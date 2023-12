PUBBLICITÀ

La norma ISO 27001 del 2022. Di Giuseppe Gorga.

L’ISO 27001 del 2022 rappresenta un punto fermo nel panorama normativo per la gestione del traffico delle informazioni. Questa norma, sviluppata dall‘International Organization for Standardization (ISO) in collaborazione con l’International Electrotechnical Commission (IEC), si concentra sulla creazione, manutenzione e sviluppo dei sistemi di gestione della sicurezza delle informazioni (SGSI).

L’aggiornamento del 2022 introduce l’High Level Structure (HLS), una struttura di alto livello che contribuisce a uniformare le norme e a garantire una maggiore coerenza nei requisiti. Gli obiettivi principali di questa norma vanno oltre la sicurezza informatica e abbracciano la sicurezza fisica, ambientale e organizzativa. La sua portata ampia riflette la complessità delle sfide contemporanee legate alla gestione delle informazioni, spaziando dalla protezione contro minacce informatiche al trattamento responsabile dei dati sensibili.

Uno degli aspetti distintivi della ISO/IEC 27001 è il suo impegno per il miglioramento continuo. In un’epoca in cui le tecnologie per la raccolta dati avanzano rapidamente, la norma si adatta costantemente per rimanere all’avanguardia. Questo principio di miglioramento continuo offre rassicurazioni ai clienti, garantendo così che le aziende certificate seguano le ultime best practices per la sicurezza delle informazioni.

La certificazione ISO/IEC 27001 si rivolge a una vasta gamma di settori industriali, inclusi servizi, trasporti, comunicazioni, assicurazioni e settori governativi. Le imprese che ottengono questa certificazione dimostrano un impegno concreto per garantire la sicurezza e la privacy dei dati sensibili. La norma non solo identifica potenziali illeciti, ma fornisce anche un quadro robusto per combattere abusi e minacce provenienti da terze parti.

La gestione della sicurezza informatica, come indicato dalla ISO/IEC 27001, si concentra sui Sistemi di Gestione della Sicurezza delle Informazioni (SGSI). Questi sistemi rappresentano l’insieme di pratiche utilizzate da un’organizzazione per difendere la riservatezza, la disponibilità e l’integrità delle risorse informatiche da minacce e vulnerabilità. In un mondo in cui la sicurezza delle informazioni è cruciale, questa norma fornisce un quadro solido per proteggere gli asset digitali e promuovere un ambiente aziendale sicuro.

Per mantenere lo standard ISO/IEC 27001, le imprese devono seguire un approccio continuo al miglioramento e alla conformità.

Vediamo, perciò, alcune pratiche chiave per garantire la sostenibilità di questo standard nel tempo, tra questi vanno annoverati, in primis, gli aggiornamenti Triennali della certificazione ISO/IEC 27001 che è un processo essenziale per assicurare che i sistemi di sicurezza delle informazioni siano conformi alle ultime versioni dello standard e ne riflettano le migliori pratiche aggiornate. Parimenti dicasi per la revisione dell’ISMS, dovendo le imprese dimostrare un impegno continuo per il miglioramento del loro Information Security Management System (ISMS). Questa revisione deve coinvolgere l’analisi critica delle politiche, delle procedure e delle misure di sicurezza adottate, nonché l’identificazione e la gestione dei rischi emergenti. Altro aspetto cruciale è, poi, la protezione delle Informazioni in Diversi Formati e Ambienti in quanto l’ISMS deve estendersi alla protezione di informazioni in vari formati, inclusi dati digitali e cartacei e sui dispositivi fisici e nel cloud. Questo approccio olistico è essenziale per affrontare le sfide emergenti legate alla diversificazione dei mezzi attraverso cui le informazioni sono elaborate e conservate.

Altro aspetto rilevante è quello relativo al mantenimento della Proprietà Intellettuale e dei Dati Personali atteso che la ISO/IEC 27001 protegge non solo i dati aziendali ma anche la proprietà intellettuale e i dati personali. Le imprese devono, pertanto, garantire che le politiche e le procedure siano in linea con le normative sulla privacy e sulla protezione dei dati personali, contribuendo così a mantenere la fiducia dei clienti e degli stakeholder.

Rilevante è anche la collaborazione con un Ente di terza parte indipendente atteso che la certificazione ISO/IEC 27001 è affidata a quest’ultimi Questa collaborazione è essenziale per garantire l’obiettività e la credibilità del processo di certificazione. Gli enti di certificazione valuteranno regolarmente la conformità dell’organizzazione agli standard stabiliti.

Non secondario è l’aspetto della Formazione e la Consapevolezza che solo una formazione continua e la sensibilizzazione dei dipendenti rappresenta uno degli aspetti cruciali per mantenere la sicurezza delle informazioni in quanto le imprese sono tenute ad investire nella formazione del personale e ciò al fine di assicurarsi la consapevolezza della natura delle minacce e delle migliori misure di sicurezza e migliori pratiche da mettere in campo per contrastarle. Implementare, infine, un sistema efficace di monitoraggio continuo dei sistemi di sicurezza delle informazioni che includa la registrazione e segnalazione tempestiva degli incidenti di sicurezza, oltre all’analisi delle metriche è uno degli aspetti cruciali per poter identificare le, eventuali, aree di miglioramento dell’organizzazione.

