EBIOS RM e ISO 27005: il confronto.

Un confronto pratico tra i due metodi di riferimento per il rischio della sicurezza delle informazioni. Quando ciascuno conviene, come si raccordano a ISO 27001 e quale dei due si aspettano davvero il tuo settore e il tuo audit.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll pillars

Il punto di vista di Cyber Academy

EBIOS Risk Manager è il metodo nazionale francese di valutazione del rischio pubblicato da ANSSI, incentrato su scenari strategici di attacco cyber. ISO/IEC 27005 è lo standard internazionale di gestione del rischio per la sicurezza delle informazioni, allineato a ISO 31000 e usato come livello metodologico per il lavoro sull'ISMS di ISO 27001. Entrambe sono metodologie operative; sono complementari più che alternative.

TL;DR

  • 1EBIOS RM è strategico e guidato dagli scenari. Mappa i processi di business sugli obiettivi degli attaccanti, poi ne deriva i controlli tecnici. È forte nel settore pubblico francese e tra gli operatori di importanza vitale.
  • 2ISO 27005 è indipendente dalla metodologia e si abbina nativamente all'Annex A di ISO 27001. È lo standard negli audit internazionali.
  • 3EBIOS RM produce un numero ridotto di scenari ad alto impatto con una narrativa ricca. ISO 27005 produce un registro dei rischi completo.
  • 4Entrambe sono credenziali PECB accreditate: EBIOS Risk Manager (5 giorni), ISO/IEC 27005 Risk Manager (5 giorni). Il livello Lead Risk Manager esiste solo per ISO 31000.
  • 5Nella pratica: ISO 27005 per il registro dei rischi dell'ISMS, EBIOS RM come complemento per individuare gli scenari strategici che meritano l'attenzione del consiglio di amministrazione.

Come funziona realmente ciascun metodo in un progetto

La divisione tra i due metodi non è una questione di qualità; è una questione di punto di partenza. ISO 27005 parte dagli asset e dalle minacce e procede verso l'esterno fino a un registro dei rischi completo. EBIOS RM parte da ciò che l'organizzazione teme di perdere e procede a ritroso attraverso l'attaccante che causerebbe quella perdita. I due producono artefatti diversi perché pongono domande di partenza diverse, e quella differenza è ciò che percepiranno il tuo auditor, il tuo consiglio e il tuo piano di progetto.

Il lavoro con ISO 27005 è iterativo ed esaustivo per progettazione. Stabilisci il contesto, identifichi i rischi su tutto il perimetro, analizzi probabilità e conseguenza, valuti rispetto ai criteri di accettazione, poi tratti. L'output è un registro vivo che riesegui a cadenza ciclica. È il motore di rischio naturale per un ISMS di ISO 27001 perché parla la stessa lingua del sistema di gestione: perimetro, criteri, piano di trattamento, rischio residuo, approvazione.

EBIOS RM si svolge in cinque workshop con una sequenza definita: inquadramento e fondamenti di sicurezza, origini del rischio, scenari strategici, scenari operativi e trattamento del rischio. Il metodo ti obbliga a nominare prima gli eventi temuti, poi le fonti di rischio (chi attaccherebbe e perché), poi i percorsi di attacco ad alto livello, prima ancora di toccare un controllo. Il corso EBIOS Risk Manager percorre ogni workshop con deliverable reali, così esci capace di facilitare la sequenza, non solo di descriverla.

EBIOS RM e ISO 27005 a colpo d'occhio

La tabella seguente è il confronto di cui la maggior parte dei team ha bisogno nella stanza: non la filosofia, ma su cosa si concentra ciascun metodo, cosa ti consegna alla fine e dove è effettivamente atteso.

EBIOS RM e ISO 27005: focus, output e dove ciascuno è atteso
DimensioneEBIOS RMISO 27005
OrigineMetodo nazionale francese, pubblicato da ANSSIStandard internazionale, ISO/IEC, allineato a ISO 31000
FocusScenari strategici di attacco; poste in gioco di business mappate sulle fonti di minacciaIdentificazione sistematica del rischio della sicurezza delle informazioni su tutto il perimetro
Punto di partenzaEventi temuti e origini del rischio (top-down)Asset, minacce, vulnerabilità (bottom-up)
OutputUn piccolo insieme di scenari narrativi ad alto impatto con strategia di trattamentoUn registro dei rischi completo e ripetibile con piano di trattamento
GranularitàPochi scenari, narrativa approfondita, leggibile dal consiglioMolti rischi, strutturati, leggibili dall'ISMS
Relazione con ISO 27001Complemento; alimenta i rischi strategici nell'ISMSLivello metodologico nativo per il Clause 6.1.2 e l'Annex A
Dove è attesoSettore pubblico francese, OIV/OES, appalti di influenza ANSSIAudit internazionali, ISMS multinazionali, assicurazione verso i clienti
Credenziale accreditataPECB EBIOS Risk Manager (5 giorni)PECB ISO/IEC 27005 Risk Manager (5 giorni)

Come entrambi si raccordano a ISO 27001

ISO 27001 richiede un processo definito di valutazione e trattamento del rischio della sicurezza delle informazioni, ma non impone un metodo specifico. È proprio questo fatto a giustificare l'esistenza di questo confronto. Il Clause 6.1.2 ti dice di valutare il rischio e di produrre uno Statement of Applicability; non ti dice di usare ISO 27005 o altro. Gli auditor verificano che il tuo processo sia coerente, ripetibile e produca decisioni di trattamento difendibili. Il metodo è una tua scelta.

ISO 27005 è qui la via di minor resistenza perché è stato scritto per essere il livello metodologico sotto lo standard. La sua terminologia, la sua logica dei criteri di accettazione e la sua struttura del piano di trattamento si inseriscono direttamente nell'ISMS senza traduzioni. Se stai costruendo o gestendo il sistema di gestione, impara il motore che gli si adatta: il corso ISO/IEC 27005 Risk Manager copre l'intero ciclo di valutazione e trattamento, mentre il corso ISO/IEC 27005 Foundation è il giusto punto d'ingresso se hai bisogno dei concetti prima di facilitare.

EBIOS RM si raccorda allo stesso clause da un'angolazione diversa. Non sostituisce il registro; ne affina la parte superiore. Gli scenari strategici diventano il piccolo insieme di rischi che giustifica il massimo scrutinio nella SoA e nel dossier per il consiglio. I team che hanno bisogno di padroneggiare la metodologia dall'inizio alla fine, inclusi la governance della valutazione e il ruolo di lead a livello di organizzazione, seguono il corso ISO/IEC 27005 Lead Risk Manager.

La decisione: quale dei due, e quando entrambi

La maggior parte dei team imposta la cosa come un aut-aut e poi se ne pente. La risposta onesta è che la domanda ha due livelli: cosa richiedono il tuo audit o il tuo settore, e cosa serve davvero al tuo quadro di rischio. Risolvili in quest'ordine.

  1. Se è in gioco un acquirente di influenza ANSSI, un contratto pubblico francese o un obbligo OIV/OES, EBIOS RM è il linguaggio atteso. Mettilo in primo piano per il livello strategico.
  2. Se la tua assicurazione deriva da un certificato ISO 27001 internazionale o da audit di clienti multinazionali, ISO 27005 è l'impostazione predefinita che l'auditor legge con scioltezza.
  3. Se hai un problema reale di avversari (un bersaglio di alto valore, un servizio critico regolamentato, un rischio cyber a livello di consiglio), esegui EBIOS RM sopra il registro per far emergere gli scenari che meritano un'escalation.
  4. Se non hai né un mandato del settore francese né un profilo di avversari acuto, ISO 27005 da sola è sufficiente e più economica da gestire.

Eseguire entrambi non è ridondante se ne definisci correttamente il perimetro. ISO 27005 ti dà ampiezza: ogni rischio nel registro, trattato e monitorato. EBIOS RM ti dà profondità sui pochi scenari che farebbero davvero male. L'errore è eseguire entrambi alla stessa granularità, il che raddoppia il lavoro e produce due registri che nessuno riconcilia. Usa EBIOS RM per selezionare e narrare; usa ISO 27005 per enumerare e monitorare.

Errori comuni e la realtà della stanza dell'audit

I fallimenti sono prevedibili, e raramente riguardano il metodo in sé.

