La norma ISO/IEC 27005:2022 fornisce linee guida per la gestione dei rischi legati alla sicurezza delle informazioni, alla cybersecurity e alla protezione della privacy. In questo articolo esamineremo i principali elementi trattati dalla norma, disponibile solo in lingua inglese.

La norma ISO/IEC 27005:2022, pubblicata nell’ottobre 2022, introduce diverse modifiche rispetto all’edizione precedente del 2018. I principali cambiamenti possono essere riassunti come segue:

1. Allineamento con altre norme: Il testo è stato aggiornato per essere coerente con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo una maggiore armonizzazione tra gli standard relativi alla gestione della sicurezza delle informazioni e del rischio.
2. Introduzione degli scenari di rischio: Sono stati introdotti i concetti relativi agli scenari di rischio, che aiutano a comprendere meglio le potenziali minacce e le loro conseguenze attraverso la definizione di sequenze o combinazioni di eventi che possono portare a risultati indesiderati.
3. Approccio basato sugli eventi: Oltre al tradizionale approccio basato sugli asset, la nuova edizione introduce l’approccio basato sugli eventi per l’identificazione dei rischi. Questo metodo si concentra sull’analisi di eventi e conseguenze, spesso derivanti dalle preoccupazioni della direzione o dai requisiti organizzativi, offrendo una prospettiva più strategica nella gestione del rischio.
4. Revisione della struttura e dei contenuti: La norma è stata riorganizzata, passando da 12 clausole e 6 appendici nell’edizione 2018 a 10 clausole e un’appendice nella versione 2022. Questa ristrutturazione mira a migliorare la chiarezza e l’usabilità del documento. citeturn0search0

Queste modifiche riflettono l’evoluzione delle pratiche di gestione del rischio nel campo della sicurezza delle informazioni, offrendo alle organizzazioni strumenti aggiornati per affrontare le sfide emergenti in questo ambito.

Introduzione

La norma è progettata per assistere le organizzazioni nel soddisfare i requisiti della ISO/IEC 27001, in particolare per quanto riguarda la valutazione e il trattamento dei rischi per la sicurezza delle informazioni. È applicabile a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dal settore.

La norma sottolinea l’importanza di mantenere informazioni documentate riguardanti il processo di valutazione dei rischi, così come il processo di trattamento dei rischi risultati non accettabili.

Viene definito il contesto esterno come l’ambiente in cui l’organizzazione opera, che può includere fattori sociali, culturali, legali e tecnologici. Questo contesto è fondamentale per identificare e valutare i rischi.

La norma è stata allineata con la ISO/IEC 27001:2022 e la ISO 31000:2018, garantendo coerenza terminologica e strutturale. Sono stati introdotti concetti come gli scenari di rischio e un approccio basato sugli eventi per l’identificazione dei rischi.

La norma è organizzata in modo da facilitare la comprensione e l’applicazione delle linee guida, con un focus su come le organizzazioni possono implementare efficacemente le pratiche di gestione dei rischi.

In sintesi, ISO/IEC 27005:2022 offre un quadro completo per la gestione dei rischi di sicurezza delle informazioni, aiutando le organizzazioni a proteggere i propri dati e a mantenere la fiducia degli stakeholder.

Come deve essere condotta la valutazione dei rischi per la sicurezza delle informazioni?

Secondo la norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks” (Sicurezza delle informazioni, cybersecurity e protezione della privacy – Guida alla gestione dei rischi per la sicurezza delle informazioni), la valutazione dei rischi per la sicurezza delle informazioni deve essere condotta seguendo un processo strutturato che comprende diverse fasi. Ecco i principali passaggi da seguire:

1. Identificazione dei rischi: Questa fase prevede la ricerca, il riconoscimento e la descrizione dei rischi. È importante considerare sia le minacce che le vulnerabilità che possono influenzare la sicurezza delle informazioni.
2. Analisi dei rischi: In questa fase, si analizzano i rischi identificati per comprendere i tipi di rischio e determinare il loro livello. L’analisi dei rischi implica la valutazione delle cause e delle fonti di rischio, la probabilità che si verifichi un evento specifico e la gravità delle conseguenze associate.
3. Valutazione dei rischi: Questa fase consiste nel confrontare i risultati dell’analisi dei rischi con i criteri di rischio stabiliti per determinare se il rischio e/o la sua significatività sono accettabili. Si deve anche prioritizzare i rischi analizzati per il trattamento. In base a questo confronto, si può decidere se è necessario un trattamento del rischio.
4. Definizione del contesto: È fondamentale stabilire il contesto della valutazione dei rischi, che include la descrizione dello scopo e dell’ambito, nonché le questioni interne ed esterne che influenzano la valutazione stessa.
5. Allineamento con la gestione dei rischi organizzativa: L’approccio alla gestione dei rischi per la sicurezza delle informazioni deve essere allineato con l’approccio generale alla gestione dei rischi dell’organizzazione, in modo che i rischi di sicurezza delle informazioni possano essere confrontati con altri rischi organizzativi.
6. Utilizzo di metodi e strumenti: La valutazione dei rischi dovrebbe basarsi su metodi e strumenti progettati in modo da garantire risultati coerenti, validi e riproducibili. L’output della valutazione deve essere comparabile nel tempo per monitorare eventuali variazioni nel livello di rischio.

