La ISO/IEC 27005:2022: la linea guida per la gestione dei rischi sulla sicurezza delle informazioni
La norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks” è uno standard internazionale, della famiglia ISO/IEC 27000, che fornisce linee guida per la gestione dei rischi nella sicurezza delle informazioni. Questo standard rappresenta una guida completa e pratica per implementare un sistema efficace di gestione dei rischi nella sicurezza delle informazioni, allineata alla ISO/IEC 27001.
(Nella foto: l'Ing. Monica Perego, docente del Master per Esperto Privacy patrocinato da Federprivacy)
Chi si occupa di sicurezza delle informazioni in generale e dei dati personali in particolare, non può non conoscere gli elementi di base di questa norma, che cerchiamo di mettere a fuoco in questo articolo, supportati anche da un esempio operativo.
Struttura della norma - La ISO/IEC 27005 è suddivisa in 6 capitoli principali (da 5 a 10), preceduti dai capitoli introduttivi. La struttura si basa sui principi generali della ISO 31000:2018 “Risk management — Guidelines” adattati al contesto specifico della sicurezza delle informazioni. Il taglio è estremamente operativo e questo è un grande valore aggiunto.
Struttura - Lo standard, attraverso le lenti della sicurezza delle informazioni, copre l’intero ciclo di gestione del rischio: valutazione, trattamento, comunicazione, monitoraggio e riesame.
I contenuti sono organizzati nelle seguenti aree:
- valutazione del rischio tramite l’analisi delle fasi relative all’identificazione, analisi e ponderazione del rischio. Include metodologie per identificare gli asset, le minacce, le vulnerabilità e determinare i livelli di rischio;
- trattamento del rischio che fornisce indicazioni su come gestire i rischi identificati attraverso strategie di mitigazione, accettazione, trasferimento o eliminando la/le sorgenti del rischio;
- comunicazione e consultazione che prevede processi per comunicare efficacemente i rischi a tutte le parti interessate nell’organizzazione;
- monitoraggio e riesame attraverso modalità per il controllo continuo dell’efficacia del processo di gestione del rischio.
La norma fornisce inoltre esempi di matrici dei rischi che possono essere utilizzate per rappresentare graficamente la valutazione dei rischi in base ai valori di probabilità e conseguenze (ovvero impatto).
La ISO/IEC 27005 è supportata da una appendice che contiene esempi pratici, metodologie dettagliate e strumenti operativi per implementare concretamente i processi di gestione del rischio.
L’identificazione delle minacce e le sorgenti di rischio - Per comprendere un elemento cruciale della ISO/IEC 27005 è necessario sciogliere un nodo terminologico:
- la ISO 31000 usa “sorgente di rischio” come termine generico per qualsiasi elemento che può generare rischio, sia positivo (opportunità) che negativo (minaccia);
- la ISO/IEC 27005 opera nel contesto di sicurezza informatica dove i rischi sono quasi esclusivamente negativi; ciò può creare confusione quando si parla di “sorgenti di rischio” in ambito cybersecurity.
Nel contesto della sicurezza informatica, le “sorgenti di rischio” coincidono effettivamente con le “minacce” in quanto:
- non consideriamo impatti positivi sulla sicurezza;
- ogni sorgente di rischio rappresenta una potenziale minaccia;
- gli “agenti di minaccia” sono attori che operano attraverso queste sorgenti.
Non bisogna quindi confondere i livelli, mescolando:
- sorgenti di rischio/minacce (es. malware, attacchi DDoS)
- agenti di minaccia (es. hacker, interni malintenzionati)
- motivazioni (es. profitto, ideologia)
Esempio - In un’azienda che gestisce dati personali, consideriamo il rischio di violazione dei dati:
- la sorgente di rischio/minaccia è l’attacco ransomware;
- l’agente di minaccia è identificato nel gruppo criminale organizzato;
- la motivazione risiede nell’ottenere un profitto economico;
- la vulnerabilità sfruttata dall’agente di minaccia è il sistema non aggiornato;
- l’impatto è riconducibile alla perdita di dati, interruzione operativa, sanzioni GDPR, perdita di reputazione.
In questo caso, l’attacco ransomware è simultaneamente la “sorgente di rischio” (secondo la terminologia ISO 31000) e la “minaccia” (secondo la terminologia di cybersecurity). Non c’è distinzione pratica tra i due termini perché in sicurezza informatica le sorgenti di rischio sono sempre negative - non esistono “opportunità” derivanti da attacchi informatici (se non quella di avere la prova che il sistema ha retto ad un determinato attacco esterno).
La confusione nasce quando si etichetta erroneamente il “gruppo criminale organizzato” come “sorgente di rischio” invece che come “agente di minaccia”.
La norma ISO/IEC 27005 non fornisce un elenco specifico e prescrittivo di minacce, ma piuttosto identifica categorie generali che le organizzazioni devono considerare durante il processo di valutazione dei rischi. Secondo la versione 2022 dello standard, le principali categorie di minacce alla sicurezza delle informazioni includono, ad esempio, quelle derivanti da azioni umane, disastri naturali, guasti tecnologici, supply chain, etc.
Conclusioni - L’analisi dei rischi nel contesto della sicurezza delle informazioni e quindi anche nella protezione dei dati personali è una tematica che può essere affrontata da molti punti di vista. Non esiste una ricetta unica, ma solo modelli tra cui scegliere quello che meglio si presta al contesto in esame. La ISO/IEC 27005:2022 propone un approccio di valore che è da valutare nel contesto complessivo delle misure per la gestione della sicurezza delle informazioni.
