Franco Vincenzo Ferrari mi ha segnalato questo Presentazione sulla nuova
ISO/IEC 27005:2022 e sulle differenze rispetto alla precedente edizione:
-
https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.
Segnalo la novità principale, ossia l'approccio "event-based", affiancato a
quello tradizionale "asset-based".
Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è
tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere
correttamente) stufi di un approccio che non ha eguali in altre discipline e
nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun
asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa
c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato
delle misure di sicurezza per contrastarli. Alla fine, la valutazione del
rischio è tutta qui.
Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette
di presentare valutazioni del rischio più moderne e utili senza essere
appesantiti da auditor e consulenti pedanti.
Nessun commento:
Posta un commento