In sintesi, la valutazione dei rischi per la sicurezza delle informazioni secondo la ISO/IEC 27005:2022 è un processo sistematico che richiede attenzione a vari aspetti, dalla identificazione e analisi dei rischi fino alla loro valutazione e allineamento con la gestione dei rischi complessiva dell’organizzazione.

Quali sono, secondo questa normativa, le principali minacce alla sicurezza delle informazioni da considerare?

Per la norma ISO/IEC 27005:2022, le minacce alla sicurezza delle informazioni possono variare a seconda del contesto e delle specifiche circostanze in cui opera un’organizzazione. Tuttavia, ci sono alcune categorie generali di minacce che le organizzazioni dovrebbero considerare durante il processo di valutazione dei rischi. Ecco alcune delle principali minacce:

1. Minacce interne: Queste possono includere dipendenti o collaboratori che, intenzionalmente o accidentalmente, compromettono la sicurezza delle informazioni. Ciò può includere la divulgazione non autorizzata di informazioni sensibili o l’uso improprio delle risorse aziendali.
2. Minacce esterne: Queste comprendono attacchi provenienti da fonti esterne all’organizzazione, come hacker, gruppi di cybercriminali o concorrenti. Gli attacchi informatici, perpetrati attraverso malware, phishing e ransomware, rientrano in questa categoria.
3. Errori umani: Gli errori commessi da dipendenti o collaboratori, come la configurazione errata di sistemi o la gestione inadeguata delle credenziali, possono rappresentare una minaccia significativa per la sicurezza delle informazioni.
4. Disastri naturali: Eventi come terremoti, inondazioni, incendi o altre calamità naturali possono danneggiare le infrastrutture e compromettere la sicurezza delle informazioni.
5. Guasti tecnologici: Malfunzionamenti hardware o software, guasti di rete o interruzioni di servizio possono influenzare la disponibilità e l’integrità delle informazioni.
6. Minacce legate alla supply chain: Le vulnerabilità o i rischi associati ai fornitori e ai partner commerciali possono rappresentare una minaccia per la sicurezza delle informazioni, specialmente se questi hanno accesso ai sistemi o ai dati sensibili dell’organizzazione.
7. Minacce alla privacy: La raccolta, l’archiviazione e la gestione inadeguata delle informazioni personali possono portare a violazioni della normativa privacy (es. GDPR) e a conseguenze legali.

8. Attacchi alla reputazione: Minacce che mirano a danneggiare la reputazione dell’organizzazione, come la diffusione di informazioni false o la pubblicazione di dati compromettenti.

Queste categorie di minacce devono essere considerate durante il processo di identificazione e analisi dei rischi, in modo che l’organizzazione possa sviluppare strategie adeguate per mitigare i rischi associati,.

Quali sono le più comuni vulnerabilità?

Secondo la norma ISO/IEC 27005:2022, le vulnerabilità sono debolezze nei sistemi, processi o controlli che possono essere sfruttati da minacce per compromettere la sicurezza delle informazioni. Ecco alcune delle vulnerabilità più comuni che le organizzazioni dovrebbero considerare:

Vulnerabilità Hardware

1. Insufficiente manutenzione/fallimenti nell’installazione: Problemi legati alla manutenzione inadeguata o all’installazione errata di dispositivi hardware.
2. Sensibilità a condizioni ambientali: Vulnerabilità legate a umidità, polvere o variazioni di temperatura che possono danneggiare l’hardware.
3. Mancanza di controllo delle modifiche di configurazione: Assenza di procedure per gestire le modifiche alle configurazioni hardware.

Vulnerabilità Software

1. Vizi e difetti noti nel software: Utilizzo di software con vulnerabilità già identificate e documentate.
2. Insufficiente testing del software: Mancanza di test adeguati a identificare e correggere i difetti prima del rilascio.
3. Gestione inadeguata delle password: Pratiche deboli nella gestione delle password, come l’uso di password deboli o la mancanza di meccanismi di autenticazione robusti.

Vulnerabilità di Rete

1. Linee di comunicazione non protette: Trasmissione di dati sensibili su reti non sicure.
2. Architettura di rete insicura: Progettazione della rete che non considera adeguatamente la sicurezza, creando punti deboli.
3. Punti unici di guasto: Componenti critici della rete che, se compromessi, possono causare l’interruzione del servizio.