  • Scegliere il metodo per preferenza anziché per pubblico. La domanda giusta è chi legge l'output: un acquirente pubblico francese si aspetta il vocabolario di EBIOS RM, un auditor di certificazione internazionale si aspetta un registro nella forma di ISO 27005. Scegli in base al lettore.
  • Trattare gli scenari di EBIOS RM come un sostituto di un registro completo. Gli scenari strategici sono volutamente pochi. Un auditor che verifica la copertura di ISO 27001 chiederà dove sia documentato il resto del panorama di rischio, e una manciata di narrazioni non è una risposta.
  • Eseguire ISO 27005 come un foglio di calcolo una tantum. Lo standard è iterativo. Un registro datato diciotto mesi fa senza una cadenza di revisione è un rilievo pronto a verificarsi.
  • Confondere le credenziali. Non esiste un Lead Auditor né un Lead Risk Manager per EBIOS RM, e l'unica credenziale Lead Risk Manager rientra sotto ISO 31000, non ISO 27005. Pianifica il percorso di certificazione del tuo team in base a ciò che esiste realmente.

Nella stanza dell'audit, la realtà è più semplice di quanto suggerisca il dibattito. L'auditor di certificazione non valuta il tuo metodo contro un rivale; verifica se il processo che hai scelto è documentato, applicato in modo coerente e tracciabile dal rischio al trattamento fino all'accettazione del residuo. EBIOS RM ti aiuta a spiegare perché rischi specifici ad alto impatto hanno ricevuto un'attenzione specifica. ISO 27005 ti aiuta a dimostrare che nulla è sfuggito attraverso le falle. La postura più forte, per le organizzazioni che hanno genuinamente bisogno di entrambi, è un registro ISO 27005 come sistema di registrazione, con gli scenari di EBIOS RM stratificati sopra per giustificare le decisioni che hanno contato di più.

Frequently asked questions

01Quale dei due si aspetta il mio auditor?

Per un audit di certificazione ISO 27001, l'auditor si aspetta per impostazione predefinita una metodologia allineata a ISO/IEC 27005. La revisione 2022 di ISO 27005 crea esplicitamente un ponte verso il Clause 6 di ISO 27001 e verso i principi di ISO 31000.

Per gli audit del settore pubblico francese (HFDS, ispezioni ANSSI degli operatori di importanza vitale ai sensi della LPM, vigilanza NIS 2 da parte di ANSSI), EBIOS RM è il linguaggio atteso. La mancata articolazione degli scenari strategici nel vocabolario di EBIOS RM verrà segnalata.

02Posso usarli entrambi contemporaneamente?

Sì, e molte organizzazioni lo fanno. EBIOS RM produce da 5 a 10 scenari strategici di attacco con fonti di minaccia nominate, asset di business ed eventi temuti; questi diventano gli input per un registro dei rischi ISO 27005 che gestisce il livello operativo (combinazioni vulnerabilità-asset, valutazione probabilità-impatto, opzioni di trattamento).

La combinazione funziona perché EBIOS RM opera a livello di scenario (adatto al consiglio) mentre ISO 27005 opera a livello di asset/controllo (adatto all'audit). Raccordare i due richiede disciplina ma è terreno ben battuto nelle entità francesi soggette sia alla vigilanza ANSSI sia alla certificazione ISO 27001.

03EBIOS RM è rilevante solo in Francia?

Per lo più sì. Al di fuori della Francia, ISO 27005 è la lingua franca per la metodologia di rischio dell'ISMS. EBIOS RM è riconosciuto da ENISA in alcune pubblicazioni e usato da giurisdizioni di influenza francese, ma raramente lo incontrerai negli audit fuori dalla Francia o dall'Africa francofona.

Se la tua impronta di audit è puramente internazionale, ISO 27005 è la scelta singola più sicura. Se operi in Francia, nel settore pubblico o vendi a enti statali francesi, la padronanza di EBIOS RM è attesa.

04Cosa copre la credenziale PECB EBIOS Risk Manager?

Cinque giorni. Copre i cinque workshop di EBIOS RM: perimetro e fondamenti di sicurezza, origini del rischio, scenari strategici, scenari operativi, trattamento del rischio. L'esame è a libro aperto, dura tre ore, con un mix di domande a risposta multipla e domande su scenari.

La credenziale è riconosciuta da ANSSI tramite il percorso di accreditamento PECB Gold Partner. Non sostituisce ISO/IEC 27005 Risk Manager se il tuo auditor si aspetta la metodologia ISO; la completa.

Coorti che trasformano la lettura in una credenziale.

Pillar letto. E adesso?

Ogni pillar rimanda alla coorte che lo trasforma in una credenziale. Sfoglia il catalogo o parlaci per un percorso su misura.