standard di sicurezza

Sicurezza delle informazioni, la nuova ISO/IEC 27005 sulla valutazione del rischio

La nuova versione della ISO/IEC 27005 sulla valutazione del rischio relativo alla sicurezza delle informazioni introduce alcuni cambiamenti significativi, ma le difficoltà riscontrate nel corso della lunga gestazione della norma si manifestano in molti passaggi incoerenti, imprecisi e oscuri. Facciamo il punto

Pubblicato il 24 Apr 2023

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

cybersecurity

A ottobre 2022 è stata pubblicata la nuova versione della ISO/IEC 27005 sulla valutazione del rischio relativo alla sicurezza delle informazioni.

Il titolo attuale è “Information security, cybersecurity and privacy protection — Guidance on managing information security risks”.

Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa cambia

I cambiamenti più significativi sono riportati nell’Introduzione e possono essere riassunti nei seguenti:

  • allineamento del testo con la ISO/IEC 27001:2022 e la ISO 31000:2018;
  • introduzione dei concetti relativi agli scenari di rischio;
  • introduzione, per l’identificazione del rischio, dell’approccio basato sugli eventi, in alternativa a quello basato sugli asset.

Il cambiamento più significativo è sicuramente il terzo. Si voleva inserirlo già nell’edizione del 2018, ma tanti non ne erano convinti.

Il risultato attuale è un po’ confuso, come si accenna in questo articolo, e dimostra le difficoltà maturate nel gruppo di lavoro.

Il processo di valutazione del rischio

Il processo di gestione del rischio rimane, nel suo complesso, invariato e pertanto non sarà qui approfondito.

E’ bene ricordare che il processo prevede le fasi di:

  • stabilire il contesto;
  • identificare il rischio;
  • analizzare il rischio;
  • ponderare il rischio (risk evaluation);
  • trattare il rischio;
  • accettare il rischio;
  • monitorare e riesaminare.

Esse sono affiancate dalle attività di comunicazione e consultazione e di registrazione e reporting.

L’approccio basato sugli asset

La norma riporta l’approccio di valutazione del rischio già presente nelle precedenti versioni. Esso prevede che i rischi vengano “identificati e valutati attraverso un’ispezione degli asset, delle minacce e delle vulnerabilità”. Viene sottolineato il fatto che questo porta all’identificazione di trattamenti a un livello elevato di dettaglio.

Questo articolo non ha l’obiettivo di illustrare tale approccio, perché già oggetto di numerose altre pubblicazioni.

E’ necessario ricordare che nacque negli anni Ottanta e, in particolare, diffuso insieme al software CRAMM, la cui prima versione era del 1985. Stiamo parlando di anni in cui l’informatica era molto diversa dall’attuale, la gran parte delle organizzazioni usava pc stand-alone, mainframe o AS/400 (gli asset erano poco numerosi, molto eterogenei, con livelli di sicurezza dipendenti soprattutto dall’ambiente fisico), MS Windows è dello stesso 1985, non erano noti attacchi significativi da Internet (il Morris worm è del 1988, il primo virus per MS Windows è del 1992), non c’erano browser grafici (il primo è del 1990 e il primo ad avere una certa notorietà, Mosaic, è del 1993).

Inoltre l’unica disciplina che promuove questo tipo di approccio è proprio la sicurezza delle informazioni (anche se FMEA va applicato anche ai singoli componenti).

E’ quindi ovvio che questo approccio non è più adeguato alla realtà attuale ed emerge la necessità di identificarne altri.

L’approccio basato sugli eventi

Nella ISO/IEC 27005:2022 l’approccio basato sugli eventi prevede di “identificare scenari strategici attraverso una considerazione delle sorgenti di minaccia e come esse possono usare o impattare parti interessate per soddisfare gli obiettivi di rischio desiderati”.

