In che modo una valutazione del rischio influisce sulla politica di sicurezza delle informazioni?

Naviga le tue risposte
2

Di solito faccio la parte tecnica della sicurezza, quindi non ho familiarità con l'area della politica di sicurezza.

La valutazione del rischio (misurazione e valutazione) viene sempre eseguita in un'organizzazione, ad esempio per identificare vulnerabilità, minacce, l'impatto di minacce, opzioni di trattamento del rischio e così via.

Voglio vedere come questi metodi / procedure / risultati di valutazione del rischio influenzeranno le politiche di sicurezza delle informazioni dell'organizzazione. Per riassumere:

In che modo la valutazione dei rischi può migliorare la politica di sicurezza delle informazioni? Quali sono le implicazioni della valutazione del rischio per la politica di sicurezza IS?

Preferisco alcune spiegazioni / descrizioni formali invece di un riassunto orale.

    
posta Li Dong 19.09.2017 - 09:13
fonte

3 risposte

2

La valutazione del rischio non dovrebbe influire sulle politiche di sicurezza delle informazioni. La politica dovrebbe essere una dichiarazione di obiettivi / obiettivi e normalmente non dovrebbe cambiare. La politica dovrebbe definire i limiti della gestione del rischio.

Diverse organizzazioni diverse forniscono diversi rischio assessment / risk analisi metodologie, ma penso che siano troppo dettagliate per la tua domanda (non sono sicuro che tu mi chieda di ATO, C & A, ISCM, RMF, ecc.) . Se comprendo correttamente la domanda, la risposta è che Risk Assessment & l'analisi del rischio ha lo scopo di dare un suggerimento costruttivo sulla risposta al rischio. Quando completi una valutazione tecnica:

  1. Generalmente ci sono più scoperte che risorse per correggere i risultati. La valutazione del rischio dà la priorità alle risorse contro i rischi - se hai $ N dollari e 10x $ N problemi, ha senso spendere i primi $ su problemi ad alta probabilità, ad alto impatto e rimandare soluzioni su problemi a bassa probabilità / basso impatto. I risultati tecnici possono rivelare che non hai una recinzione intorno alla tua struttura, lasciandoti vulnerabile alle infiltrazioni fisiche; non è un problema se sei una nave in mare.

  2. Molti dei risultati sono il risultato dell'istante in cui è stata condotta la valutazione tecnica. La valutazione del rischio può discutere l'urgenza del problema. Se l'emivita del cerotto è di 7 giorni, in qualsiasi momento la valutazione tecnica troverà che ho delle macchine prive di patch. La valutazione del rischio mi consente di confrontare il costo di un pannello di controllo della configurazione di emergenza dal fatto che tali patch devono essere risolti entro 7-10 giorni.

  3. Molti risultati sono irrisolvibili. Ho lavorato su una valutazione che rilevava un difetto nei dispositivi di rete che avrebbero richiesto decine di milioni di soluzioni: avremmo dovuto sostituire dispositivi di rete standard relativamente a scaffale (che potevano essere amministrati da normali amministratori di rete), con dispositivi di rete specializzati che richiedevano formazione specializzata e supporto esclusivo. Il costo unitario era elevato, i costi di supporto erano più alti e il numero di unità era basso. Sostituire le apparecchiature standard degli scaffali con le attrezzature personalizzate è molto costoso. C'era una soluzione alternativa che poteva essere fatta usando i pezzi di ricambio di manutenzione, e l'ambiente risultante era effettivamente più sicuro rispetto all'equipaggiamento personalizzato.

  4. A volte il risultato tecnico non è il problema; le procedure / governance sottostanti sono il problema. Ho gestito una serie di valutazioni in cui i problemi tecnici si verificano perché il gestore interessato non si è preso la briga di chiedere il denaro per risolvere il problema sottostante. La valutazione del rischio è il quadro per la discussione che inizia, "Se chiedi $ X ora, lo riceverai l'anno prossimo, ma se aspetti che l'incidente si verifichi, ti costerà 100 $ X. Ecco come farlo ... "*

  5. A volte il risultato non vale la pena. Non ha senso implementare l'autenticazione a due fattori su un pannello di controllo SCADA. Se costa migliaia di dollari interrompere l'elaborazione, disconnettersi dal sistema, accedere nuovamente al sistema e ricominciare l'elaborazione alla fine di ogni turno, esistono altri modi per garantire la responsabilità.

La valutazione tecnica mette a confronto un set di principi di torre d'avorio astratto con un sistema che è in grado di svolgere una funzione di missione.

La valutazione del rischio è l'inizio di un dialogo, "Come realizziamo la nostra missione con le nostre risorse nel nostro ambiente, sapendo che abbiamo queste vulnerabilità?".

    
risposta data 20.09.2017 - 16:07
fonte
2

Questa è una domanda piuttosto aspecifica, quindi risponderò in un modo piuttosto ampio.

La spiegazione più formale e ampiamente accettata può essere visualizzata in ISO / IEC 27005 :

Risk assessment consists of the following activities:

  • Risk Identification
  • Risk analysis
  • Risk evaluation

Risk assessment determines the value of the information assets, identifies the applicable threats and vulnerabilities that exist (or could exist), identifies the existing controls and their effect on the risk identified, determines the potential consequences and finally prioritizes the derived risks and ranks them against the risk evaluation criteria set in the context establishment.

La tua domanda era: in che modo la valutazione del rischio può migliorare la politica di sicurezza delle informazioni?

Una politica di sicurezza delle informazioni definisce gli obiettivi per la sicurezza delle informazioni all'interno di un'organizzazione. Quando si pianifica su come raggiungere questi obiettivi, questa organizzazione deve definire il rispettivo processo, le risorse necessarie, le responsabilità ecc. Per definire questi aspetti chiave, è necessario condurre una valutazione del rischio per la sicurezza delle informazioni. Quindi la valutazione del rischio non sta solo migliorando una politica di sicurezza delle informazioni, è obbligatoria .

Per ulteriori informazioni si dovrebbe dare allo standard internazionale ISO / IEC 27005 una lettura. L'intero processo e i suoi benefici sono spiegati per intero lì.

    
risposta data 19.09.2017 - 16:32
fonte
0

Sebbene Mark abbia ragione in linea di principio, in realtà esiste una relazione bidirezionale tra valutazione del rischio e politica. Perché in realtà nessuna politica è perfetta.

Una buona valutazione del rischio ti dirà quali aree della tua azienda contengono i rischi più elevati. Questo a sua volta ti informa su dove applicare le contromisure.

Se scopri di avere rischi che possono essere meglio affrontati con contromisure organizzative, o che tali contromisure non sono efficaci come pensavi, hai indicatori che le tue linee guida, i processi e / o le politiche potrebbe essere incompleto o non chiaro. Questi sono i risultati da prendere in considerazione durante la prossima revisione della politica (riesaminate regolarmente le politiche, giusto?).

La valutazione del rischio è un'attività periodica e molte organizzazioni non riescono a chiudere tutti i loop di feedback.

    
risposta data 21.03.2018 - 18:32
fonte

Leggi altre domande sui tag

Falso tasso di accettazione nell'autenticazione biometrica per informazioni sensibili Qual è il significato del parametro chiave pubblica nel certificato X.509?