MEHARI, un approccio alla gestione del rischio IT

di Manlio Torquato

scritto il

CLUSIF il Club de la Sécurité de l’Information Français, cugina dell’italiana CLUSIT, ha reso liberamente disponibile la documentazione della metodologia MEHARI (MÉthode HArmonisée d’analyse des RIsques), un approccio di analisi e gestione del rischio informatico compatibile con le norme ISO 17799 e ISO 27001.

Sul sito di CLUSIF è disponibile una vasta documentazione su MEHARI in Francese ed Inglese, mentre in Italiano è disponibile una presentazione generale della metodologia (pdf)

Il punto di partenza di MEHARI sono le best practice di sicurezza, rispetto alle quali si calcola un punteggio corrispondente all’esposizione al rischio, secondo la scala di criticità seguente:

  • Livello 4 (Vitale);
  • Livello 3 (Molto Grave);
  • Livello 2 (Importante;
  • Livello 1 (Non significativo.

L’approccio di MEHARI è compatibile con quello delle norme ISO 17799 e 27001 perché, come recita la documentazione ufficiale:

sebbene esse non perseguano lo stesso obiettivo, è possibile rappresentare in modo relativamente facile (se questo è necessario) i risultati ottenuti seguendo il processo MEHARI in indicatori ISO 17799.