martedì 1 novembre 2022

Presentazione sulla nuova ISO/IEC 27005:2022

Franco Vincenzo Ferrari mi ha segnalato questo Presentazione sulla nuova ISO/IEC 27005:2022 e sulle differenze rispetto alla precedente edizione:
- https://www.linkedin.com/posts/andreyprozorov_iso-270052022-overview-activity-6992728175516479488-ysYY.

Segnalo la novità principale, ossia l'approccio "event-based", affiancato a quello tradizionale "asset-based".

Nota mia: a ben guardare, non sono così diversi. L'approccio "event-based" è tanto lodato perché trascinato dall'entusiasmo di quanti erano (a mio parere correttamente) stufi di un approccio che non ha eguali in altre discipline e nato negli anni Ottanta, quando l'informatica era ben diversa e molto meno complessa (per cui aveva senso fare valutazioni del rischio per ciascun asset). Ciò non toglie che ambedue gli approcci richiedono di sapere cosa c'è da proteggere, i potenziali eventi che potrebbero capitare e lo stato delle misure di sicurezza per contrastarli. Alla fine, la valutazione del rischio è tutta qui.

Comunque lo ribadisco: ben venga questa ISO/IEC 27005:2022 perché permette di presentare valutazioni del rischio più moderne e utili senza essere appesantiti da auditor e consulenti pedanti.
Pubblicato da alle
Etichette: , ,

2 commenti:

  1. Anonimo6 novembre 2025 alle ore 16:16

    Cesare, avendo fatto da sempre, come sai, V.R. basati sugli asset e avendo di recente iniziato a farli per eventi, noto una maggiore difficoltà nell'approfondire le conseguenze di un determinato evento, anche e soprattutto perché ciò diprende dall'entità dell'evento. Incendio: quanto grande? Allagamento: in che zona? Attacco ransomware: su quali asset? ecc. Come la vedi?

    RispondiElimina
  2. Anonimo6 novembre 2025 alle ore 17:02

    Ogni approccio ha i suoi limiti e non possono rappresentare la realtà. Penso solo che sia impossibile pretendere oggettività eccessiva (alla fine il rischio è di per sé soggettivo e non lo dico io, ma De Finetti) o una grande accuratezza. La valutazione del rischio serve a individuare dove lavorare (identificazione del rischio) e se lavorarci (bilanciando il rischio con la sua accettivilità).

    Io, fossi in te, comincerei a "tagliare" gli eventi. Posso pensare che forse ti possa aiutare, con la tua forma mentale, dividere l'incendio in incendio negli uffici e incendio nel data center.

    Essendo soggettiva, la valutazione del rischio può essere convenientemente adattata alle esigenze della propria forma mentale e dell'organizzazione.

    RispondiElimina

Iscriviti a: Commenti sul post (Atom)