Nuovo titolo, nuova tassonomia, nuovi e più semplici controlli, predisposizione verso cyber security e privacy: sono queste, in prima battuta, le differenze rispetto alla versione precedente della ISO/IEC 27002:2022.
Non si tratta di un semplice restyling, ma di un radicale cambiamento maggiormente in linea con i tempi e il nuovo titolo, “Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza”, ne fornisce un primo esempio.
Informativa e consenso privacy on line: le indicazioni pratiche della ISO/IEC 29184:2020
Indice degli argomenti
Come è strutturata la ISO/IEC 27002:2022
La nuova tassonomia utilizzata dalla ISO/IEC 27002:2022 passa da una suddivisione in 14 capitoli a una categorizzazione dei controlli in quattro gruppi:
- People
- Physical
- Technological
- Organizational
e li associa a cinque attributi:
- Control type
- Information security properties
- Cybersecurity concepts
- Operational capabilities
- Security domain
tramite i quali è possibile filtrare, ordinare e presentare i controlli da diversi punti di osservazione a seconda degli interlocutori interessati alla loro analisi.
I controlli scendono da 114 a 93 di cui 8 per le persone, 14 per gli oggetti fisici, 34 per la tecnologia e 37 per gli aspetti organizzativi. Alcuni sono nuovi, altri sono frutto dell’unione di due o più controlli della precedente versione.
Ma non basta, i controlli saranno etichettati a seconda del tipo:
- preventive
- detective,
- corrective
delle proprietà:
- confidentiality
- integrity
- availibility
o dei concetti del framework di cybersecurity (ISO/IEC 27110) su cui si fonda il NIST:
- Identify
- Protect
- Detect
- Respond
- Recover
Insomma, un bel salto in avanti verso privacy e cybersecurity per dimostrarsi al passo con i tempi.
Le relazioni tra la ISO 27001 e la 27002
Ovviamente non tutto è così lineare quanto appare a prima vista, chi ha un po’ di confidenza sulla sicurezza delle informazioni, conosce la relazione fondamentale tra ISO 27001 e 27002.
Sa quindi che la prima contiene i requisiti per implementare un sistema di gestione, mentre la seconda fornisce a supporto le misure e le best practice per migliorare la postura sulla sicurezza delle informazioni. Senza andare nel tecnico, la ISO 27001 fa uso dei controlli della 27002 ma ne trasforma i suggerimenti (should) in disposizioni (shall) e la questione è che almeno fino a maggio di quest’anno non avremo l’adeguamento 2022 della cara e vecchia ISO/IEC 27001:2013.
Questo significa che alla data attuale l’Annex A della 27001 che tratta gli obiettivi di controllo e i controlli di riferimento, non è coerente con la nuova 27002 e quindi i controlli da applicare sono ancora quelli attuali riferiti ai 14 capitoli (da 5 a 18) della precedente ISO/IEC 27002:2013.
Anche se può sembrare abbastanza complesso, è bene tenere in considerazione due situazioni distinte: le organizzazioni che già sono in possesso della certificazione ISO 27001:2013 e quelle che intendono ottenerla per la prima volta.
Nel primo caso, dato che i cambiamenti riguardano soprattutto la riorganizzazione dei controlli, almeno per il momento non sarà necessario modificare l’impianto dello schema di certificazione, né aggiungere nuovi documenti, così come sarà inutile eliminarne.
Ci sarà tempo per passare alla nuova tassonomia e probabilmente la strada più semplice per gestire la transizione sarà aggiornare i processi di trattamento dei rischi e rivedere con attenzione alcune sezioni delle politiche e delle procedure, in fondo anche questo fa parte dei processi del miglioramento continuo.
Per chi invece intendesse certificarsi per la prima volta durante l’anno sarà opportuno partire dall’analisi, non obbligatoria, ma utile della nuova ISO/IEC 27002:2022 ed iniziare a lavorare sui concetti attuali con il supporto dell’Annex B della Guida che riporta con precisione i riferimenti dei nuovi controlli rispetto a quelli previsti dalla precedente versione della ISO 27002
L’analisi dei nuovi controlli della ISO IEC 27002:2022
Come già anticipato poco sopra, lo Standard considera novantatré controlli, undici dei quali sono completamente nuovi, nove dei quali, volendone analizzare gli attributi (Preventive, Detective, Corrective), sono di tipo preventivo e questo la dice lunga sull’attenzione posta dalla nuova norma all’importanza di anticipare situazioni potenzialmente pericolose predisponendo correttamente il contesto aziendale alla sicurezza delle informazioni.
Dando uno sguardo alla nuova tassonomia (Organizational, People, Physical, Technological), sette degli undici nuovi controlli sono riferiti al dominio tecnologico, tre a quello organizzativo e uno a quello fisico; l’unico dominio che non presenta novità è quello riferito alle persone.
I nuovi controlli tecnologici si concentrano sulla configurazione sicura di hardware, software, servizi e reti (8.9 Configuration management), sullo sviluppo sicuro del codice per ridurre il numero di potenziali vulnerabilità (8.28 Secure coding), sulla gestione degli accessi al web (8.23 Web filtering), ma soprattutto sulla cancellazione delle informazioni (8.10 Information deletion), offuscamento e prevenzione della perdita dei dati (8.11 Data masking – 8.12 Data leakage prevention).
Con l’introduzione di questi 3 controlli tecnologici la ISO/IEC 27002:2002 compie un passo significativo di avvicinamento al GDPR e risulta essere più armonizzata nei confronti della ISO/IEC 27701:2019 che tratta appunto la realizzazione e il mantenimento di un sistema di gestione sulla privacy delle informazioni (PIMS).
È bene però precisare che i controlli non portano valore aggiunto dal punto di vista tecnico, ma specificano e suggeriscono comportamenti di massima da adottare per cancellare, pseudonimizzare e anonimizzare le informazioni oltreché prevenire violazioni dei dati.
Restando sul dominio tecnologico, credo sia utile ricordare la particolare attenzione dedicata dalla ISO/IEC 27002:2022 al monitoraggio delle attività (8.16 monitoring activities).
Le istruzioni per gestire gli incidenti di sicurezza
Secondo la norma, reti, sistemi e applicazioni dovrebbero essere monitorati per individuare comportamenti anomali e intraprendere azioni appropriate per anticipare, valutare e contenere potenziali incidenti di sicurezza delle informazioni.
Le azioni di monitoraggio dovrebbero essere stabilite in accordo con gli obiettivi di business e i requisiti di sicurezza e dovrebbero definire una “baseline” di comportamento normale al di fuori della quale, agire.
Oltre a ciò, gli eventi anomali dovrebbero essere comunicati al fine di migliorare le attività di audit e le scansioni di vulnerabilità dovrebbero essere inquadrate all’interno di procedure per identificare gli eventuali falsi positivi.
Aldilà della mancanza di approfondimenti tecnici di dettaglio, credo che questo controllo evidenzi molto bene l’importanza di un’azione costante e proattiva sulla sicurezza delle informazioni.
La sicurezza proattiva ci offre un potenziale vantaggio rispetto a situazioni indesiderate, quello di comprendere davvero la nostra infrastruttura, monitorarne i punti deboli e farci trovare pronti quando (e non se) capiterà anche a noi un incidente informatico.
Threat hunting, vulnerability detection, endpoint protection, ethical hacking sono le parole più usate quando si parla di sicurezza proattiva.Si tratta di un insieme di tecniche e comportamenti che simulano possibili attacchi e aiutano a identificare lacune e migliorare la nostra postura nei confronti della sicurezza delle informazioni, ma da sole non bastano, serve fare di più.
La ISO/IEC 27002:2022 caso offre due punti di appoggio per la sicurezza proattiva, Threat Hunting e Sistemi di Machine Learning/Intelligenza Artificiale; credo che manchi il più importante: l’uomo, ma è solo una considerazione del tutto personale.
I controlli organizzativi puntano, invece, l’aspetto su tre questioni molto delicate: la caccia alle possibili minacce (5.7 Threat intelligence), i servizi cloud visti soprattutto dal punto di vista del cliente fruitore dei servizi e non del provider (5.23 Information security for use of cloud services), la continuità operativa (5.30 ICT readiness for business continuity).
Il ruolo importante della Threat Intelligence
L’introduzione del controllo sulla Threat Intelligence ha l’obiettivo di creare consapevolezza sulle possibili minacce che incombono sull’organizzazione in modo da poter prendere le necessarie contromisure e mitigarne l’impatto ed è in questo contesto che va analizzata la sua definizione dettagliata e particolarmente curata all’interno del documento di framework.
Come sappiamo, la Threat Intelligence è un insieme di strumenti, buone prassi e azioni, per la raccolta, l’analisi e la condivisione di informazioni sulle minacce informatiche ed è fondamentale per definire strategie preventive, tattiche d’intervento e operazioni di monitoraggio che consentano di ridurre i rischi di attacchi informatici.
È utile alle organizzazioni di qualsiasi dimensione e maturità digitale perché il suo scopo finale è evitare la perdita di dati, fornire risposte sulla sicurezza delle informazioni e contenere rischi.
Secondo la nuova ISO/IEC 27002:2022, la Threat Intelligence dovrebbe essere pertinente (quindi collegata alla protezione delle informazioni dell’organizzazione, approfondita (quindi corredata di dettali specifici di analisi delle minacce), contestuale e attivabile in tempi rapidi e con efficacia.
La Guida stabilisce, inoltre, che la Threat Intelligence vada considerata su tre livelli da analizzare nel loro insieme: Strategico (es. lo scambio d’informazioni di alto livello sugli scenari delle minacce), tattico (per avere informazioni su metodi strumenti e tecnologie in uso ai potenziali aggressori, definire punti deboli e contromisure per la difesa dell’ecosistema aziendale), operativo (per indirizzare le reazioni nel breve periodo, avere dettagli su attacchi specifici e analizzarne tutte le informazioni disponibili).
Inoltre, le attività di Threat Intelligence dovrebbero stabilire obiettivi per la produzione di informazioni sulle minacce, identificare, esaminare e selezionare le fonti interne ed esterne, raccogliere, elaborare e analizzare le informazioni dalle fonti selezionate, ma soprattutto comunicare e condividere le informazioni con gli interessati in modo comprensibile.
Infine, le informazioni sulle minacce dovrebbero essere analizzate e successivamente utilizzate implementando processi per includerle nella gestione dei rischi per la sicurezza delle informazioni, come input aggiuntivo ai controlli tecnici preventivi e investigativi (es. sistemi antintrusione), come input per i processi e le tecniche di test di sicurezza delle informazioni.
Certificazioni ISO: è importante ottenerle, ma diamogli valore
Conclusioni
Chiudo quest’analisi con alcune considerazioni del tutto personali: la ISO/IEC 27002:2022 presenta importanti novità non solo dal punto di vista dei contenuti, ma soprattutto dell’impostazione.
È concettualmente rinnovata, più allineata al contesto odierno e anche se non è molto bilanciata in termini di approfondimenti tecnici, perché alcuni controlli sono approfonditi ed altri meno, rappresenta un’ottima base di partenza su cui poggiare lo sviluppo di un Sistema di Gestione sulla Sicurezza delle Informazioni.
È molto interessante, utile e credo davvero valga la pena di studiarla a fondo.
