La valutazione dei rischi quando si implementa un SGSI ISO 27001
La norma UNI CEI ISO 27001 ( Sistemi di gestione della sicurezza delle informazioni – Requisiti ), richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.
La valutazione dei rischi ISO 27001 si articola fondamentalmente in cinque passaggi importanti:
1. definizione della struttura che si occuperà della valutazione dei rischi;
2. identificazione dei rischi;
3. analisi dei rischi;
4. valutazione dei rischi;
5. scelta delle modalità di gestione dei rischi.
La struttura di valutazione dei rischi comporta la scelta della/e persona/e responsabili della valutazione. In genere si procede affidando a un consulente esterno tale compito, un professionista che abbia già svolto tale attività precedentemente
L’identificazione dei rischi deve avvenire in modo analitico con la collaborazione dei responsabili di settore e la supervisione del Responsabile IT.
Identificare i rischi che influenzano la riservatezza, l’integrità e la disponibilità delle informazioni richiede è un’attività del processo di valutazione dei rischi che richiede molto tempo e attenzione.
Il punto di partenza è l’identificazione degli asset, ovvero le risorse informative che possono subire danni.
È inoltre necessario definire i criteri di accettazione dei rischi, cioè comprenderne l’impatto sull’organizzazione e le probabilità che si presentino effettivamente.
Determinare l’impatto e la probabilità di un rischio dato consente di determinarne la reale gravità. Spesso i responsabili della gestione dei rischi presentano questa semplice matrice:
Probabilità
È possibile utilizzare i risultati di questa analisi per decidere come reagire ai rischi.
A tal fine è necessario considerare quattro tipi di reazione:
1. tollerare il rischio;
2. gestirlo mediante controlli;
3. eliminarlo evitandolo completamente;
4. trasferirlo, mediante un’assicurazione o un accordo con altre parti.