ISO 27001: Come effettuare una valutazione dei rischi in 5 fasi

La valutazione del rischio è una delle parti fondamentali del progetto di conformità ISO 27001. Senza di essa, si rischia di sprecare tempo, risorse e denaro nell’implementare delle misure di sicurezza che potrebbero non essere necessarie, o tantomeno inefficaci, per le esigenze della tua azienda ed i rischi a cui è esposta. Al contrario, è indispensabile per valutare le aree a cui si vuole dare priorità di trattamento e per allocare le risorse in modo responsabile.

Effettuare una valutazione dei rischi può essere un compito difficoltoso, ecco perché i nostri esperti hanno sviluppato questo processo in 5 fasi per renderti il compito più facile.

1. Stabilisci un quadro di gestione dei rischi

Ossia le regole che definiscono come identificherai i rischi, a chi ne assegnerai la proprietà, l’impatto che i rischi avranno sulla riservatezza, integrità e disponibilità delle informazioni, e come calcolerai la stima dell’impatto e della probabilità del rischio. In definitiva, la valutazione del rischio deve tenere in considerazione i seguenti 4 punti:

  • I criteri di sicurezza di base
  • La scala del rischio
  • La propensione al rischio
  • La metodologia di valutazione, ossia se basata sullo scenario di rischio o sugli asset.

2. Identifica i rischi

Ossia quelli che possono influenzare la riservatezza, l’integrità e la disponibilità delle informazioni. Questa fase del processo di valutazione dei rischi è quella che richiede più tempo.

Consigliamo di adottare un approccio basato sugli asset. Elencare le risorse informative che si possiedono è un buon punto di partenza.

3. Analizza i rischi

Prima di tutto, devi identificare le minacce e le vulnerabilità applicabili ad ogni risorsa informativa identificata nella fase precedente. Ad esempio, per le informazioni accessibili tramite un dispositivo mobile, una minaccia potrebbe essere “furto del dispositivo mobile” e la vulnerabilità “mancanza di una policy formale per la gestione dei dispositivi mobili”.

4. Valuta i rischi

Devi valutare ogni rischio individuato rispetto ai livelli di accettazione del rischio stabiliti, stabilire quali rischi ignorare e quali trattare, e la priorità di trattamento.

5. Definisci come intendi gestire i rischi

Ci sono 4 possibili opzioni di gestione del rischio:

  1. Evitare il rischio, eliminandolo completamente;
  2. Modificare il rischio, applicando i controlli di sicurezza;
  3. Condividere il rischio con terze parti, per esempio stipulando polizze assicurative; oppure
  4. Mantenere il rischio, se rientra nei livelli di accettazione del rischio.

Per maggiori informazioni sul processo di valutazione del rischio, visita la pagina informativa >>

Letture consigliate

Ti consigliamo la lettura dei seguenti manuali per ulteriori informazioni e linee guida degli esperti di ISO 27001 su come eseguire una valutazione del rischio con successo.

ISO 27001/ISO 27002: Guida tascabile

La guida essenziale sullo standard ISO 27001, da tenere sempre a portata di mano nel corso del progetto di implementazione.

 

 

I nove passi per il successo: Compendio per l’attuazione della norma ISO 27001:2013

Scritto da uno dei massimi esperti europei di ISO 27001, Alan Calder, questo manuale illustra i passaggi fondamentali di cui si compone un progetto di implementazione ISMS conforme ISO 27001, tra cui la valutazione del rischio.

Libro del mese! Acquista il manuale entro il 30 novembre per risparmiare il 10%.

 

Parla con un esperto

Per qualsiasi domanda o dubbio in merito alla valutazione del rischio ISO 27001, i nostri esperti di ISO 27001 sono a tua completa disposizione, senza impegno.

Parla con un esperto

 

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.