Non sembra molto chiaro, anche perché alcuni confondono le “sorgenti di rischio” con gli agenti di minaccia (in Appendix A c’è addirittura un elenco, sotto la dicitura di “sorgenti di rischio”, di agenti e loro motivazioni). Andrebbe invece riconosciuto il fatto che la ISO 31000 usa il termine “sorgente di rischio” al posto di “minaccia o opportunità”, visto che quella norma considera anche i rischi che potrebbero avere impatti positivi. In un ambito dove i rischi possono essere solo negativi, le sorgenti di rischio sono solo le minacce.

Più chiaro è un altro passaggio che specifica: “I rischi possono essere identificati e valutati attraverso una valutazione di eventi e conseguenze. Eventi e conseguenze possono essere spesso determinati dalla scoperta delle preoccupazioni dell’alta direzione, dei proprietari di rischi e dei requisiti identificati nella determinazione del contesto dell’organizzazione”. Scritta così sembra un’attività non sistematica e non esaustiva (contrariamente al principio di “strutturazione e completezza” presente nella ISO 31000).

Anche qui, qualche confusione terminologica non associa “eventi (negativi) potenziali” con le “minacce”.

Nell’Appendix A sono presentati alcuni esempi: sovvertimento dell’infrastruttura critica, sfruttamento dell’infrastruttura portuale, frode fiscale, estorsione, influenze sul regolatore, rimozione dei concorrenti. Un ulteriore esempio, sempre in Appendix A, ma in altro punto, è la distruzione di documenti da parte di un amministratore.

Questi esempi sono molto generici, ma permettono di capire cosa fare in concreto: costruire scenari da minacce di alto livello, quindi i cammini che possono essere seguiti per concretizzare la minaccia, similmente all’approccio fault tree analysis (FTA), già oggetto della norma IEC 61025.

I cammini portano alle tipiche minacce di sicurezza delle informazioni (intrusione fisica e logica, danneggiamenti fisici e logici, volontari o involontari, eventi naturali, guasti, errori, eccetera), che potrebbero essere associate a singoli asset o gruppi di asset. Considerando queste minacce e gli eventi di alto livello, è possibile assegnare loro un valore di probabilità e di conseguenze.

Cicli di valutazione del rischio

La norma prevede, ovviamente, che la valutazione e il trattamento del rischio vengano aggiornati con frequenza regolare o a fronte di eventi significativi.

Altri rischi

La norma non affronta le modalità di gestione dei rischi emersi dall’identificazione di vulnerabilità tecniche o da altri eventi che emergono puntualmente nel tempo (p.e. in caso di cambiamenti o di cantieri fisici temporanei).

Questo è un peccato, visto che alcune norme (p.e. CSA STAR) richiedono esplicitamente di analizzare questi rischi.

Gli esempi in Annex A

L’Annex A presenta molti esempi. Esso è informativo e non pretende di presentare esempi tra loro coerenti. Va quindi considerato come fonte di ispirazione per progettare il proprio approccio.

Gli esempi includono, per le valutazioni qualitative, tabelle per le conseguenze e le probabilità (ambedue su 5 livelli).

Per l’approccio basato sugli asset, come già nelle precedenti versioni, si trovano, aggiornati, esempi di tipi di asset, di minacce e di vulnerabilità.

Conclusioni

I lavori per introdurre un approccio alternativo a quello basato sugli asset sono durati 10 anni e le difficoltà riscontrate dal gruppo di lavoro (anche per la resistenza di alcuni) si manifestano nei molti passaggi incoerenti, imprecisi e oscuri della norma.

Va però detto che il tentativo è apprezzabile e sicuramente andava fatto, visto che non è possibile basarsi, in ambito informatico, su un approccio degli anni Ottanta. È facile criticare il risultato finale, ma bisogna ricordare che gli standard ISO/IEC necessitano un elevato livello di consenso dei Paesi aderenti ed è quindi da elogiare la positiva conclusione di questo lavoro.

Aspetto estremamente positivo è costituito dagli esempi in Annex A, che permettono di concretizzare alcune idee presentate nel testo.

Tra 3 anni il Gruppo di lavoro dovrà decidere se aggiornare o meno questa norma. Questo sarà fatto anche sulla base delle esperienze maturate e, se significative, potranno portare a un ulteriore miglioramento e adattamento di questo standard.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2