La ISO 27001 è lo standard internazionale che specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione.

Quanto sia fondamentale e importante la sicurezza delle informazioni oggi è assodato e lo testimoniano anche le parole di Baudilio Tomé Muguruza, giudice della Corte dei Conti europea illustrando a Bruxelles un rapporto dei magistrati contabili dell’Unione sulla sicurezza cibernetica: “Le attuali sfide poste dalle minacce informatiche rendono questo momento cruciale per l’Unione Europea al fine di rafforzare la sicurezza informatica e la sua autonomia digitale, pur richiedendo un impegno costante per la salvaguardia dei valori fondamentali dell’UE”.

Sebbene l'80% delle imprese dell'UE abbia avuto almeno un incidente di sicurezza informatica nel 201611, il riconoscimento dei rischi è ancora allarmante. Tra le aziende dell'UE, il 69% non ha, o ha solo una conoscenza di base, della propria esposizione alle minacce informatiche 12 e il 60% non ha mai stimato le potenziali perdite finanziarie 13. Inoltre, secondo un'indagine globale, un terzo delle organizzazioni preferirei pagare il riscatto dell'hacker piuttosto che investire nella sicurezza delle informazioni (NTT Secuirty, Risk: Value 2018 Report)

La ISO 27001 è oggi il miglior approccio possibile per costruire un corretto sistema di gestione delle informazioni, per proteggersi da minacce, subite a seguito di attacchi di malintenzionati o frutto di accidentali errori.

La Sicurezza delle informazioni (Information security) è la preservazione della riservatezza, dell’integrità e della disponibilità delle informazioni (Definizione ISO/IEC 27001).

Le informazioni per loro natura sono archiviate e trasmesse su dei supporti. Essi possono essere analogici o non digitali come la carta, le fotografie o i film su pellicola, o digitali come i computer e le memorie rimovibili (per esempio: chiavi USB, CD e DVD). Un caso particolare di supporto non digitale è l’essere umano, che nella sua mente conserva informazioni. Per la trasmissione si possono usare: posta tradizionale, telefono (ormai basato su tecnologia mista), reti informatiche e, sempre considerando il caso particolare degli esseri umani, conversazioni tra persone.

La minaccia alle Informazioni può essere parametrata su 3 elementi:

La Riservatezza (Confidentiality): è la proprietà di un’informazione di non essere disponibile o rivelata a individui, entità o processi non autorizzati (Definizione ISO/IEC 27001);

L’Integrità (Integrity) è la proprietà di accuratezza e completezza (Definizione ISO/IEC 27001);

La Disponibilità (Availability) è la proprietà di essere accessibile e utilizzabile [entro i tempi previsti] su richiesta di un’entità autorizzata (Definizione ISO/IEC 27001).

Parlando di 27001 si deve familiarizzare con le questioni relative alle Analisi del Rischio.

Un sistema di gestione per la sicurezza delle informazioni non può infatti precludere da una corretta analisi del rischio, che valuti l'impatto sulla vulnerabilità̀ delle informazioni (fisiche / logiche) dell’elaborazione delle informazioni e la loro probabilità̀ nel verificarsi.

Cos’è la Valutazione e il rischio?

La Valutazione del rischio (risk assessment) è il processo complessivo di identificazione, analisi e ponderazione del rischio  (Definizione ISO/IEC 27001).

Per comprendere come agire di fronte ad un rischio, è opportuno stabilirne il livello, ossia una misura di grandezza.

La valutazione del rischio è composta dalle fasi di Identificazione del rischio, di Analisi del rischio e di Ponderazione del rischio.

Identificazione del rischio

L’Identificazione del rischio è il processo di individuazione, riconoscimento e descrizione del rischio (Definizione ISO/IEC 27001).

 

Questa attività necessita di identificare asset, minacce e vulnerabilità.

 

Cosa sono gli asset?

 

L’Asset (bene) è qualsiasi cosa cha abbia valore per l’organizzazione, informazioni, software, elementi fisici, servizi, persone e know how, reputazione e immagine.

 

• Information asset: sono le informazioni aggregate coerentemente;
• Altri asset utilizzati per trattare o conservare le informazioni.

 

Per l’identificazione degli asset si consiglia di coinvolgere i reali referenti, che operativamente gestiscono gli asset.

 

Categorie di Asset:

• le informazioni in formato digitale;
• i server fisici e virtuali; le applicazioni, inclusi i database management system, le applicazioni server e quelle accessibili da Internet; 
• i personal computer fissi;
• i personal computer portatili e i dispositivi informatici portatili (smartphone, tablet, hard disk portatili, eccetera);
• la rete informatica;
• le apparecchiature della rete informatica;
• il personale interno ed esterno;
• i fornitori;
• i documenti in formato non informatico e gli archivi cartacei;
• la sede e i locali;
• i processi e le unità organizzative;
• l’organizzazione nel suo complesso.

 

Cosa sono le minacce?

 

La Minaccia è la causa potenziale di un incidente, che può comportare danni ad un sistema o all’organizzazione.

 

L’Incidente è un evento o serie di eventi, non voluti e/o inattesi, relativi alla sicurezza delle informazioni, che hanno una probabilità significativa di compromettere le attività e di minacciare la sicurezza delle informazioni.

 

Cosa sono le vulnerabilità?

 

Le Vulnerabilità sono la debolezza di un asset o di un controllo di sicurezza, che può essere sfruttata da una o più minacce.

 

Si suggerisce di elaborare una lista di vulnerabilità o controlli di sicurezza, in modo da renderne sistematica l’identificazione e la valutazione.

 

Individuati Asset, minacce e vulnerabilità, queste dovranno essere correlate fra loro.

 

Analisi del rischio

L’Analisi del rischio è il processo di comprensione della natura del rischio e di determinazione del livello di rischio.

 

Se la fase di Identificazione del rischio si prefigurava di individuare gli elementi che compongono la nostra equazione (Asset, Minacce e Vulnerabilità), la fase di Analisi del rischio si pone l’obiettvio di assegnare loro dei valori oggettivi e ripetibili.

 

Il Livello di rischio è la grandezza di un rischio espresso come combinazione delle sue conseguenze e della loro verosimiglianza/probabilità. La ISO/IEC 27001 utilizza il termine verosimiglianza e non probabilità per evitare che venga interpretato come richiesta di calcolare il rischio in termini quantitativi.

Ma quali sono i parametri su sui valutare il rischio?

• il contesto;
• l’asset e il suo valore, da cui dipende l’impatto;
• la minaccia e la sua verosimiglianza o probabilità;
• le vulnerabilità e la loro gravità o i controlli di sicurezza e la loro robustezza.

Una volta calcolato il livello di rischio, è necessario prendere delle decisioni per affrontarlo o trattarlo ipotizzando misure per prevenirlo o  ridurne il potenziale impatto.

I metodi di evaluation posso essere:

• Quantitativi: sono utilizzate la probabilità statistica o la frequenza delle minacce e la quantificazione economica.
• Qualitativi: utilizzano delle scale di valori quali “Alto”, “Medio” e “Basso”.
• Semi-quantitative: utilizzano range di valori.

 

Ponderazione del rischio

La Ponderazione del rischio (risk evaluation) è il processo di comparazione dei risultati dell’analisi del rischio rispetto ai criteri di rischio, per determinare se il rischio è accettabile o tollerabile.

 

I Criteri di rischio sono i valori di riferimento rispetto ai quali è ponderato il rischio.

 

La ponderazione del rischio consiste nel decidere se un rischio è accettabile o non accettabile rispetto a dei criteri prestabiliti.

 

I criteri prestabiliti potrebbero essere:

• Il livello di sicurezza minimo deve essere quello richiesto dalle clausole contrattuali e dalla normativa vigente;
• il rischio accettabile è un compromesso fra il rischio di impresa e la sua economicità;
• se vi sono dei controlli compensativi efficaci, essi sono accettabili;
• si da priorità ai rischi più elevati;
• si da priorità alle minacce per le quali una singola occorrenza può avere conseguenze tali da compromettere la sostenibilità dell’organizzazione.

 

Si potrebbero ordinare i rischi dal più elevato al meno elevato e cominciare a ponderarli uno ad uno. I primi rischi potranno essere ritenuti inaccettabili, poi, ad un certo punto della lista, ci saranno solo rischi accettabili.

 

 

Trattamento del rischio

 

Terminata la fase di Risk Assessment si procede al Trattamento del rischio, il processo per modificare il rischio.

 

Il rischio successivo al trattamento è detto rischio residuo.

 

Ma quali sono le opzioni di trattamento del rischio?

• Evitare il rischio decidendo di non iniziare o continuare un’attività. Questa soluzione forse radicale è di tipo strategico (es: vendita di ramo d’azienda, a causa di minacce e/o opportunità).
• Prendere o aumentare il rischio per cogliere un’opportunità. Si può aumentare consapevolmente il rischio, anche a fronte di controlli di sicurezza ritenuti eccessivamente onerosi (es: la duplicazione esatta e non parziale di tutti i sistemi informatici in un sito di disaster recovery).
• Modificare la probabilità: prevede di aggiungere o migliorare i controlli di prevenzione e di rilevazione già trattati e quindi di ridurre le vulnerabilità. È impossibile eliminare completamente il rischio perché nessun controllo di sicurezza è inattaccabile.
• Modificare le conseguenze: si interviene non verso la minaccia ma verso il contenimento del danno, (es: i backup) permettendo di ripristinare i dati.
• Condividere il rischio con altri soggetti: Non tutti i rischi possono essere trasferiti, poichè l’allocazione a un fornitore di un attività, qualora l’attacco abbia successo può comportare risarcimenti economici per il danno subito ma non per il danno d’immagine (es: fornitori esterni; polizze assicurative).
• Mantenere il rischio con una scelta informata: Esiste anche l’opzione di non fare nulla e accettare il rischio, perchè talmente basso per cui ogni azione di riduzione non darebbe benefici apprezzabili; oppure il costo per nuovi controlli di sicurezza esistenti sarebbe sproporzionato.

L’insieme di tutte le decisioni prese, rischio per rischio, prende il nome di piano di trattamento del rischio (risk treatment plan).