Il primo segnale di adeguamento ai tempi e di integrazione fra le norme sulla Sicurezza delle Informazioni e protezione dei dati arriva con l’aggiornamento della norma ISO/IEC 27013:2021 che per esteso è intitolata ISO/IEC 27013:2021 “Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1”.
L’obiettivo della norma ISO/IEC 27001 emessa nell’ottobre 2022 è quello di fornire alle organizzazioni gli strumenti di base per proteggere il patrimonio delle informazioni (compresi i dati personali; considerando che gli attacchi informatici sono in continua crescita, non risparmiano alcun tipo di azienda ed utilizzano tecniche sempre più sofisticate.) Il rapporto annuale – Global Cybersecurity Outlook 2022 – del pubblicato dal World Economic Forum indica che attacchi informatici sono aumentati del 125% rispetto all’anno precedente e la tendenza prosegue anche per il 2022. Per affrontare queste sfide alla sicurezza informatica, le organizzazioni devono migliorare la propria resilienza e implementare sforzi di mitigazione delle minacce informatiche.
Quindi la nuova norma ISO/IEC 27001:22 strutturata secondo la logica consolidata della HLS, presenta alcune modifiche rispetto alla versione precedente, ma quelle veramente significative sono quelle relative ai controlli di sicurezza presenti nell’Appendice A.
L’Annex A, contiene l’elenco dei controlli applicabili a qualsiasi organizzazione intenda dotarsi di un sistema per la sicurezza delle informazioni, prevede appunto 93 controlli (anziché 114 della versione precedente) distinti in 4 nuove categorie:
- A.5 – Organizational Controls;
- A.6 – Physical Controls;
- A.7 – People;
- A.8 -Technological Controls;
rispetto alle 14 della precedente versione.
Ognuno dei 93 controlli è associato a 5 attributi (che costituiscono la novità principale introdotta nell’Annex A):
- control type;
- information security properties;
- cybersecurity concepts;
- operational capabilities;
- security domain.
I nuovi controlli che rendono più attuale la norma sono 11 e si riferiscono a:
- Threat Intelligence;
- Physical security monitoring;
- Data masking;
- Information security for cloud services;
- Monitoring activities;
- ICT readiness for business continuity;
- Data leakage prevention;
- Configuration management;
- Web filtering;
- Information deletion;
- Secure coding.
Di questi undici controlli, ben sette sono riferiti al dominio tecnologico e si concentrano sulla cancellazione delle informazioni, offuscamento e prevenzione della perdita dei dati con un chiaro richiamo al GDPR che non sarà sfuggito agli esperti in privacy, sulla configurazione “sicura” di hardware, software, servizi e reti nonché sullo sviluppo sicuro del codice per ridurre il numero di potenziali vulnerabilità
Tre nuovi controlli rientrano nel dominio organizzativo e puntano l’attenzione su altrettante questioni strategiche come la caccia alle possibili minacce, i servizi cloud (visti nell’ottica del cliente e non del provider) e non ultima la continuità operativa.
Il monitoraggio della sicurezza è l’unico nuovo controllo introdotto nel dominio fisico più per l’esigenza di ribadire l’importanza dello screening dei dispositivi già presenti (in abbondanza) nelle aziende che per sancire una vera e propria novità.
L’integrazione dei concetti di Business Continuity
Secondo la ISO 27002:2022 (su cui si fonda la nuova 27001), anche per i servizi ICT, la BIA dovrebbe identificare un obiettivo di tempo di recupero (RTO) e definire i requisiti di capacità dei sistemi oltreché gli obiettivi del punto di recupero (RPO) delle informazioni “core” a presidio del business aziendale, in modo che sia possibile elaborare, mantenere e aggiornare un’adeguata strategia per la continuità operativa, attraverso l’adozione di un “Business Continuity Plan”.
Sulla base di questa strategia l’organizzazione dovrebbe prevedere l’esistenza di una struttura organizzativa adeguata e dotata di responsabilità, autorità e competenza per gestire, mitigare e reagire in caso d’interruzione dell’operatività.
Dovrebbe altresì assicurare che i piani di continuità operativa ICT, comprese le procedure di risposta e ripristino siano approvati dalla direzione e regolarmente valutati attraverso test e simulazioni.
Dovrebbe in fine garantire che tali piani contengano metriche di misurazione delle performance adeguate alle risultanze della BIA, esprimano l’RTO di ogni servizio e l’RPO delle risorse prioritarie con le relative procedure di ripristino delle informazioni. L’applicazione del controllo 5.30 comporta quindi una attenzione particolare da parte delle organizzazioni.
La nuova ISO 27001:2022 e il GDPR
L’adozione di tre nuovi controlli “tecnologici” come la cancellazione delle informazioni, il data masking e data leak prevention, consente una certa armonizzazione della nuova versione della norma nei confronti della ISO IEC 27701:2019 che tratta appunto la realizzazione e il mantenimento di un sistema di gestione sulla privacy delle informazioni (PIMS).