standard di sicurezza

Sicurezza delle informazioni, la nuova ISO/IEC 27005 sulla valutazione del rischio

La nuova versione della ISO/IEC 27005 sulla valutazione del rischio relativo alla sicurezza delle informazioni introduce alcuni cambiamenti significativi, ma le difficoltà riscontrate nel corso della lunga gestazione della norma si manifestano in molti passaggi incoerenti, imprecisi e oscuri. Facciamo il punto

Pubblicato il 24 Apr 2023

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

cybersecurity

A ottobre 2022 è stata pubblicata la nuova versione della ISO/IEC 27005 sulla valutazione del rischio relativo alla sicurezza delle informazioni.

Il titolo attuale è “Information security, cybersecurity and privacy protection — Guidance on managing information security risks”.

Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa cambia

I cambiamenti più significativi sono riportati nell’Introduzione e possono essere riassunti nei seguenti:

  • allineamento del testo con la ISO/IEC 27001:2022 e la ISO 31000:2018;
  • introduzione dei concetti relativi agli scenari di rischio;
  • introduzione, per l’identificazione del rischio, dell’approccio basato sugli eventi, in alternativa a quello basato sugli asset.

Il cambiamento più significativo è sicuramente il terzo. Si voleva inserirlo già nell’edizione del 2018, ma tanti non ne erano convinti.

Il risultato attuale è un po’ confuso, come si accenna in questo articolo, e dimostra le difficoltà maturate nel gruppo di lavoro.

Il processo di valutazione del rischio

Il processo di gestione del rischio rimane, nel suo complesso, invariato e pertanto non sarà qui approfondito.

E’ bene ricordare che il processo prevede le fasi di:

  • stabilire il contesto;
  • identificare il rischio;
  • analizzare il rischio;
  • ponderare il rischio (risk evaluation);
  • trattare il rischio;
  • accettare il rischio;
  • monitorare e riesaminare.

Esse sono affiancate dalle attività di comunicazione e consultazione e di registrazione e reporting.

L’approccio basato sugli asset

La norma riporta l’approccio di valutazione del rischio già presente nelle precedenti versioni. Esso prevede che i rischi vengano “identificati e valutati attraverso un’ispezione degli asset, delle minacce e delle vulnerabilità”. Viene sottolineato il fatto che questo porta all’identificazione di trattamenti a un livello elevato di dettaglio.

Questo articolo non ha l’obiettivo di illustrare tale approccio, perché già oggetto di numerose altre pubblicazioni.

E’ necessario ricordare che nacque negli anni Ottanta e, in particolare, diffuso insieme al software CRAMM, la cui prima versione era del 1985. Stiamo parlando di anni in cui l’informatica era molto diversa dall’attuale, la gran parte delle organizzazioni usava pc stand-alone, mainframe o AS/400 (gli asset erano poco numerosi, molto eterogenei, con livelli di sicurezza dipendenti soprattutto dall’ambiente fisico), MS Windows è dello stesso 1985, non erano noti attacchi significativi da Internet (il Morris worm è del 1988, il primo virus per MS Windows è del 1992), non c’erano browser grafici (il primo è del 1990 e il primo ad avere una certa notorietà, Mosaic, è del 1993).

Inoltre l’unica disciplina che promuove questo tipo di approccio è proprio la sicurezza delle informazioni (anche se FMEA va applicato anche ai singoli componenti).

E’ quindi ovvio che questo approccio non è più adeguato alla realtà attuale ed emerge la necessità di identificarne altri.

L’approccio basato sugli eventi

Nella ISO/IEC 27005:2022 l’approccio basato sugli eventi prevede di “identificare scenari strategici attraverso una considerazione delle sorgenti di minaccia e come esse possono usare o impattare parti interessate per soddisfare gli obiettivi di rischio desiderati”.

