mercoledì 20 marzo 2013

I risk assessement della ISO 22301 e della ISO/IEC 27001

Stefano Ramaciotti mi ha segnalato il seguente post dal titolo "Can ISO 27001 risk assessment be used for ISO 22301":

L'articolo è un poco confuso. Segnalo le cose decisamente condivisibili:
- è vero che il risk assessment descritto dalla ISO/IEC 27001:2005, dalla ISO/IEC 27005:2005 e dalla 22301 sono allineati con i requisiti della ISO 31000 "Gestione del rischio - Principi e linee guida";
- è vero che il BCM si occupa delle attività e dei processi, mentre un ISMS (SGSI) si occupa della sicurezza delle informazioni e, quindi, i rispettivi risk assessment sono necessariamente diversi;
- il collegamento tra BCM e ISMS è il parametro di disponibilità delle informazioni. 

Tra le cose negative, l'articolo fa riferimento agli asset intesi in modo estensivo (interpretazione non più condivisa, tanto che la futura 27001 parlerà solo di "information asset"), apprezza la descrizione dettagliata del risk assessment della 27001 (che sarà superata dalla futura versione) confondendo la genericità dei requisiti della 22301 con una necessità di avere un risk assessment non approfondito (interpretazione sbagliatissima), apprezza l'allegato A della 27001 dimenticandosi della 22301 che a sua volta fornisce una linea guida per le misure da considerare quando si realizza un BCM.

Detto questo, anche se ad oggi, i certificati attivi BS 25999 o ISO 22301 sono in larga maggioranza relativi ad aziende operanti nel mercato IT, è comunque bene ricordare che le differenze tra i due approcci sono dovute alle loro diverse finalità: nel ISMS, il risk assessment ha la finalità di dare le priorità al trattamento delle vulnerabilità relative alle informazioni; nel BCM, il risk assessment ha la finalità di strumento sul quale basare le strategie di ripristino dei processi e delle attività.

Sebbene i metodi di risk assessment utilizzati per un ISMS o per un BCM sono diversi a causa delle diverse finalità, è comunque bene studiarli entrambi insieme ad altri metodi (per esempio quelli utilizzati per la sicurezza delle persone o nei settori dell'automotive, dei dispositivi medicali o del chimico), per poter poi individuare quello più adeguato alle proprie esigenze. Ho visto aziende che hanno utilizzato un buon mix tra il classico metodo di risk assessment relativo alla sicurezza delle informazioni e la FMECA utilizzato in ambito automotive.

Ultima riflessione: è bene studiare i metodi utilizzati nel campo di pertinenza, ma è anche bene farlo in modo critico. Ho visto molti danni dovuti all'uso del CRAMM o di suoi derivati, prendendoli per ottimi riferimenti per il risk assessment relativo alla sicurezza delle informazioni, senza considerarne la mantenibilità o la pertinenza dei risultati ottenuti.

Nessun commento:

Posta un commento