Progettare la sicurezza: la nuova norma tecnica ISO/IEC 27001
Nella prima metà del 2022, l’Italia è risultata il quarto Paese al mondo più colpito dai malware ed il primo in Europa. A preoccupare particolarmente è la crescita dei ransomware, lanciati contro strutture governative e sanitarie, ma anche le truffe via mail e le visite a siti maligni, che insieme hanno causato quasi 400 milioni di incidenti registrati. Tale scenario riporta con urgenza alla necessità di rivedere e pianificare la protezione del perimetro di sicurezza informatica di organizzazioni e imprese.
Le norme ISO
Allo scopo di affrontare le sfide che interessano la sicurezza delle informazioni, sono stati concepiti, a partire dalla metà degli anni Ottanta, una serie di standard, nazionali ed internazionali, contenenti buone pratiche e principi basilari di trattamento e conservazione sicura dei dati e delle infrastrutture di elaborazione. Tra questi standard, si sono particolarmente affermate le norme tecniche dell’Organizzazione Internazionale per la Normazione (ISO), che ha pubblicato un’intera serie dedicata, le ISO/IEC 27000 “Information Security Management Systems (ISMS) Family of Standards“.
Attraverso questa famiglia di norme, le organizzazioni possono sviluppare ed implementare un proprio sistema per la gestione della sicurezza informatica, che protegga adeguatamente ad informazioni finanziarie, proprietà intellettuale, dati dei dipendenti, di clienti, o di terzi. Applicando la norma si garantisce quindi che le informazioni risultino adeguatamente protette da possibili attacchi informatici, errori umani, calamità naturali, o da qualsiasi altra vulnerabilità che si possa manifestare durante l’utilizzo dei sistemi informatici di elaborazione.
La serie ISO/IEC 27000 è applicabile a tutte le organizzazioni di qualsiasi tipo e dimensione: società commerciali, governative e organizzazioni non a scopo di lucro. Tutte le organizzazioni sono quindi incoraggiate a valutare i loro rischi informativi ed a trattarli in base alle specifiche esigenze, utilizzando il manuale ed i suggerimenti disponibili, che solitamente accompagnano le norme pubblicate da ISO.
> Guarda anche il webinar gratuito: “Applicazioni pratiche della ISO 27000”
Il rinnovo della ISO 27001
Nell’ottobre del 2022 è stata infine pubblicata l’ultima versione aggiornata della norma tecnica ISO/IEC 27001, che riporta il più riconosciuto e applicato standard internazionale di gestione della sicurezza delle informazioni, con particolare attenzione alla cybersecurity ed alla privacy.
Grazie ai requisiti generali di sicurezza individuati dalla norma ed al nutrito set di controlli puntuali, 93 nella versione attuale, è possibile progettare un Information Security Management System (ISMS), recante adeguate policy di sicurezza, una mappatura dei processi di lavoro e delle aree di rischio e l’adozione di soluzioni tecniche e tecnologiche a protezione della sicurezza di dati, infrastrutture e persone.
> Leggi anche: ISO 27001: gestione sicura delle informazioni
Le novità del 2022
Rispetto alla versione precedente, questo aggiornamento della norma ha leggermente ridotto il numero di controlli riportati nell’Annex A, portandoli da 114 a 93 e riveduto la loro suddivisone in quattro macroaree, rispetto alle 14 precedenti:
- Organizzativa;
- Amministrativa;
- Fisica;
- Tecnologica.
L’area organizzativa si riferisce alla redazione delle policy, l’area amministrativa alla gestione delle persone che trattano le informazioni, l’area fisica alla sicurezza dei luoghi e delle infrastrutture di elaborazione dei dati e l’area tecnologica alle tecnologie impiegabili per prevenire incidenti e attacchi informatici. A ciascuna area corrisponde quindi gruppo di controlli specifici, tra cui l’organizzazione può scegliere, per impegnarsi ad accertare e presidiare la sicurezza di operazioni e processi di lavoro, legati alle informazioni. Ognuno dei 93 controlli è poi associato a 5 attributi, che ne identifica l’ambito di applicazione:
- Control type;
- Information security properties;
- Cybersecurity concepts;
- Operational capabilities;
- Security domain.