Non sembra molto chiaro, anche perché alcuni confondono le “sorgenti di rischio” con gli agenti di minaccia (in Appendix A c’è addirittura un elenco, sotto la dicitura di “sorgenti di rischio”, di agenti e loro motivazioni). Andrebbe invece riconosciuto il fatto che la ISO 31000 usa il termine “sorgente di rischio” al posto di “minaccia o opportunità”, visto che quella norma considera anche i rischi che potrebbero avere impatti positivi. In un ambito dove i rischi possono essere solo negativi, le sorgenti di rischio sono solo le minacce.

Più chiaro è un altro passaggio che specifica: “I rischi possono essere identificati e valutati attraverso una valutazione di eventi e conseguenze. Eventi e conseguenze possono essere spesso determinati dalla scoperta delle preoccupazioni dell’alta direzione, dei proprietari di rischi e dei requisiti identificati nella determinazione del contesto dell’organizzazione”. Scritta così sembra un’attività non sistematica e non esaustiva (contrariamente al principio di “strutturazione e completezza” presente nella ISO 31000).

Anche qui, qualche confusione terminologica non associa “eventi (negativi) potenziali” con le “minacce”.

Nell’Appendix A sono presentati alcuni esempi: sovvertimento dell’infrastruttura critica, sfruttamento dell’infrastruttura portuale, frode fiscale, estorsione, influenze sul regolatore, rimozione dei concorrenti. Un ulteriore esempio, sempre in Appendix A, ma in altro punto, è la distruzione di documenti da parte di un amministratore.

Questi esempi sono molto generici, ma permettono di capire cosa fare in concreto: costruire scenari da minacce di alto livello, quindi i cammini che possono essere seguiti per concretizzare la minaccia, similmente all’approccio fault tree analysis (FTA), già oggetto della norma IEC 61025.

I cammini portano alle tipiche minacce di sicurezza delle informazioni (intrusione fisica e logica, danneggiamenti fisici e logici, volontari o involontari, eventi naturali, guasti, errori, eccetera), che potrebbero essere associate a singoli asset o gruppi di asset. Considerando queste minacce e gli eventi di alto livello, è possibile assegnare loro un valore di probabilità e di conseguenze.

Cicli di valutazione del rischio

La norma prevede, ovviamente, che la valutazione e il trattamento del rischio vengano aggiornati con frequenza regolare o a fronte di eventi significativi.

Altri rischi

La norma non affronta le modalità di gestione dei rischi emersi dall’identificazione di vulnerabilità tecniche o da altri eventi che emergono puntualmente nel tempo (p.e. in caso di cambiamenti o di cantieri fisici temporanei).

Questo è un peccato, visto che alcune norme (p.e. CSA STAR) richiedono esplicitamente di analizzare questi rischi.

Gli esempi in Annex A

L’Annex A presenta molti esempi. Esso è informativo e non pretende di presentare esempi tra loro coerenti. Va quindi considerato come fonte di ispirazione per progettare il proprio approccio.

Gli esempi includono, per le valutazioni qualitative, tabelle per le conseguenze e le probabilità (ambedue su 5 livelli).

Per l’approccio basato sugli asset, come già nelle precedenti versioni, si trovano, aggiornati, esempi di tipi di asset, di minacce e di vulnerabilità.

Conclusioni

I lavori per introdurre un approccio alternativo a quello basato sugli asset sono durati 10 anni e le difficoltà riscontrate dal gruppo di lavoro (anche per la resistenza di alcuni) si manifestano nei molti passaggi incoerenti, imprecisi e oscuri della norma.

Va però detto che il tentativo è apprezzabile e sicuramente andava fatto, visto che non è possibile basarsi, in ambito informatico, su un approccio degli anni Ottanta. È facile criticare il risultato finale, ma bisogna ricordare che gli standard ISO/IEC necessitano un elevato livello di consenso dei Paesi aderenti ed è quindi da elogiare la positiva conclusione di questo lavoro.

Aspetto estremamente positivo è costituito dagli esempi in Annex A, che permettono di concretizzare alcune idee presentate nel testo.

Tra 3 anni il Gruppo di lavoro dovrà decidere se aggiornare o meno questa norma. Questo sarà fatto anche sulla base delle esperienze maturate e, se significative, potranno portare a un ulteriore miglioramento e adattamento di questo standard.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 2