FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

È difficile consigliare metodi o strumenti particolari per effettuare l’analisi rischi informazioni, in ambito ISO 27001  senza prendere in considera la tipologia dell’ organizzazione in termini di capacità interna nell’analisi dei rischi e nella gestione della sicurezza delle informazioni, delle sue dimensioni e complessità, del settore, dello stato del SGSI e così via.

Mentre la norma ISO/IEC 27005 offre consigli generali sulla scelta e l’utilizzo di metodi di analisi o valutazione del rischio delle informazioni, gli standard ISO 27000 non specificano alcun metodo , offrendo la flessibilità di selezionare un metodo, o più probabilmente diversi metodi e/o strumenti, che si adattano alle esigenze dell’organizzazione.

Esistono molti metodi e strumenti diversi di analisi del rischio delle informazioni (li vedremo prossimamente dei dettagli).

Possiamo suddividerli  a grandi linee in due gruppo che condividono caratteristiche ampiamente simili: i metodi quantitativi (matematici) e qualitativi (esperienziali).

Nessuno di loro è esplicitamente richiesto o raccomandato dagli standard ISO 27000 (forniscono alcune indicazioni) che lasciano la scelta del metodo/i agli utenti, a seconda delle loro esigenze e a fattori come la loro familiarità con determinati metodi.

E’ perfettamente accettabile e sovente consigliato, che un’organizzazione utilizzi più metodi di analisi dei rischi. Alcuni sono più adatti a situazioni particolari rispetto ad altri – ad esempio, potrebbe avere senso utilizzare un semplice metodo di valutazione rischi per una visione più generale della situazione sicurezza informazioni, per poi passare ad altri metodi più dettagliati per esaminare questi aspetti particolari in modo più completo.

Inoltre, alcuni metodi di analisi dei rischi sono selezionabili in funzione della presenza nell’organizzazione di esperti in attività come audit, gestione dei rischi, salute e sicurezza, progettazione e test delle applicazioni e gestione della continuità aziendale: non vi è alcun reale vantaggio nel costringerli ad abbandonare i loro metodi e strumenti preferiti solo per conformarsi alla ISO 27001.

Anzi, le diverse prospettive, esperienze e intuizioni portate da questi metodi, strumenti ed esperti potrebbero rivelarsi molto preziose (ad esempio, i valutatori della salute e la sicurezza sul lavoro ponderano i “pericoli” utilizzando metodi notevolmente simili alla sicurezza delle informazioni)

Un aspetto a cui fare attenzione, tuttavia, è come risolvere le inevitabili discrepanze nei risultati dei diversi metodi adottati

Le analisi sono semplicemente strumenti di supporto alle decisioni per guidare la direzione aziendale, che deve  prendere le decisioni vitali su quanto investimento in sicurezza è appropriato, quanto rischio può essere tollerato, e quando apportare i necessari miglioramenti alla sicurezza delle informazioni. La risoluzione di tali quesiti richiede visione ed esperienza gestionale e il supporto di esperti ISO 27001.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin