Il punto di vista di Cyber Academy
EBIOS Risk Manager è il metodo di gestione del rischio cyber di ANSSI, incentrato sugli scenari di attacco strategici. Mette in relazione i processi di business con gli obiettivi degli attaccanti, per poi derivare i controlli tecnici. È lo standard nel settore pubblico francese e tra gli operatori di importanza vitale. Particolarmente efficace per mostrare al board perché uno scenario specifico sia rilevante; meno diffuso negli audit multinazionali del settore privato.
Cosa fa realmente EBIOS Risk Manager
EBIOS Risk Manager è il metodo di valutazione del rischio cyber gestito da ANSSI, l'agenzia nazionale francese per la cybersicurezza. La sua mossa distintiva è partire dall'attaccante, non da un elenco di asset. Invece di catalogare ogni server e chiedersi cosa potrebbe andare storto per ciascuno, il metodo si chiede chi vorrebbe danneggiare l'organizzazione, cosa cercherebbe di ottenere e quali missioni di business prenderebbe di mira per arrivarci. I controlli tecnici vengono per ultimi, derivati dagli scenari, anziché costituire il punto di partenza.
Questa logica inversa è ciò che rende EBIOS RM utile davanti a un consiglio di amministrazione. Un registro dei rischi tradizionale, costruito dal basso verso l'alto, produce centinaia di voci che significano poco per i dirigenti. EBIOS RM produce una manciata di scenari strategici, come un attore sponsorizzato da uno Stato che interrompe un servizio critico, o un concorrente che esfiltra dati di progettazione, ciascuno legato a una missione di business concreta. Questa impostazione risponde alla domanda che i dirigenti pongono davvero: perché questa specifica minaccia ci riguarda, e quanto ci costerebbe se si verificasse.
I cinque workshop
EBIOS RM è strutturato come una sequenza di workshop, ciascuno basato sul precedente. Il metodo è deliberatamente collaborativo: riunisce nella stessa stanza i responsabili di business, gli specialisti del rischio e i team di sicurezza, anziché lasciare l'analisi a un singolo analista.
- Ambito e base di sicurezza. Definire il perimetro di business e tecnico, identificare le missioni e gli eventi temuti, e valutare la base di sicurezza esistente rispetto a quanto atteso.
- Origini del rischio. Identificare le origini del rischio e i loro obiettivi mirati, l'abbinamento tra chi potrebbe attaccare e cosa cerca, quindi dare priorità a quelle più rilevanti.
- Scenari strategici. Mappare l'ecosistema di partner, fornitori e parti interessate, valutare come un attaccante potrebbe raggiungere l'organizzazione attraverso di essi, e costruire percorsi di attacco di alto livello.
- Scenari operativi. Tradurre gli scenari strategici in sequenze di attacco tecniche concrete, descrivendo come un avversario si muoverebbe realmente attraverso i sistemi.
- Trattamento del rischio. Decidere le misure di sicurezza, costruire il piano di trattamento e documentare il rischio residuo che la direzione accetta formalmente.
Dove si applica e dove no
EBIOS RM è il metodo di riferimento nel settore pubblico francese e tra gli operatori di importanza vitale, dove le aspettative normative rimandano alle linee guida di ANSSI. È anche ampiamente insegnato e utilizzato nelle organizzazioni francofone. Al di fuori di tale contesto, negli audit multinazionali del settore privato, è molto più probabile incontrare ISO 27005, che è la norma internazionale per la gestione del rischio di sicurezza delle informazioni ed è indipendente dal metodo per impostazione.
I due sono complementari più che rivali. ISO 27005 descrive un processo generico di gestione del rischio allineato con ISO 27001 e ISO 31000, ma non prescrive un'unica tecnica. EBIOS RM è un modo concreto e riconosciuto di condurre tale processo, e ANSSI lo posiziona come compatibile con l'approccio ISO. Un team può condurre i workshop EBIOS RM e riportare comunque i risultati in termini ISO 27005.
| Aspetto | EBIOS Risk Manager | ISO 27005 |
|---|---|---|
| Origine | ANSSI (Francia) | Norma internazionale ISO/IEC |
| Natura | Metodo prescrittivo con workshop definiti | Linee guida di gestione del rischio indipendenti dal metodo |
| Punto di partenza | Obiettivi dell'attaccante e missioni di business | Asset, minacce e vulnerabilità |
| Contesto tipico | Settore pubblico francese, operatori di importanza vitale | Audit internazionali di SGSI del settore privato |
In pratica, conoscere EBIOS RM segnala dimestichezza con l'ecosistema ANSSI, e conoscere ISO 27005 segnala dimestichezza con il mondo delle norme internazionali. I professionisti del rischio che operano sui mercati europei e francese traggono vantaggio dal padroneggiare entrambi, perché il metodo a cui si ricorre dipende da chi leggerà il rapporto.
Frequently asked questions
01Chi pubblica e gestisce EBIOS Risk Manager?
EBIOS Risk Manager è pubblicato e gestito da ANSSI, l'agenzia nazionale francese per la cybersicurezza. È l'edizione attuale del metodo EBIOS ed è reso disponibile come guida ufficiale per le organizzazioni che valutano il rischio cyber.
02In cosa EBIOS RM differisce da ISO 27005?
EBIOS RM è un metodo specifico, basato sui workshop, che parte dagli obiettivi dell'attaccante e dalle missioni di business. ISO 27005 è una norma internazionale indipendente dal metodo per la gestione del rischio di sicurezza delle informazioni. EBIOS RM può essere usato come un modo concreto per condurre un processo allineato a ISO 27005; sono complementari, non concorrenti.
03Quali sono i cinque workshop EBIOS RM?
Il metodo si svolge in cinque workshop sequenziali: ambito e base di sicurezza, origini del rischio, scenari strategici, scenari operativi e trattamento del rischio. Ciascuno si basa sul precedente, passando dall'inquadramento di business agli scenari tecnici concreti e infine a un piano di trattamento.
04Quando un'organizzazione dovrebbe scegliere EBIOS RM?
EBIOS RM è particolarmente adatto quando occorre spiegare alla direzione perché un determinato scenario di attacco è rilevante, e quando si opera nel settore pubblico francese o come operatore di importanza vitale, dove ci si attende il rispetto delle linee guida di ANSSI. Per gli audit internazionali del settore privato, ISO 27005 è richiesto più comunemente.
05EBIOS RM è una certificazione?
No. EBIOS RM è un metodo di valutazione del rischio, non uno schema di certificazione. I professionisti possono formarsi nell'applicazione del metodo, ma le organizzazioni non vengono certificate rispetto a EBIOS RM come certificano un sistema di gestione ISO 27001.