EBIOS RM EBIOS Risk Manager.

EBIOS Risk Manager è il metodo di gestione del rischio cyber di ANSSI, incentrato sugli scenari di attacco strategici. Mette in relazione i processi di business con gli obiettivi degli attaccanti, per poi derivare i controlli tecnici. È lo standard nel settore pubblico francese e tra gli operatori di importanza vitale. Particolarmente efficace per mostrare al board perché uno scenario specifico sia rilevante; meno diffuso negli audit multinazionali del settore privato.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

Il punto di vista di Cyber Academy

EBIOS Risk Manager è il metodo di gestione del rischio cyber di ANSSI, incentrato sugli scenari di attacco strategici. Mette in relazione i processi di business con gli obiettivi degli attaccanti, per poi derivare i controlli tecnici. È lo standard nel settore pubblico francese e tra gli operatori di importanza vitale. Particolarmente efficace per mostrare al board perché uno scenario specifico sia rilevante; meno diffuso negli audit multinazionali del settore privato.

Cosa fa realmente EBIOS Risk Manager

EBIOS Risk Manager è il metodo di valutazione del rischio cyber gestito da ANSSI, l'agenzia nazionale francese per la cybersicurezza. La sua mossa distintiva è partire dall'attaccante, non da un elenco di asset. Invece di catalogare ogni server e chiedersi cosa potrebbe andare storto per ciascuno, il metodo si chiede chi vorrebbe danneggiare l'organizzazione, cosa cercherebbe di ottenere e quali missioni di business prenderebbe di mira per arrivarci. I controlli tecnici vengono per ultimi, derivati dagli scenari, anziché costituire il punto di partenza.

Questa logica inversa è ciò che rende EBIOS RM utile davanti a un consiglio di amministrazione. Un registro dei rischi tradizionale, costruito dal basso verso l'alto, produce centinaia di voci che significano poco per i dirigenti. EBIOS RM produce una manciata di scenari strategici, come un attore sponsorizzato da uno Stato che interrompe un servizio critico, o un concorrente che esfiltra dati di progettazione, ciascuno legato a una missione di business concreta. Questa impostazione risponde alla domanda che i dirigenti pongono davvero: perché questa specifica minaccia ci riguarda, e quanto ci costerebbe se si verificasse.

I cinque workshop

EBIOS RM è strutturato come una sequenza di workshop, ciascuno basato sul precedente. Il metodo è deliberatamente collaborativo: riunisce nella stessa stanza i responsabili di business, gli specialisti del rischio e i team di sicurezza, anziché lasciare l'analisi a un singolo analista.

  1. Ambito e base di sicurezza. Definire il perimetro di business e tecnico, identificare le missioni e gli eventi temuti, e valutare la base di sicurezza esistente rispetto a quanto atteso.
  2. Origini del rischio. Identificare le origini del rischio e i loro obiettivi mirati, l'abbinamento tra chi potrebbe attaccare e cosa cerca, quindi dare priorità a quelle più rilevanti.
  3. Scenari strategici. Mappare l'ecosistema di partner, fornitori e parti interessate, valutare come un attaccante potrebbe raggiungere l'organizzazione attraverso di essi, e costruire percorsi di attacco di alto livello.
  4. Scenari operativi. Tradurre gli scenari strategici in sequenze di attacco tecniche concrete, descrivendo come un avversario si muoverebbe realmente attraverso i sistemi.
  5. Trattamento del rischio. Decidere le misure di sicurezza, costruire il piano di trattamento e documentare il rischio residuo che la direzione accetta formalmente.

Dove si applica e dove no

EBIOS RM è il metodo di riferimento nel settore pubblico francese e tra gli operatori di importanza vitale, dove le aspettative normative rimandano alle linee guida di ANSSI. È anche ampiamente insegnato e utilizzato nelle organizzazioni francofone. Al di fuori di tale contesto, negli audit multinazionali del settore privato, è molto più probabile incontrare ISO 27005, che è la norma internazionale per la gestione del rischio di sicurezza delle informazioni ed è indipendente dal metodo per impostazione.

I due sono complementari più che rivali. ISO 27005 descrive un processo generico di gestione del rischio allineato con ISO 27001 e ISO 31000, ma non prescrive un'unica tecnica. EBIOS RM è un modo concreto e riconosciuto di condurre tale processo, e ANSSI lo posiziona come compatibile con l'approccio ISO. Un team può condurre i workshop EBIOS RM e riportare comunque i risultati in termini ISO 27005.

EBIOS Risk Manager a confronto con ISO 27005
AspettoEBIOS Risk ManagerISO 27005
OrigineANSSI (Francia)Norma internazionale ISO/IEC
NaturaMetodo prescrittivo con workshop definitiLinee guida di gestione del rischio indipendenti dal metodo
Punto di partenzaObiettivi dell'attaccante e missioni di businessAsset, minacce e vulnerabilità
Contesto tipicoSettore pubblico francese, operatori di importanza vitaleAudit internazionali di SGSI del settore privato

In pratica, conoscere EBIOS RM segnala dimestichezza con l'ecosistema ANSSI, e conoscere ISO 27005 segnala dimestichezza con il mondo delle norme internazionali. I professionisti del rischio che operano sui mercati europei e francese traggono vantaggio dal padroneggiare entrambi, perché il metodo a cui si ricorre dipende da chi leggerà il rapporto.

Frequently asked questions

01Chi pubblica e gestisce EBIOS Risk Manager?

EBIOS Risk Manager è pubblicato e gestito da ANSSI, l'agenzia nazionale francese per la cybersicurezza. È l'edizione attuale del metodo EBIOS ed è reso disponibile come guida ufficiale per le organizzazioni che valutano il rischio cyber.

02In cosa EBIOS RM differisce da ISO 27005?

EBIOS RM è un metodo specifico, basato sui workshop, che parte dagli obiettivi dell'attaccante e dalle missioni di business. ISO 27005 è una norma internazionale indipendente dal metodo per la gestione del rischio di sicurezza delle informazioni. EBIOS RM può essere usato come un modo concreto per condurre un processo allineato a ISO 27005; sono complementari, non concorrenti.

03Quali sono i cinque workshop EBIOS RM?

Il metodo si svolge in cinque workshop sequenziali: ambito e base di sicurezza, origini del rischio, scenari strategici, scenari operativi e trattamento del rischio. Ciascuno si basa sul precedente, passando dall'inquadramento di business agli scenari tecnici concreti e infine a un piano di trattamento.

04Quando un'organizzazione dovrebbe scegliere EBIOS RM?

EBIOS RM è particolarmente adatto quando occorre spiegare alla direzione perché un determinato scenario di attacco è rilevante, e quando si opera nel settore pubblico francese o come operatore di importanza vitale, dove ci si attende il rispetto delle linee guida di ANSSI. Per gli audit internazionali del settore privato, ISO 27005 è richiesto più comunemente.

05EBIOS RM è una certificazione?

No. EBIOS RM è un metodo di valutazione del rischio, non uno schema di certificazione. I professionisti possono formarsi nell'applicazione del metodo, ma le organizzazioni non vengono certificate rispetto a EBIOS RM come certificano un sistema di gestione ISO 27001.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.