Lo scorso mese di ottobre è stata pubblicata la ISO 27001:2022, lo standard che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (ISMS).
Prima di scoprirne le novità e capire cosa succederà adesso per le aziende che dovranno adeguarsi, iniziamo subito con le buone notizie: se già abbiamo un sistema certificato, fino a ottobre 2023 gli audit potranno essere condotti in base alla versione 2013 o, su nostra richiesta, alla ISO/IEC 27001:2022.
Eventuali non conformità ai requisiti aggiuntivi dell’edizione 2022 saranno segnalate come aree di criticità e dovranno essere chiuse prima del periodo di transizione (3 anni).
A partire da ottobre 2023, tutti gli audit dovranno essere svolti in conformità alla nuova norma.
Se invece non abbiamo ancora un sistema certificato e vogliamo predisporlo, possiamo farlo con la versione ISO 27001:2013 entro 12 mesi (ottobre 2023), ma valutiamo se non sia il caso di implementare direttamente la nuova release (opzione consigliata).
In entrambi i casi, credo sia utile concentrarsi su alcuni aspetti operativi rivedendo, o predisponendo ex-novo secondo le Linee Guida suggerite della ISO 27002:2022 pubblicata a febbraio, il piano di trattamento dei rischi, la dichiarazione di applicabilità (SOA), le politiche, le procedure e soprattutto aggiornare le competenze di tutto il personale coinvolto nel sistema di gestione per la sicurezza delle informazioni della nostra organizzazione.
Ognuna di queste attività dovrebbe, a mio avviso, essere vista attraverso l’identificazione di quali dei 93 controlli della nuova versione della ISO 27001:2022 debbano essere implementati e sarebbe meglio con l’ausilio di una gap analysis.
C’è anche la certificazione ISO nella compliance delle aziende
Indice degli argomenti
Le novità della ISO 27001:2022
Rispetto alla versione precedente, la ISO/IEC 27001:2022 propone un nuovo Annex A recepito dalla ISO 27002:2022, integra le variazioni delle revisioni 2014-2015 e comprende alcuni esercizi di stile (opinione personale) sulle clausole 9.2 (internal audit) e 9.3 (management review).
L’Annex A, che per chi non lo sapesse contiene l’elenco dei controlli applicabili a qualsiasi organizzazione intenda dotarsi di un sistema per la sicurezza delle informazioni, prevede appunto 93 controlli distinti in 4 nuove categorie:
- A.5 – Organizational Controls;
- A.6 – Physical Controls;
- A.7 -People;
- A.8 -Technological Controls;
rispetto alle precedenti 14.
Ognuno dei 93 controlli è associato a 5 attributi:
- control type;
- information security properties;
- cybersecurity concepts;
- operational capabilities;
- security domain.
ed è etichettato (ISO/IEC 27002:2022) in base al tipo (preventive, detective, corrective), alle proprietà (confidentiality, integrity, availibility) e alle linee guida per lo sviluppo di un framework per la cybersecurity (ISO IEC 27110) su cui si fonda il NIST (Identify, Protect, Detect, Respond, Recover).
Quali controlli sono rimasti invariati e quali cambiati
Analizzando nel dettaglio la nuova versione della ISO 27001, 35 controlli sono rimasti invariati, 23 sono stati rinominati e 57 sono stati accorpati per formarne 24. Particolare è il caso del controllo 18.2.3 (Technical Compliance Review) della vecchia norma che è stato diviso in due ulteriori controlli: 5.36 (Compliance with policies, rules and standards for information security) e 8.8 (management of technical vulnerabilities).
Decisamente interessanti sono invece undici i nuovi controlli che rendono più attuale la norma in quanto contemplano argomenti come:
- Threat Intelligence;
- Physical security monitoring;
- Data masking;
- Information security for cloud services;
- Monitoring activities;
- ICT readiness for business continuity;
- Data leakage prevention;
- Configuration management;
- Web filtering;
- Information deletion;
- Secure coding.
Di questi undici controlli, ben sette sono riferiti al dominio tecnologico e si concentrano sulla cancellazione delle informazioni, offuscamento e prevenzione della perdita dei dati con un chiaro richiamo al #GDPR che non sarà sfuggito agli esperti in privacy, sulla configurazione “sicura” di hardware, software, servizi e reti nonché sullo sviluppo sicuro del codice per ridurre il numero di potenziali vulnerabilità
Tre nuovi controlli rientrano nel dominio organizzativo e puntano l’attenzione su altrettante questioni strategiche come la caccia alle possibili minacce, i servizi cloud (visti nell’ottica del cliente e non del provider) e non ultima la continuità operativa.
Il monitoraggio della sicurezza è l’unico nuovo controllo introdotto nel dominio fisico più per l’esigenza di ribadire l’importanza dello screening dei dispositivi già presenti (in abbondanza) nelle aziende che per sancire una vera e propria novità.
Resilienza per garantire la continuità operativa
Restando nell’ambito dei nuovi controlli e soprattutto della continuità operativa, la nuova norma riserva il controllo 5.30 alla “ICT readiness for business continuity” (IRBC), ovvero la capacità di reagire a situazioni impreviste per garantire la continuità operativa.
L’applicazione di tale controllo consente all’azienda di dimostrare le proprie capacità di pianificare, implementare, mantenere e testare sulla base degli obiettivi di business, la propria reazione alle avversità, assicurando la disponibilità delle informazioni in situazioni di potenziale crisi o comunque d’interruzione dei servizi.
Dal punto di vista operativo è possibile raggiungere questo obiettivo attraverso la realizzazione di un’analisi d’impatto aziendale (BIA).
Secondo la ISO 27002:2022 (su cui si fonda la nuova 27001), anche per i servizi ICT, la BIA dovrebbe identificare un obiettivo di tempo di recupero (RTO) e definire i requisiti di capacità dei sistemi oltreché gli obiettivi del punto di recupero (RPO) delle informazioni “core” a presidio del business aziendale, in modo che sia possibile elaborare, mantenere e aggiornare un’adeguata strategia per la continuità operativa, attraverso l’adozione di un “Business Continuity Plan”.
Sulla base di questa strategia l’organizzazione dovrebbe prevedere l’esistenza di una struttura organizzativa adeguata e dotata di responsabilità, autorità e competenza per gestire, mitigare e reagire in caso d’interruzione dell’operatività.
Dovrebbe altresì assicurare che i piani di continuità operativa ICT, comprese le procedure di risposta e ripristino siano approvati dalla direzione e regolarmente valutati attraverso test e simulazioni.
Dovrebbe in fine garantire che tali piani contengano metriche di misurazione delle performance adeguate alle risultanze della BIA, esprimano l’RTO di ogni servizio e l’RPO delle risorse prioritarie con le relative procedure di ripristino delle informazioni.
Come è possibile intuire, l’applicazione del controllo 5.30 comporta uno sforzo non da poco per le organizzazioni, ma è bene ricordare che l’IRBC offre significativi benefici in termini di organizzazione aziendale perché tiene traccia dei rischi per la continuità dei servizi ICT e le relative vulnerabilità, identifica i potenziali impatti dell’interruzione di tali servizi ed in fine fornisce garanzie al top management di poter contare su livelli predeterminati di servizio e di ricevere supporto e comunicazioni adeguate in caso d’interruzione dell’operatività.
La nuova ISO 27001:2022 e il GDPR
L’adozione di tre nuovi controlli “tecnologici” come la cancellazione delle informazioni, il data masking e data leak prevention, consente una certa armonizzazione della nuova versione della norma nei confronti della ISO IEC 27701:2019 che tratta appunto la realizzazione e il mantenimento di un sistema di gestione sulla privacy delle informazioni (PIMS).
Va immediatamente precisato che tali controlli non portano valore aggiunto dal punto di vista tecnico, ma specificano e suggeriscono comportamenti di massima da adottare per cancellare, pseudonimizzare e anonimizzare le informazioni oltreché prevenire violazioni dei dati.
In particolare, il controllo Information Deletion (8.10) consente di prevenire l’esposizione non necessaria d’informazioni sensibili e di rispettare i requisiti legali, statutari, normativi attraverso la configurazione dei sistemi, la cancellazione di versioni obsolete di file e, non da ultimo, l’utilizzo di meccanismi di smaltimento appropriati per il tipo di supporto di archiviazione da smaltire.
Invece il Data masking (controllo 8.11) limita l’esposizione di dati sensibili, comprese le informazioni che permettono d’intensificare in maniera univoca un utente (PII) in conformità con la politica specifica dell’organizzazione sul controllo dell’accesso, prendendo in considerazione la legislazione applicabile e considerando il livello di robustezza dell’offuscamento, il controllo di accesso e il tracciamento della fornitura e della ricezione dei dati trattati.
In fine l’applicazione del controllo data leakage prevention (8.12) consente d’intercettare, prevenire e ridurre la diffusione non autorizzata d’informazioni, attraverso l’adozione di misure a dispositivi, sistemi e reti che detengano o trasmettano informazioni sensibili.
Conclusioni
Nonostante lo sforzo di ammodernamento e di adeguamento alle nuove sfide, il mondo dello standard ISO legato alla sicurezza delle informazioni risente, come tutte le norme di qualsiasi livello, di un disallineamento tecnologico cronico su molte delle verticalità che sono diventate strategiche negli ultimi tempi.
In particolar modo per quanto riguarda le norme sui servizi cloud (ISO 27017 e 27018) che non saranno rivisti prima del 2024, ma la crescente complessità degli scenari che si stanno delineando all’orizzonte ci impone un’attenta riflessione sulla necessità di trovare comuni denominatori che traccino un perimetro, seppur di alto livello, in grado di tutelare le organizzazioni di qualsiasi settore, maturità digitale e dimensione, da situazioni di crescente difficoltà e in questo contesto la ISO 27001:2022, rappresenta se non un valido punto di riferimento, almeno un ottimo punto di partenza da cui evolvere.
