standard

Valutare il rischio cyber: la scelta dei controlli di sicurezza e le check list



Indirizzo copiato

La norma ISO/IEC 27001 stabilisce una serie di controlli di sicurezza che le organizzazioni devono implementare per garantire l’integrità, la disponibilità e la riservatezza delle informazioni. Tuttavia, l’applicazione di tali controlli non è un processo rigido e predefinito. Vediamo perché

Pubblicato il 16 mag 2024

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy



dpo formazione

Molti chiedono se la ISO/IEC 27001 impone l’implementazione di alcuni controlli, come fanno alcuni auditor. Chiedono, per esempio, se la ISO/IEC 27001 specifica che la distanza tra il data center primario e quello di disaster recovery deve essere di almeno 50 km, che le porte dei rack devono essere chiuse a chiave, che la procedura relativo allo sviluppo deve specificare lo strumento usato per tracciare le richieste di assistenza, che deve essere implementato un DLP.

In tutti i casi la risposta è no. La ISO/IEC 27001 richiede di determinare i controlli necessari sulla base dei risultati di una valutazione del rischio relativa alla sicurezza delle informazioni. Il confronto dei controlli determinati dall’organizzazione con quelli presenti nell’Appendice A della ISO/IEC 27001 è necessario solo per essere certi di averli considerati tutti.

L’importanza della valutazione del rischio

In pochissime parole, la valutazione del rischio richiede di identificare le minacce a cui è sottoposta l’organizzazione; valutarne la probabilità di accadimento e i potenziali impatti; determinare, sulla base di queste valutazioni, i controlli necessari per ridurre la probabilità di riuscita di una minaccia o gli impatti; infine, accettare il rischio residuo.

In definitiva, la valutazione del rischio serve a scegliere in modo adeguato i controlli di sicurezza. Richiedere l’implementazione di controlli perché sono presenti in un elenco (seppur autorevole) e senza considerare i risultati della valutazione del rischio, renderebbe inutile quest’ultima.

Notoriamente, non è possibile ridurre il rischio a zero, sia perché i controlli che prevengono incidenti o ne mitigano gli impatti hanno dei limiti, sia perché controlli più robusti o efficaci hanno costi eccessivi (in termini di costi diretti, di manutenzione o di accettazione all’interno dell’organizzazione), sia perché è possibile che non tutti i rischi siano stati identificati o correttamente valutati.

Stabilire se la valutazione del rischio è efficace o i controlli di sicurezza sono adeguati richiede di capire il perché sono state fatte determinate scelte e se sono state fatte in modo consapevole.

Come valutare i controlli di sicurezza delle informazioni

Valutare i controlli vuol dire valutarne due aspetti:

  • come sono stati scelti;
  • se sono implementati correttamente.

Per quanto riguarda la scelta, è sempre opportuno ricordare che non tutte le realtà sono uguali. Vanno quindi analizzati i risultati della valutazione del rischio.

La scelta dei controlli deve quindi basarsi sulla valutazione del rischio. Questa può anche portare l’organizzazione a decidere, consapevolmente, di non implementarne alcuni.

Facciamo l’esempio del data center di disaster recovery: se si parla di un’azienda di consulenza, dove ciascun consulente ha copie dei documenti sul proprio pc può essere più che sufficiente avere un backup settimanale del file server, conservato in un data center a pochi chilometri di distanza dal primario. Diverso è ovviamente il discorso per le applicazioni di tesoreria di una banca.

Altro esempio è quello delle chiavi dei rack: se i server sono in un data center dedicato, può non essere necessario chiudere ogni rack a chiave. Per data center condivisi, ovviamente, i ragionamenti devono essere diversi.

Anche per quanto riguarda l’implementazione, è necessario decidere caso per caso.

Per esempio, in piccole realtà, dove le persone addette alla gestione dei sistemi informatici sono poche e intercambiabili, l’implementazione di una soluzione di antimalware può non richiedere una procedura dettagliata per la sua manutenzione. Similmente, se i visitatori sono sempre accompagnati, non è sempre necessario registrare le persone che accedono alla sede o al data center (tanto più nei casi in cui la registrazione può essere facilmente elusa).

Influenza della normativa e delle richieste dei clienti sui controlli

Non sempre i controlli vanno determinati dalla valutazione del rischio, ma anche dalla normativa vigente (la privacy o, nel caso di alcune organizzazioni, la NIS 2) o dai clienti.

Norme come la ISO/IEC 27001 permettono, a rigore, di accettare il rischio relativo al mancato rispetto della normativa vigente o delle richieste dei clienti senza che questi ne siano informativi.

È però vero che il certificato deve rappresentare una garanzia per il mercato e per tutte le parti interessate, che si aspettano il rispetto della normativa e dei requisiti contrattuali.

L’accettazione del rischio: una scelta consapevole

Le norme non stabiliscono quali sono i rischi accettabili o non accettabili. Richiedono di stabilire i criteri di accettabilità dei rischi e questi non necessariamente richiedono che il livello di rischio sia basso.

D’altra parte, il trattamento di dati critici porta sempre rischi elevati che non possono essere ridotti entro un certo livello.

In fase di verifica, gli auditor devono valutare la coerenza delle analisi e se le scelte di accettazione sono state fatte consapevolmente, non imporre i propri criteri di accettazione del rischio.

Per esempio, se il reparto commerciale richiede di non sperimentare indisponibilità del sistema gestionale più lunghe di 4 ore per non perdere opportunità commerciali, ma il costo per una soluzione di DR che rispetti questo limite è molto elevato e la Direzione accetta il rischio, questa decisione deve essere a sua volta accettata (anche perché non ha impatti sui clienti).

Conclusioni

Molti standard propongono check list di controlli di sicurezza. Non per questo vanno implementati tutti. Tra l’altro, come dimostrano anche molti casi di cronaca (non ultimo quello di Avast), le soluzioni di sicurezza possono anche introdurre rischi.

I controlli di sicurezza vanno sempre determinati da una valutazione del rischio. Lo stesso GDPR ha introdotto in Italia il concetto di responsabilizzazione e ha stabilito che non esistono liste di controlli di sicurezza validi per tutti (come l’esperienza di molti con Allegato B del D. Lgs. 196 del 2003 ha dimostrato).

È quindi necessario cambiare punto di vista, soprattutto in occasione degli audit, e cominciare a interrogarsi e interrogare sulle motivazioni che hanno portato alle scelte di trattamento del rischio.

L’uso dell’Annex A dell’ISO/IEC 27001 in questo senso è supportato anche dagli stessi partecipanti alla sua scrittura, come riportato in alcuni articoli presenti nel SC 27 Journal Volume 3, Issue 4 Oct 2023 – Auditing Practice Articles (https://committee.iso.org/sites/jtc1sc27/home/wg2.html).

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati