Security Assessment vs. Risk Analysis

Nell'ambito della sicurezza IT, l'analisi quantitativa del rischio viene effettuata sviluppando un rigoroso modello matematico per rappresentare la definizione desiderata del rischio o di alcuni aspetti del rischio. La sicurezza (di una rete, ad esempio) viene valutata utilizzando il modello sviluppato.

Un esempio di questo approccio è l'analisi del rischio delle reti aziendali utilizzando l'analisi quantitativa dei grafici di attacco.

Una valutazione della sicurezza IT è un tipo di valutazione del rischio. Ecco la solita procedura:

1. Identifica l'ambito della valutazione e le risorse informative importanti per il target.
2. Esegui un'analisi della sicurezza tecnica del target, ad es. tramite attacchi di rete, penetrazione fisica, ecc.
3. Se in ambito, eseguire un'analisi delle politiche di sicurezza attualmente disponibili per il target.
4. Se in ambito, eseguire un'analisi della sicurezza umana del bersaglio, ad es. tramite social engineering.
5. Compilare i risultati di queste analisi in un report, utilizzando un appropriato quadro di categorizzazione del rischio.

Questo non è affatto esaustivo e l'ordine delle tre attività interne è arbitrario.

La differenza tra una valutazione del rischio generico e una valutazione del rischio IT è che quest'ultimo non è qualcosa che può essere veramente qualificato - è come chiedere la differenza tra frutta e una mela.

Se osservi specificamente gli standard ISO27000, questi sono solo un modo per applicare e standardizzare un particolare codice di pratica e una serie di attività di analisi, al fine di dimostrare che un'organizzazione ha eseguito una valutazione del rischio per la sicurezza a un determinato livello . Non cambiano il quadro di base di una valutazione del rischio, ti danno solo un set di minimi che devi eseguire.

In primo luogo, dovresti sapere che la famiglia di standard ISO27000 non è specifica per l'IT. A seconda dell'ambito definito all'inizio, l'analisi del rischio potrebbe coprire anche varie attività della vostra azienda. Naturalmente, poiché l'attenzione è rivolta alla gestione della sicurezza delle tue informazioni, ci sono molti controlli raccomandati che riguardano effettivamente l'IT.

Detto questo, lo standard dice che devi condurre un'analisi del rischio sui tuoi beni, ma dice molto poco su come dovresti farlo. La metodologia è qualcosa che sei libero di definire. Il più delle volte, non vorrai reinventare la ruota e usare una metodologia conosciuta, ma la scelta è tua. Di solito, si tratta di identificare le tue risorse e il loro valore per te, quindi le varie minacce a queste risorse e le vulnerabilità che queste minacce potrebbero sfruttare.

Quindi non si può davvero confrontare l'analisi del rischio effettuata nel processo di creazione del proprio ISMS (come da ISO27001) con un particolare tipo di analisi del rischio. Se vuoi, è un po 'come chiedere se qual è la differenza tra la costruzione di un muro e la muratura in mattoni.

Sul serio, lo standard dice comunque che la tua analisi del rischio dovrebbe essere riproducibile, in modo che possa dare gli stessi risultati se condotta, ad esempio, da due persone diverse. In questo senso, più precisa è la tua metodologia, meglio è.