Vulnerabilità Organizzative

1. Mancanza di politiche di sicurezza: Assenza di politiche chiare e documentate per la gestione della sicurezza delle informazioni.
2. Formazione inadeguata del personale: Dipendenti non adeguatamente formati sui rischi di sicurezza e sulle pratiche di protezione delle informazioni.
3. Procedure di reporting inefficaci: Mancanza di procedure per segnalare e gestire le vulnerabilità e le violazioni della sicurezza.

Vulnerabilità Fisiche

1. Accesso non controllato alle strutture: Mancanza di controlli fisici per limitare l’accesso a aree sensibili.
2. Mancanza di politiche di “clear desk” e “clear screen“: Assenza di politiche per garantire che le informazioni sensibili non siano visibili o accessibili quando non sono in uso.

Queste vulnerabilità possono essere sfruttate da minacce per compromettere la sicurezza delle informazioni e devono essere identificate e gestite attraverso un processo di valutazione dei rischi.

Come si può calcolare l’indice di rischio per la sicurezza delle informazioni secondo questa norma?

Secondo la norma ISO/IEC 27005:2022, il calcolo dell’indice di rischio per la sicurezza delle informazioni si basa su un processo di valutazione dei rischi che considera diversi fattori, tra cui la probabilità di un evento di rischio e le conseguenze ad esso associate. Ecco i passaggi generali per calcolare l’indice di rischio:

1. Identificazione dei Rischi

1. Identificare i rischi potenziali associati alle minacce e alle vulnerabilità presenti nell’organizzazione. Ciò può includere eventi come attacchi informatici, errori umani, guasti tecnologici, ecc.

2. Valutazione della Probabilità (Verosimiglianza)

Determinare la probabilità che ciascun rischio si verifichi. Questo può essere fatto utilizzando scale qualitative (bassa, media, alta) o quantitative (percentuali o frequenze).

3. Valutazione delle Conseguenze (Gravità dell’impatto)

Valutare le conseguenze di ciascun rischio in caso di realizzazione. Le conseguenze possono essere classificate in termini di impatto su:

• Riservatezza
• Integrità
• Disponibilità

Anche in questo caso, si possono utilizzare scale qualitative o quantitative.

4. Calcolo dell’Indice di Rischio

L’indice di rischio può essere calcolato utilizzando una formula che combina la probabilità e le conseguenze. Una formula comune è:

{Indice di Rischio} = {Probabilità} x {Impatto}

Questo indice fornisce una misura del rischio associato a ciascun evento identificato.

5. Classificazione dei Rischi

I rischi possono essere classificati in base all’indice di rischio calcolato, consentendo di prioritizzare le azioni di mitigazione. Ad esempio, i rischi con un indice di rischio elevato dovrebbero essere trattati con maggiore urgenza rispetto a quelli con un indice più basso.

6. Definizione di Strategie di Mitigazione

Sulla base della classificazione dei rischi, l’organizzazione può sviluppare strategie di mitigazione per ridurre la probabilità o l’impatto dei rischi identificati.

7. Monitoraggio e Riesame

È importante monitorare continuamente i rischi e riesaminare l’indice di rischio, poiché le minacce, le vulnerabilità e il contesto dell’organizzazione possono cambiare nel tempo.

Questi passaggi forniscono un approccio sistematico per calcolare e gestire i rischi per la sicurezza delle informazioni, come delineato nella norma ISO/IEC 27005: 2022. Il medesimo approccio può essere utilizzato per effettuare un Risk Assessment per la Direttiva NIS 2, vista l’analogia delle tematiche, garantendo così la riferibilità ad una metodologia di uno standard internazionale ISO.

La norma fornisce qualche esempio di matrice dei rischi?

La norma ISO/IEC 27005:2022 fornisce esempi di matrici dei rischio, che possono essere utilizzate per rappresentare graficamente la valutazione dei rischi in base a probabilità e conseguenze/impatti. Queste matrici aiutano le organizzazioni a visualizzare e classificare i rischi in modo chiaro e comprensibile.