Ogni controllo è poi anche etichettato in base al tipo (preventive, detective, corrective), alle proprietà (confidentiality, integrity, availability) e alle linee guida per lo sviluppo di un framework per la cybersecurity, predisposto dalla norma ISO/IEC 27110, che ricalca il noto NIST cybersecurity framework, in cinque fasi: Identify, Protect, Detect, Respond, Recover. Tali fasi costituiscono il momento in cui il controllo interviene concretamente, rispetto alla minaccia che intende prevenire.
Un nuovo approccio alla sicurezza informatica
Nonostante la riduzione complessiva dei controlli, è opportuno considerare che la norma aggiornata ne prevede ben undici del tutto nuovi, allo scopo di contemplare argomenti e problematiche di grande attualità, come la Data Protection e le attività di monitoraggio:
- Threat Intelligence;
- Physical security monitoring;
- Data masking;
- Information security for cloud services;
- Monitoring activities;
- ICT readiness for business continuity;
- Data leakage prevention;
- Configuration management;
- Web filtering;
- Information deletion;
- Secure coding.
Fra questi undici controlli di nuova introduzione, sette sono riferibili al dominio tecnologico e riguardano il trattamento ordinato e sicuro dei dati, la cancellazione, l’offuscamento delle informazioni e la prevenzione di perdite accidentali di queste ultime, con evidente orientamento alla Data Protection Compliance derivante dal Regolamento Europeo 679/2016. Tali controlli dovrebbero indirizzare la configurazione appropriata di hardware, software, servizi e reti, deputati al trattamento di dati personali, nonché allo sviluppo sicuro del codice, per ridurre il numero di potenziali vulnerabilità.
Tre nuovi controlli rientrano invece nel dominio organizzativo, ponendo l’attenzione su questioni strategiche come l’identificazione di possibili minacce, la sicurezza dei servizi offerti attraverso i cloud di terze parti e la business continuity.
Quanto al monitoraggio dei dispositivi hardware, è l’unico nuovo controllo introdotto nel dominio fisico, a conferma dell’importanza di considerare tutti gli endpoint e le infrastrutture di trattamento come elementi di potenziale vulnerabilità, nel perimetro di sicurezza di una organizzazione.
A conclusione di questa breve introduzione alla norma ISO/IEC 27001:2022, occorre ricordare che è possibile, nonché consigliabile, certificare ufficialmente l’ISMS conforme ai requisiti e controlli definiti, attraverso l’audit di organismi terzi ed imparziali, che ne verificano l’attuazione, in base al campo di applicazione ed agli obbiettivi dichiarati. Una certificazione ufficiale di conformità alla norma ISO/IEC 27001 può accrescere la percezione di affidabilità e competitività dell’organizzazione sul mercato, ed ormai anche, sempre più spesso, agli occhi dell’utente finale. Va segnalato che fino a ottobre 2023, gli audit potranno essere condotti in base alla versione 2013 o, su richiesta, alla nuova ISO/IEC 27001:2022. Eventuali non conformità ai requisiti aggiuntivi dell’edizione 2022 saranno segnalate come aree di criticità, da correggersi prima del periodo di transizione (3 anni), mentre a partire da ottobre 2023, tutti gli audit dovranno essere svolti in conformità alla nuova norma.
Kinetikon offre alle imprese un servizio di consulenza completo per l’ottenimento della Certificazione ISO 27001, fornendo un supporto esperto durante tutto il processo. Aiutiamo le aziende a allinearsi, implementare e mantenere i requisiti fondamentali dello Standard ISO/IEC 27001:2022, fornendo una guida preziosa in ogni fase: scrivici a info@kinetikon.com.