Se parliamo della norma ISO 27001, la gestione delle vulnerabilità è il processo che porta ad identificare e ad affrontare i punti deboli relativi alla sicurezza informatica in modo da affrontare eventuali debolezze a livello organizzativo.
La gestione delle vulnerabilità si compone di cinque fasi chiave:
1. Identificare le risorse in cui possono essere presenti delle vulnerabilità. Una risorsa è qualsiasi dato, dispositivo o altro componente di un'organizzazione che abbia un valore perché contiene informazioni sensibili o perché viene utilizzata per condurre attività aziendali che risultano essenziali. La creazione di un elenco di questo tipo è essenziale per la gestione delle risorse e, per estensione, per mitigare i rischi per la sicurezza delle informazioni. Le risorse sono in genere definite come qualsiasi cosa di valore per un'organizzazione, inclusi dispositivi di archiviazione e informazioni sensibili, nonché proprietà e attrezzature. Ai fini della gestione delle vulnerabilità, è necessario solo un elenco di risorse che possono essere interessate da difetti tecnici;
2. Valutare il rischio. In questa seconda fase vanno identificate le vulnerabilità presenti nelle risorse individuate precedentemente;
3. Documentare il lavoro fatto dando la priorità ai rischi più significativi e raccomandando le strategie correttive (aggiornamenti del software, riconfigurazione dei dispositivi, implementazione di nuove politiche per ridurre i rischi, ecc.) più adatte;
4. Implementare le strategie correttive elaborate al punto 3;
5. Verificare che le strategie applicate abbiano funzionato e che le vulnerabilità siano state affrontate in modo adeguato
Ovviamente il processo di gestione delle vulnerabilità non può essere condotto solamente una volta ma deve essere ciclico perché, emergendo sempre nuove vulnerabilità, occorre monitorare continuamente i rischi e ripetere i cinque passaggi sopra descritti. Trattandosi di un processo complesso, è bene stabilire ruoli e responsabilità, delegando le attività alle persone appropriate. Vanno, quindi, identificate le attività da svolgere, documentate le responsabilità associate a ciascuna attività e assegnate le persone necessarie.
Ovviamente andranno definite anche le tempistiche perché i punti deboli del sistema andranno affrontati nel più breve tempo possibile.
La ISO 27001 è incentrata su una valutazione del rischio progettata per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni importanti per un’organizzazione. Le vulnerabilità sono una delle componenti del rischio, quindi è naturale che la loro gestione rientri nell'approccio generale di questo standard relativo alla gestione del rischio. La norma descrive il "rischio" come la combinazione di una risorsa, una minaccia e una vulnerabilità. Nello specifico, esiste un vero rischio per la sicurezza delle informazioni quando si ha una risorsa che può essere in pericolo, una minaccia che può sfruttare questa situazione e un modo preciso in cui questa minaccia può realmente essere messa in pratica.
Nello specifico, la ISO 27001 richiede alle organizzazioni di identificare tempestivamente le informazioni pertinenti alle eventuali vulnerabilità presenti nella gestione informatica delle informazioni. Una parte cruciale di un processo come questo è bilanciare pratiche di sicurezza resilienti senza interrompere le attività aziendali perché qualsiasi rimedio può, potenzialmente, causare problemi a livello operativo, quindi deve essere testata per assicurarsi che funzioni in modo efficace. Allo stesso modo, è necessario verificare che le modifiche tecniche non compromettano la riservatezza, l'integrità e la disponibilità delle informazioni.
Se avete implementato un sistema gestionale basato sulla ISO 27001 e volete certificarlo, telefonateci al numero 02.58320936 o scriveteci a questo indirizzo email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. Vi forniremo tutte le informazioni e il supporto necessari.