Esempi di Matrice dei Rischi

1. Matrice Qualitativa:

 Una matrice qualitativa può utilizzare scale di classificazione come “Molto Alta”, “Alta”, “Media”, “Bassa” per la probabilità e le conseguenze. Ad esempio, una matrice potrebbe apparire come segue:

Probabilità Conseguenze	Molto Alta	Alta	Media	Bassa
Catastrofico	Molto Alta	Alta	Alta	Media
Critico	Molto Alta	Alta	Media	Bassa
Significativo	Alta	Media	Bassa	Bassa
Minore	Media	Bassa	Bassa	Molto Bassa

2. Matrice Quantitativa:

Una matrice quantitativa può utilizzare valori numerici per rappresentare la probabilità e l’impatto. Ad esempio, si potrebbe utilizzare una scala da 1 a 5 per entrambe le dimensioni, dove 1 rappresenta il rischio più basso e 5 il rischio più alto. La matrice potrebbe apparire come segue:

Probabilità Conseguenze	1 (Bassa)	2 (Media)	3 (Alta)	4 (Molto Alta)	5 (Critica) |
1 (Minore)	1	2	3	4	5
2 (Significativo)	2	4	6	8	10
3 (Critico)	3	6	9	12	15
4 (Catastrofico)	4	8	12	16	20

Utilizzo della Matrice dei Rischio

Le matrici dei rischio possono essere utilizzate per:

• Visualizzare la distribuzione dei rischi: Aiutano a identificare quali rischi richiedono attenzione immediata.
  • Supportare le decisioni: Forniscono un quadro chiaro per le decisioni relative alla gestione dei rischi.
  • Comunicare i rischi: Facilitano la comunicazione dei rischi a tutte le parti interessate.

È importante che le scale utilizzate nella matrice siano ben definite e comprese da tutte le parti interessate. Le descrizioni qualitative devono essere chiare e non ambigue, e le categorie non devono sovrapporsi.

Quali sono i livelli di probabilità e gravità/impatto ed i criteri per la loro determinazione secondo questa norma?

Nella norma ISO/IEC 27005:2022, i livelli di probabilità e gravità/impatto abbiamo visto che sono definiti attraverso scale qualitative e quantitative e i criteri per la loro determinazione devono essere stabiliti per garantire una valutazione coerente e significativa dei rischi.

Livelli di Probabilità

I livelli di probabilità possono essere espressi in termini qualitativi o quantitativi. Ecco un esempio di scala qualitativa:

Probabilità:

• Quasi certa: Evento che si prevede si verifichi frequentemente.
• Molto probabile: Evento che si prevede si verifichi frequentemente, ma non sempre.
• Probabile: Evento che ha una buona possibilità di verificarsi.
• Poco probabile: Evento che ha una bassa possibilità di verificarsi.
• Improbabile: Evento che è poco probabile che si verifichi.

Livelli di Gravità/Impatto

I livelli di gravità o impatto delle conseguenze possono essere definiti come segue:

Gravità delle Conseguenze:

• Catastrofico: Conseguenze gravi che possono compromettere gravemente l’organizzazione.
• Critico: Conseguenze significative che possono influenzare gravemente le operazioni/i processi di business.
• Serio: Conseguenze che possono causare danni notevoli, ma non critici.
• Significativo: Conseguenze che possono causare disagi minori.
• Minore: Conseguenze trascurabili che non influenzano le operazioni.

Criteri per la Determinazione dei Livelli

I criteri per determinare i livelli di probabilità e gravità includono:

Esempi pratici

1. Analisi Storica: Considerare eventi passati e incidenti di sicurezza che si sono verificati all’interno e all’esterno dell’organizzazione.
2. Valutazione delle Vulnerabilità: Identificare le vulnerabilità esistenti e il loro potenziale impatto.
3. Scenari di Rischio: Creare scenari di rischio che combinano probabilità e conseguenze per valutare il livello di rischio complessivo.
4. Contesto Organizzativo: Considerare il contesto specifico dell’organizzazione, inclusi i suoi obiettivi, le risorse e l’ambiente operativo.
5. Consenso delle Parti Interessate: Assicurarsi che le definizioni e le scale siano comprese e accettate da tutte le parti interessate coinvolte nel processo di gestione del rischio.

Nell’Appendice A la norma ISO 27005 fornisce esempi di tecniche a supporto del processo di valutazione dei rischi.

La norma presenta tabelle che possono essere utilizzate per rappresentare visivamente i livelli di probabilità e gravità, come ad esempio:

• Tabella A.3: Esempio di approccio qualitativo ai criteri di rischio, che combina probabilità e conseguenze per determinare il livello di rischio.
• Tabella A.2 e A.4: Esempi di scale di probabilità che possono essere utilizzate per rappresentare la probabilità di eventi di rischio in termini probabilistici o frequenziali.

Questi livelli e criteri sono fondamentali per aiutare le organizzazioni a prendere decisioni informate sulla gestione dei rischi e a stabilire priorità per le azioni di mitigazione.

Inoltre, sono illustrate Tecniche pratiche per identificare valutare i componenti di rischio per la sicurezza delle informazioni quali:

• Componenti legati al passato: eventi e incidenti di sicurezza (sia all’interno dell’organizzazione che all’esterno), fonti di rischio, vulnerabilità sfruttate, conseguenze misurate.
• Componenti legati al futuro: minacce; vulnerabilità; conseguenze; scenari di rischio.