Valutazione del rischio e ISO 27001

La valutazione e la gestione del rischio della sicurezza delle informazioni è il punto centrale dello standard ISO 27001.

La sezione 6.1.2. dello Standard stabilisce che il processo di valutazione del rischio deve:

  • Stabilire e mantenere determinati criteri di rischio per la sicurezza delle informazioni;
  • Assicurare che la valutazione del rischio ripetuta regolarmente “produca risultati coerenti, validi e comparabili”;
  • Identificare i rischi associati alla perdita di riservatezza, integrità e disponibilità delle informazioni nell’ambito del sistema di gestione della sicurezza delle informazioni;
  • Identificare i proprietari dei rischi individuati; e
  • Analizzare e valutare i rischi secondo determinati criteri.

Parla con un esperto

Contatta il nostro team di esperti ISO 27001 per consigli e assistenza sui nostri prodotti e servizi.


Scopri come risparmiare tempo e denaro nel corso della valutazione del rischio

Scarica il libro verde gratuito per scoprire come sfruttare al massimo la valutazione del rischio minimizzando i costi.

Scarica ora 

Valutazione del rischio in cinque semplici fasi

Un processo di valutazione del rischio che soddisfi i requisiti ISO 27001:2013 dovrebbe essere costituito da queste cinque fasi:

1.

Stabilire un quadro di gestione del rischio

Si tratta delle regole che stabiliscono come intendi identificare i rischi, a chi assegnarne la proprietà, in che modo tali rischi influenzano la riservatezza, l’integrità e la disponibilità delle informazioni, e il metodo di calcolo dell’impatto stimato e della probabilità del rischio. Una metodologia formale di valutazione del rischio deve risolvere questi quattro punti e deve essere approvata dalla dirigenza:

  • Criteri di sicurezza di base
  • Scala del rischio
  • Propensione al rischio
  • Valutazione del rischio basata sugli scenari o sugli asset

2.

Identificare i rischi

Identificare i rischi che possono influenzare la riservatezza, l’integrità e la disponibilità delle informazioni è la parte che richiede più tempo dell’intero processo di valutazione del rischio.

IT Governance raccomanda di adottare un processo di valutazione del rischio basato sugli asset.

Elencare le risorse informative è un buon punto di inizio, poiché sarà più semplice lavorare su un elenco già esistente di risorse (che includa copie cartacee, elettroniche, su dispositivi mobili, beni immateriali, ecc).


3.

Analizzare i rischi

Identificare le minacce e le vulnerabilità che si applicano a ciascuna risorsa. Per esempio, la minaccia potrebbe essere il “furto di dispositivo mobile”, e la vulnerabilità “mancanza di una policy formale per la gestione dei dispositivi mobili”. Assegna i valori di impatto e di probabilità sulla base dei tuoi criteri di rischio.


4.

Valutazione del rischio

È necessario valutare ogni rischio rispetto ai livelli predeterminati di rischio accettabile, e stabilire la priorità di trattamento dei rischi.


5.

Selezionare le opzioni di trattamento del rischio

Esistono quattro modi per trattare i rischi:

  1. ‘Evitare’ il rischio eliminandolo completamente;
  2. ‘Modificare’ il rischio applicando i controlli di sicurezza;
  3. ‘Condividere’ il rischio con terzi, per esempio stipulando un’assicurazione o esternalizzandolo; e
  4. ‘Mantenere’ il rischio (se rientra nei criteri di accettazione del rischio stabiliti)

Come applicare i controlli della sicurezza delle informazioni alla valutazione del rischio

Redigere report sulla base della valutazione del rischio.

Lo standard ISO 27001 richiede che l’organizzazione produca una serie di report, basati sulla valutazione del rischio, a scopo di audit e certificazione. I report più importanti sono i seguenti:

  • Dichiarazione di applicabilità (SoA)​ - La SoA dovrebbe elencare tutti i controlli raccomandati dall’Allegato A dello standard ISO/IEC 27001:2013, insieme ad una dichiarazione di applicabilità o meno del controllo in questione, e una motivazione per la sua inclusione od esclusione.
  • Piano di trattamento del rischio (RTP)Il RTP descrive come l’organizzazione intende trattare i rischi identificati durante la valutazione del rischio.

Rivedere, monitorare ed eseguire audit per il miglioramento continuo dell’ISMS

ISO 27001 richiede che l’organizzazione riveda, aggiorni e migliori in modo continuativo il sistema di gestione della sicurezza delle informazioni (ISMS) per assicurarsi che funzioni in modo ottimale e che si adatti all’evoluzione delle minacce.

Un aspetto della revisione è l’audit interno. Esso richiede che il responsabile dell’ISMS produca una serie di report che forniscano la prova che i rischi sono trattati adeguatamente.

Un modo ancora più efficace per avere la certezza che l’ISMS dell’organizzazione funziona come previsto è ottenere la certificazione accreditata ISO 27001.


Come funziona la valutazione del rischio ISO 27001

Un ISMS si basa sui risultati della valutazione del rischio. L’azienda deve produrre una serie di controlli per ridurre al minimo i rischi identificati.

I controlli raccomandati dallo standard ISO 27001 non sono solo soluzioni tecnologiche, ma coinvolgono anche i processi organizzativi e le persone.

Nell’Allegato A ci sono 114 controlli che coprono l’intera gestione della sicurezza delle informazioni, tra cui le aree per il controllo dell’accesso fisico, le policy per i firewall, i programmi di educazione del personale, le procedure per monitorare le minacce, i processi di gestione degli incidenti, la crittografia, e molte altre.


Le 14 categorie di controlli dell’Allegato A:

  • A.5 Policy della sicurezza delle informazioni.
  • A.6 Organizzazione della sicurezza delle informazioni.
  • A.7 Risorse umane e sicurezza sul lavoro.
  • A.8 Gestione delle risorse.
  • A.9 Controllo dell’accesso.
  • A.10 Crittografia.
  • A.11 Sicurezza fisica e ambientale.
  • A.12 Sicurezza delle operazioni.
  • A.13 Sicurezza delle comunicazioni.
  • A.14 Acquisizione, sviluppo e manutenzione dei sistemi.
  • A.15 Rapporti con i fornitori.
  • A.16 Gestione degli incidenti relativi alla sicurezza delle informazioni.
  • A.17 Aspetti di sicurezza delle informazioni nella gestione della continuità.
  • A.18 Conformità.

Le valutazioni del rischio sono eseguite in tutta l’organizzazione. Esse coprono tutti i possibili rischi per i quali le informazioni potrebbero essere esposte, la probabilità che i rischi si manifestino e l’impatto potenziale. Una volta che la valutazione dei rischi è conclusa, l’azienda deve decidere come gestire e mitigare tali rischi, sulla base delle risorse allocate e del budget.


Standard di valutazione del rischio

Altri standard di valutazione del rischio che supportano lo standard ISO 27001:

  • ISO/IEC 27005:2011 – Guida per la gestione del rischio di sicurezza delle informazioni.
  • ISO/IEC 31000:2009 – Principi e linee guida sulla gestione del rischio.
  • ISO/IEC 31010:2009 – Standard internazionale per le tecniche di valutazione del rischio

Diamo inizio al tuo progetto di valutazione del rischio ISO 27001

IT Governance offre la gamma più vasta di soluzioni di valutazione del rischio, facili da usare e da mettere in pratica.

Libri

Corsi di formazione

Software di valutazione del rischio e kit di documenti

 

 

su