La ISO/IEC 27005:2022 è stata pubblicata:
- https://www.iso.org/standard/80585.html.
Questa norma tratta della gestione del rischio relativo la sicurezza delle
informazioni.
Essa è stata cambiata in modo significativo per uscire dall'unico approccio
basato su asset e relative minacce e vulnerabilità, oggi difficile da
seguire e che non sempre fornisce risultati utili. E' stato affiancato da un
approccio basato su "eventi" (in sostanza la stessa cosa, ma viene meno lo
stretto collegamento con gli asset, anche se ovviamente gli eventi vanno
identificati e valutati considerando quanto "c'è in casa").
Il tutto è scritto male e in modo anche confuso. Potrei dire che si tratta
di una norma "di transizione". Il suo valore, a mio parere, è soprattutto
quello di superare un approccio, peraltro non condiviso da altre discipline
(che io raccomando sempre di analizzare con interesse).
Nessun commento:
Posta un commento