Benvenuto in CREST

CREST significa “Cyber Risk Evaluation Support Tool” ed è uno strumento, disegnato e sviluppato da Rexilience Srl per la gestione dei rischi secondo la ISO/IEC 27001:2022.

Di seguito, una semplice guida all’utilizzo di CREST.

1. Per iniziare – Menu Impostazioni

 

1.1. Criteri

Come prima cosa dovrai accedere al menu “Impostazioni” e definire innanzitutto i “Criteri”, cioè i parametri d’analisi.

I “Criteri di impatto” ed i “Criteri di probabilità” possono seguire lo standard ISO/IEC 27005:2022 o essere definiti in base alla propria necessità (Proprietari).

Dopo la scelta dei criteri, viene calcolato automaticamente il massimo livello di rischio.

Dovrai quindi definire il valore “Soglia livello rischio accettabile”, risultante dalla moltiplicazione tra impatto e probabilità minimi accettabili e la frequenza di valutazione del rischio.

E’ possibile usare il modello “Vulnerabilità e Minacce”, scegliendo come riferimenti lo standard ISO/IEC 27005:2022, ENISA o Custom (personalizzato).

Per registrare le modifiche è necessario premere ancora il bottone “Salva”.

Nota bene: le impostazioni valgono per le successive valutazioni (vedi menù Valutazione).

Se si modificano i parametri, i cambiamenti varranno solo per le future valutazioni, mentre le precedenti rimarranno legate ai parametri come definiti al momento della loro definizione.

1.2 Asset primari

Per definire asset primari è necessario innanzitutto premere il bottone “Aggiungi”.

Ogni asset è composto da un codice (univoco, alfanumerico) e da una descrizione testuale.

Una volta compilato è necessario premere sul bottone con l’icona del dischetto “Salva”.

Non appena salvato l’asset, è necessario premere sul bottone azzurro “Modifica” per inserire i dettagli relativi ai processi coinvolti, ai servizi, alle parti interessate.

Infine si possono selezionare gli asset di supporto associati (uno o più); si consiglia di creare prima gli asset di supporto per poterli associare agli asset primari. Altrimenti è possibile creare gli asset primari, quindi gli asset di supporto ed associarli ai primari.

Si possono aggiungere tutti gli asset che si ritiene necessario considerare nell’analisi del rischio.

E’ possibile modificare tramite il bottone “matita” il codice e la descrizione degli asset primari inseriti.

E’ possibile eliminare tramite il bottone “x” i singoli asset primari inseriti.

1.3 Asset di supporto

Per definire asset di supporto è necessario premere il bottone “Aggiungi”.

Ogni asset è composto da un nome (univoco, alfanumerico), da una categoria (Hardware, Software, Rete, Sito produttivo, Struttura organizzativa, Persone)  e da una descrizione testuale.

Gli asset di supporto possono essere correlati ad uno o più asset primari.

Una volta compilato è necessario premere sul bottone con l’icona del dischetto “Salva”.

Si possono aggiungere tutti gli asset di supporto che si ritiene necessario considerare nell’analisi del rischio.

E’ possibile modificare tramite il bottone “matita” gli asset di supporto inseriti.

E’ possibile eliminare tramite il bottone “x” i singoli asset di supporto inseriti.

2. Valutazione del rischio

La valutazione del rischio può essere svolta solo dopo aver impostato i Criteri, gli Asset Primari e gli eventuali Asset di Supporto.

Per iniziare una Valutazione del rischio per la propria azienda, è necessario definire una data di valutazione dei rischi ed inserire una descrizione testuale.

La valutazione eredita le impostazioni predefinite (cfr. menu “Criteri”)E’ basata su di un processo descritto nei tre “tabulatori”:

| 1. Valutazione | 2. Piano trattamento | 3. SoA (Statement of Applicability) |

2.1 Valutazione

Nel tabulatore “Valutazione” è necessario:

– scegliere/ricercare tra gli Asset predefiniti quello che si intende trattare,

– associare una Vulnerabilità

– eseguire la valutazione di: Probabilità e Impatto (Confidenzialità, Integrità, Disponibilità)

Premere sul bottone “Salva” per memorizzare le scelte.

Il colore risultante per tre criteri calcolati di R-I-C (moltiplicando la probabilità per {confidentiality, integrity and availability}) sarà rosso se superiore alla “Soglia livello rischio accettabile” definita nei criteri; verde se minore o uguale.

Nel caso almeno uno degli indicatori sia rosso,è necessario svolgere un trattamento del rischio.

Mediante il bottone selettore “Trattamento”, è possibile visualizzare lo stato R-I-D dopo i trattamenti indicati mediante la pressione del bottone (dettagli del trattamento).

2.2 Piano trattamento

Il piano di trattamento riporta le azioni necessarie a mitigare quei controlli che presentano dei semafori “rossi” nella valutazione dei rischi.

La percentuale di riduzione del rischio contribuisce a ridefinire i valori di rischio residuo.

E’ necessario utilizzare il selettore “Tutti da trattare” per poter visualizzare gli asset con rischio oltre la soglia e mediante il bottone “trattamento” (con icona “documento”) accedere alla maschera di “Gestione del rischio“.

La gestione del rischio prevede la scelta innanzitutto del controllo (es. “5.37 – Documented operating procedures”) mediante la finestrella attivabile con la funzione “Cerca“.

Il campo “Giustificazione” è a scelta e modificabile nel contenuto.

L’implementazione del controllo tramite il bottone binario (on/off) consente di attivare la riga nello Statement of Applicability.

Azioni, responsabili e data di completamento consentono di completare la schermata.

E’ necessario salvare tramite il bottone “Salva” le informazioni.

Attenzione!!! E’ importante salvare anche a livello di “Valutazione del rischio” i dati per non perdere quanto scritto nel piano di trattamento.

2.3 SoA (Statement of Applicability)

Lo Statement of Applicability consente di scegliere i controlli che fanno parte del processo di analisi del rischio che si intende sviluppare.

Premendo sull’icona “matita” è possibile attivare o disattivare un determinato controllo e specificando una giustificazione della scelta effettuata.

I controlli selezionati nei piani di trattamento hanno il selettore in posizione “on” e l’icona di spunta nella colonna successiva.

I controlli non utilizzati devono avere una giustificazione scritta che ne giustifica il non utilizzo.

Note generali

  1. CREST è un servizio SaaS (Software as a Service), fruibile via Web browser. I dati sono riservati per singolo utente e memorizzati su database in un workspace cifrato e sono disponibili solo all’utente all’indirizzo di mail specificato.
  2. Nello spazio in basso a piè di ogni pagina di ogni schermata di CREST, trovi i riferimenti a Termini e Condizioni d’utilizzo, oltre che alla Privacy.
  3. La login è “passwordless”, avviene cioè senza password da creare e memorizzare ma in base ad un codice OTP (one time password) generato ed inviato per email. Per iniziare a lavorare con CREST è sufficiente inserire la propria mail con cui ci si è registrati ed attendere la ricezione nella propria mail del codice OTP da utilizzare come password temporanea.
  4. Si raccomanda di navigare mediante i menu ed i bottoni di interfaccia. Non utilizzare il bottone del browser “Back” o “Indietro” o ”<-” in quanto si potrebbero perdere i dati eventualmente appena inseriti.
  5. La sessione di lavoro si chiude automaticamente con la chiusura del browser o del “tab” che contiene l’applicazione. In questo caso è necessario rieffettuare il login.
  6. Per qualsiasi informazione o richiesta, per favore scrivere all’indirizzo di mail crest@rexilience.eu