Una introduzione alla norma ISO 27001

In un precedente articolo abbiamo accennato a diversi framework di sicurezza per adeguarsi alle normative consigliate dalla UE.

In questo articolo andremo a fare una piccola spiegazione della normativa ISO 27001.

La norma ISO 27001 serve a definire e implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) all’interno di un’organizzazione. In parole più semplici, aiuta le organizzazioni a proteggere le loro informazioni preziose da minacce informatiche, violazioni dei dati e altri rischi per la sicurezza.

Ecco alcuni punti chiave su cosa fa la ISO 27001:

1. Identifica e gestisce i rischi per la sicurezza informatica:

La norma fornisce un quadro per identificare, valutare e mitigare i potenziali rischi che potrebbero compromettere le informazioni dell’organizzazione.

2. Implementa controlli di sicurezza adeguati:

Basandosi sui rischi identificati, la norma suggerisce l’implementazione di controlli di sicurezza adeguati per proteggere le informazioni. Questi controlli possono riguardare vari aspetti, come l’accesso alle informazioni, la sicurezza delle reti, la protezione fisica dei dati e la formazione del personale sulla sicurezza.

3. Stabilisce best practice per la gestione della sicurezza:

La norma definisce best practice per la gestione della sicurezza delle informazioni, inclusi aspetti come la gestione degli incidenti, la continuità operativa e la conformità alle normative.

4. Aiuta a raggiungere la conformità normativa:

L’implementazione della ISO 27001 può aiutare le organizzazioni a dimostrare la loro conformità a varie normative sulla sicurezza dei dati e sulla privacy.

5. Migliora la fiducia dei clienti e dei partner:

La certificazione ISO 27001 dimostra alle parti interessate che l’organizzazione ha un sistema di gestione della sicurezza delle informazioni solido e che prende seriamente la protezione dei dati.

La normativa è molto generica, come tutte le normative ISO, e deve essere interpretata all’interno dell’organizzazione che vuole adottarla.

Il processo non è semplice, ha bisogno di consulenti che la conoscano bene, ma può essere utilizzata da tutte le organizzazioni, piccole o grandi.

Una applicazione della normativa ISO 27001 non è solo uno strumento per la conformità, ma rappresenta un approccio sistematico alla gestione della sicurezza delle informazioni per proteggere i dati aziendali preziosi e aumentare la fiducia dei clienti e dei partner.

E questo approccio è molto importante in quanto permette di stipulare assicurazioni che permettono alle aziende di recuperare, almeno in parte, un danno derivante da un attacco cyber. Attacco che ormai sarà sicuramente presente nei prossimi anni presso tutte le aziende. Il discorso che molti amministratori d’azienda accampano per fare nulla è il seguente: Ma a chi vuoi che interessi la mia azienda? Purtroppo non è così. Non è più un se, ma un quando si subirà un attacco cyber. Quindi meglio prevenire che curare.

Andiamo nel dettaglio vedendo quali sono i controlli da mettere in pratica (non tutti, dipende dall’azienda o PA interessata).

I controlli della normativa ISO/IEC 27001 relativi all’ultima versione (2022) sono i seguenti:

La norma ISO 27001:2022 elenca 114 controlli di sicurezza suddivisi in 14 categorie. Le categorie e i relativi controlli sono:

1. Controllo dell’accesso (A)

A.5 Controllo dell’accesso ai sistemi informatici
A.6 Controllo dell’accesso alle applicazioni
A.7 Controllo dell’accesso ai dati
A.8 Controllo dell’accesso alle risorse di rete
A.9 Controllo dell’accesso alle aree riservate
A.10 Controllo dell’accesso ai dispositivi mobili

2. Sicurezza delle risorse umane (B)

B.1 Responsabilità per la sicurezza delle informazioni
B.2 Formazione e consapevolezza sulla sicurezza delle informazioni
B.3 Gestione delle risorse umane
B.4 Sicurezza dei collaboratori esterni
B.5 Sicurezza dei visitatori

3. Sicurezza fisica e ambientale (C)

C.5 Sicurezza dell’area fisica
C.6 Sicurezza delle attrezzature
C.7 Sicurezza dei supporti di memorizzazione
C.8 Controllo ambientale
C.9 Protezione contro i disastri naturali e ambientali

4. Gestione delle risorse (D)

D.1 Inventario delle risorse
D.2 Acquisizione, sviluppo e manutenzione delle risorse
D.3 Gestione dei beni di consumo
D.4 Gestione dei supporti di memorizzazione
D.5 Gestione delle risorse umane

5. Responsabilità, formazione e consapevolezza (E)

E.1 Responsabilità per la sicurezza delle informazioni
E.2 Formazione e consapevolezza sulla sicurezza delle informazioni
E.3 Gestione delle competenze

6. Sicurezza delle informazioni (F)

F.1 Politica per la sicurezza delle informazioni
F.2 Classificazione delle informazioni
F.3 Controllo dell’accesso alle informazioni
F.4 Gestione degli incidenti di sicurezza delle informazioni
F.5 Sicurezza dei dati personali

7. Gestione delle operazioni (G)

G.1 Pianificazione e gestione delle operazioni
G.2 Gestione dei cambiamenti
G.3 Gestione della continuità operativa
G.4 Gestione della capacità
G.5 Sicurezza dei sistemi operativi

8. Sicurezza delle comunicazioni (H)

H.1 Controllo delle comunicazioni
H.2 Sicurezza delle reti e dei servizi di rete
H.3 Sicurezza delle applicazioni
H.4 Sicurezza dei dispositivi di comunicazione
H.5 Sicurezza dei contenuti

9. Acquisizione, sviluppo e manutenzione (I)

I.1 Acquisizione di prodotti e servizi
I.2 Sviluppo e manutenzione dei sistemi
I.3 Gestione delle vulnerabilità
I.4 Gestione delle configurazioni
I.5 Gestione dei patch

10. Sicurezza dei dati (J)

J.1 Integrità dei dati
J.2 riservatezza dei dati
J.3 Disponibilità dei dati
J.4 Controllo dell’accesso ai dati
J.5 Gestione degli incidenti di sicurezza dei dati

11. Conformità (K)

K.1 Conformità ai requisiti legali, normativi e contrattuali
K.2 Gestione delle violazioni dei dati
K.3 Monitoraggio e revisione

12. Valutazione e gestione dei rischi (R)

R.1 Valutazione dei rischi
R.2 Gestione dei rischi

13. Miglioramento continuo (M)

M.1 Miglioramento continuo

14. Misurazione, analisi e reporting (P)

P.1 Misurazione delle prestazioni
P.2 Analisi e reporting
P.3 Revisione della direzione

Come si vede i controlli sono tanti ma non tutti necessari. Ogni azienda deve prevedere, nel suo documento di gestione della sicurezza, i controlli che reputa necessari. Potrebbero anche essere di più. ma deve essere sempre applicato alla singola organizzazione.

Ogni controllo implica una serie di analisi: analisi dell’applicabilità, analisi delle operazioni necessarie, come misurare ciò che si è implementato, revisione dei controlli (miglioramento continuo). E’ quindi un processo in continuo monitoraggio e in continua revisione.

Non è semplice da implementare, ma se avete bisogno, contattateci.

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Condividi:

Correlati

Lascia un commento Annulla risposta