Gli standard ENISA per una corretta gestione del rischio

ENISA, Agenzia dell’Unione europea per la cyber sicurezza, ha appena pubblicato un documento: “RISK MANAGEMENT STANDARDS, Analysis of standardisation requirements in support of cybersecurity policy”, in cui fornisce una panoramica degli standard pubblicati che affrontano aspetti della gestione del rischio e successivamente descrivono metodologie e strumenti che possono essere utilizzati per conformarsi o implementare tali standard.

La gestione del rischio consiste nell’identificare e proteggere le risorse preziose di un’organizzazione.

Le procedure di gestione del rischio sono processi fondamentali per preparare le organizzazioni a futuri attacchi informatici e per valutare prodotti e servizi per evitarli o quantomeno limitarne i danni.

La gestione del rischio prevede dei passaggi chiave:

  1. identificazione delle minacce
  2. valutazione delle minacce
  3. valutazione del rischio
  4. mitigazione del rischio
  5. valutazione dei controlli di sicurezza implementati e ulteriori mitigazioni

L’obiettivo principale della gestione del rischio all’interno di un’organizzazione è determinare possibili incertezze o minacce, proteggere dalle conseguenze che ne derivano e consentire il raggiungimento degli obiettivi aziendali.

Il processo di gestione del rischio è il modo individuale in cui un’organizzazione affronta il concetto di rischio e i relativi tipi di rischio al suo interno. Il processo di gestione del rischio è una parte fondamentale di qualsiasi organizzazione e deve essere integrato in tutti i processi e le attività.

 Cos’è una metodologia?

Una metodologia è un insieme di principi e metodi (almeno uno) che aderiscono alle buone pratiche utilizzate per svolgere una particolare attività. È uno schema coerente e logico che guida le scelte degli utenti della metodologia.

Qual è la relazione tra standard e metodologie?

Alcune metodologie sono (pubblicate come) standard e alcuni standard includono metodologie.

Nel documento redatto da ENISA, su tematiche di sicurezza informatica e la sicurezza delle informazioni, questi tipi di rischi devono essere valutati in combinazione con i tre aspetti che devono essere garantiti della sicurezza delle informazioni: riservatezza, integrità e disponibilità. Ad esempio, le conseguenze possono derivare per il rischio di mercato da una perdita di integrità, o quali conseguenze possono derivare per il rischio della catena di approvvigionamento da una perdita di riservatezza.

Tra i sistemi di certificazione per la sicurezza delle informazioni c’è la UNI CEI EN ISO/IEC 27001:2017, Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazioni.

Quando un’organizzazione intende raggiungere la conformità ai requisiti di uno standard del sistema di gestione come quello sopra citato, i requisiti relativi alla gestione del rischio si trovano in queste clausole:

  • Azioni per affrontare rischi e opportunità
  • Valutazione dei rischi per la sicurezza delle informazioni
  • Mitigazione dei rischi per la sicurezza delle informazioni.

Il risultato di un’analisi del rischio è nella maggior parte dei casi un elenco di rischi o minacce per un sistema, insieme alle probabilità corrispondenti. Gli standard internazionali nel campo della gestione del rischio sono utilizzati per supportare l’identificazione di questi rischi o minacce, nonché per valutare le rispettive probabilità.

Ci sono tre opzioni per l’analisi della gestione del rischio delle metodologie:

  • Opzione 1: La metodologia viene utilizzata per ottenere la conformità a uno standard (con riferimento in parte o in tutto a un determinato standard e ai suoi requisiti).
  • Opzione 2: La metodologia è fornita come standard e può essere utilizzata per ottenere la conformità a uno standard e ai suoi requisiti.
  • Opzione 3: La metodologia è un insieme di buone pratiche ma non correlate ad alcuno standard e non utilizzate per ottenere la conformità.

Gli standard e le metodologie di gestione del rischio possono essere utilizzati per diversi scopi in un’entità:

  • Impostare o rafforzare un processo di gestione del rischio digitale all’interno di un’organizzazione.
  • Valutare e trattare i rischi relativi a un progetto digitale, in particolare con l’obiettivo di un accreditamento di sicurezza.
  • Definire il livello di sicurezza da raggiungere per un prodotto o servizio in base ai suoi usi particolari e ai rischi da contrastare, ad esempio dal punto di vista della certificazione o dell’accreditamento.

Il diagramma illustra i vari passaggi e la relazione causale tra l’agente di minaccia e l’esposizione dell’asset, che è comunemente noto come “attacco informatico”. La gestione del rischio e la metodologia e gli strumenti associati sono un insieme di requisiti da seguire per stimare il livello di rischio che un’entità sta affrontando.

 

 

Le misure necessarie che devono essere condotte da qualsiasi entità all’avvio della sua analisi dei rischi possono essere riassunte come segue:

  1. Identificazione dei beni critici (dati, materiale, luogo, persone);
  2. Identificazione delle minacce di questi asset critici;
  3. Definizione dell’evento e dell’importanza di queste minacce per calcolare un tasso di rischio;
  4. Decisione sull’attenuazione dei rischi (ridurre, accettare, trasferire);
  5. Pianificazione del piano di continuità operativa e del piano di ripresa aziendale;
  6. Definizione della cartografia informatica o dell’ambiente di utilizzo del prodotto.

La pubblicazione fornisce in allegato (Annex A) un elenco delle norme e delle specifiche tecniche relative alla gestione dei rischi. Si elencano le principali per quanto riguarda la sicurezza delle informazioni e dati informatici.