Mantenere, pertanto, la conformità alla normativa ISO/IEC 27001 richiede un impegno costante per poter conseguire l’obiettivo di una eccellenza nella gestione della sicurezza delle informazioni e ciò attraverso un processo dinamico che deve adattarsi alle evoluzioni tecnologiche, alle nuove minacce informatiche e alle mutate esigenze aziendali. L’evoluzione della norma ISO/IEC 27001 nel tempo ha segnato un importante percorso nella definizione e nell’implementazione di standard di sicurezza delle informazioni. Questa evoluzione ha, nella sostanza, risposto alle crescenti sfide dell’ambiente info-tecnologico in continua evoluzione. In tale contesto, perciò, appare utile una rapida analisi delle principali tappe, da considerare fondamentali del percorso, come vedremo qui di seguito.

La Trusted Computer System Evaluation Criteria (TCSEC) è stato il primo standard, proveniente dal Dipartimento della Difesa degli Stati Uniti, ha stabilito i requisiti di base per valutare l’efficacia dei controlli di sicurezza dei computer in un sistema informatico. Alla stessa ha fatto seguito la Information Technology Security Evaluation Criteria (ITSEC), introdotta nel 1990, e che ha fissato una serie di criteri finalizzati alla valutazione della sicurezza informatica in prodotti e sistemi. Subito dopo nel 1993 è stata pubblicata la Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) che come standard canadese ha fornito un criterio di valutazione per i prodotti IT. Diversamente lo standard Federal Facility Criteria, ancora in uso, come libreria elettronica di specifiche, guide di costruzione e standard relativi a criteri essenziali da adottare per la norma. Invece, la ISO/IEC 15408-1 (Common Criteria), come standard è anche noto come Common Criteria, è stato progettato per valutare le proprietà di sicurezza dei prodotti IT. Il precursore, però, della norma ISO 27001, è il BS 7799 che come standard britannico ha permesso agli operatori di implementare un sistema di gestione della sicurezza delle informazioni attraverso un lavoro di analisi.

La ISO 27001, Pubblicata nel 2005, norma internazionale, è rivolta alla disciplina della gestione della sicurezza delle informazioni e ha sostituito le norme britanniche BS 7799:1 e BS 7799:2. La sua versione italiana UNI è del 2006.

La ISO 27002 del 2007, ha, infine, sostituito la norma ISO 17799, ritirata e sostituita dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie 27000. Passando ai vantaggi della ISO 27001, quest’ultimi, sono individuabili nel soddisfacimento dei requisiti contrattuali dei clienti che richiedono sicurezza e attenzione particolare alle informazioni e ai dati sensibili da loro gestiti e dimostra un impegno reale per la sicurezza delle informazioni attraverso il monitoraggio costante delle prestazioni aziendali e l’attivazione di azioni di miglioramento necessarie. Inoltre la gestione imparziale dei rischi formalizzando processi, procedure e documentazione relativa alla sicurezza delle informazioni. In conclusione, la ISO 27001 è sinonimo di sicurezza e affidabilità, dato che offre un quadro robusto e ben definito per la gestione della sicurezza delle informazioni nelle organizzazioni.

La responsabilità della certificazione ISO/IEC 27001 ricade sulla leadership dell’organizzazione che assume un i ruolo chiave nella gestione e nel mantenimento degli standard relativi ai sistemi di gestione della sicurezza informatica (SGSI). Le attività e gli impegni della leadership sono idonei per dimostrare la responsabilità assunta e volta a garantire la conformità e l’efficacia del SGSI. Attraverso la definizione di politiche e obiettivi in linea con gli indirizzi strategici dell’organizzazione, la leadership si impegna a garantire che il SGSI raggiunga gli obiettivi prefissati. Tutto ciò implica un controllo attivo sul SGSI, attraverso la pianificazione e l’azione per gestire rischi e opportunità. La direzione dell’azienda deve essere costantemente informata sulle prestazioni del sistema e svolgere attività di prevenzione, supporto, valutazione, intervento operativo e aggiornamento continuo.

Passando all’esame concreto delle attività richieste dalla certificazione ISO/IEC 27001 questa presuppone che l’organizzazione pianifichi, stabilisca, attui e mantenga programmi di audit, programmi che devono includere frequenze, metodi, responsabilità, requisiti di pianificazione e reporting. Le riportate attività concrete richieste includono programmi di Audit definiti che includono valutazioni dell’importanza dei processi, criteri di audit, selezione degli auditor e conduzione degli audit per garantire obiettività e imparzialità. I risultati degli audit che devono essere presentati ai responsabili, e le informazioni documentate devono essere conservate come prova dell’attuazione del programma di audit e dei risultati ottenuti.

A conclusione, di questa panoramica, va detto che in tema di vantaggi, quello aggiuntivo della norma ISO/IEC 27001 è, sicuramente rappresentato dall’Allegato A (Annex A) che introduce gli “Obiettivi di controllo e controlli di riferimento”.

Questo allegato sviluppa una serie di controlli o contromisure necessarie per costruire un SGSI robusto in quanto l’organizzazione è tenuta a migliorare continuamente l’idoneità, l’adeguatezza e l’efficacia del SGSI. L’Allegato A del 2005 presenta 14 raggruppamenti, sviluppati in 35 obiettivi di controllo, e 114 misure di controllo, contribuendo al perseguimento dello standard di miglioramento continuo.