenere suggerimenti automatici su come sono correlati, registrati per una prova gratuita di 14 giorni di Conformio, il software di conformità leader per la ISO27001.