A cura di Riccardo Modena
Dopo un articolato processo di revisione, nello scorso mese di ottobre è stata pubblicata la nuova versione dello Standard ISO 27001.
Per chi non lo conoscesse, si tratta di un’ampia raccolta di Best Practices che le Aziende possono utilizzare per la progettazione, l’implementazione e il mantenimento di un Sistema di Gestione per la Sicurezza delle Informazioni (di seguito, SGSI) certificabile, il cui obiettivo è garantire la riservatezza, l’integrità e la disponibilità delle informazioni, dei dati personali e degli Asset correlati.
Fatta questa breve ma doverosa premessa, in questo articolo cercheremo di analizzare gli elementi di novità del nuovo Standard ISO 27001 e definire quali attività devono essere svolte per adeguarsi ai nuovi adempimenti.
Iniziamo dal titolo
Iniziamo col dire che uno dei cambiamenti più iconici dello Standard ISO 27001 riguarda il suo titolo: il nuovo nome scelto dall’International Organization for Standardization è infatti “Information Security, Cyber Security and Privacy Protection”.
Un interessante cambiamento rispetto al passato, che sottolinea la portata dei temi trattati, enfatizza lo stretto legame tra discipline tra loro complementari e rende l’idea di quali elementi siano stati posti al centro durante le operazioni di revisione.
Operazioni che hanno riguardato tanto il corpo dello Standard ISO 27001 (c.d. Clausole) quanto i controlli di sicurezza (c.d. Annex A).
Le Clausole
Le Clausole, che descrivono i requisiti che le Aziende sono tenute a rispettare se vogliono essere conformi allo Standard ISO 27001:2022, hanno subito alcune variazioni.
Quelle di maggiore rilevanza riguardano:
- la clausola “4.4 - Information security management system”, che nella sua nuova formulazione pone al centro i processi aziendali e le loro interazioni, la cui gestione rappresenta una condizione sine qua non per il corretto funzionamento del SGSI;
- la clausola “6.1.3 - Information security risk treatment”, che introduce alcune novità relative allo Statement of Applicability, il quale potrà includere controlli diversi da quelli presenti nell’Annex A, a patto che se ne giustifichi il motivo d’inclusione;
- la nuova clausola “6.3 - Planning of changes”, che sottolinea l’importanza della gestione dei cambiamenti (c.d. Change Management) e ne richiede la pianificazione, specie se questi hanno impatti sul SGSI;
- la nuova clausola “8.1 - Operational planning and control”, che richiede alle Aziende di controllare con la massima attenzione i prodotti e i servizi forniti esternamente, specie se rilevanti per il SGSI.
Le restanti modifiche alle Clausole aggiungono poco valore allo Standard ISO 27001, per cui è meglio spostare la nostra attenzione sui nuovi controlli di sicurezza.
L’Annex A
I cambiamenti più rilevanti riguardano sicuramente l’Annex A, ovvero quella sezione dello Standard ISO 27001 che integra le Clausole con una serie controlli di sicurezza a cui le Aziende possono fare riferimento nell’ambito dei propri processi di gestione del rischio.
Una revisione generale
Nella sua precedente versione, l’Annex A era composto da n. 114 controlli di sicurezza, suddivisi in n. 14 domini, che indirizzavano i diversi aspetti della sicurezza delle informazioni (es. politiche, organizzazione interna, gestione degli Asset e degli accessi logici, sicurezza fisica, ecc.).
Queste categorie sono state abbandonate a favore di n. 4 nuovi raggruppamenti:
- People controls;
- Physical controls;
- Technological controls;
- Organizational controls
Anche i controlli di sicurezza che compongono l’Annex A sono stati rivisti e grazie ad alcuni accorpamenti, passano da n. 114 a n. 93.
È bene precisare che queste modifiche attengono più alla forma che alla sostanza: certamente il numero dei controlli di sicurezza è inferiore rispetto al passato, ma i loro contenuti risultano pressoché invariati (se non addirittura arricchiti).
I nuovi controlli di sicurezza
L’aspetto sicuramente più dirompente della nuova versione dello Standard ISO 27001 è l’introduzione di n. 11 nuovi controlli di sicurezza, che focalizzano diversi temi di assoluto interesse. Nello specifico:
- Il controllo “A.5.7 - Threat intelligence” richiede l’adozione di processi e di strumenti che consentano l’individuazione e la prevenzione delle minacce informatiche emergenti. Lo svolgimento di analisi tecniche (es. Vulnerability Scan, Penetration Test, ecc.) è sicuramente importante ma lo è anche il monitoraggio delle principali fonti informative in tema (es. OSINT, Bulletins, ecc.);
- Il controllo “A.5.23 Information security for use of Cloud services” arricchisce le Best Practices già definite in tema di governance dei rapporti di fornitura focalizzandole sulla sicurezza dei servizi Cloud. In questo caso è richiesto, in sintesi:
- l’adozione di processi per la selezione o il monitoraggio dei Provider;
- la definizione di una politica relativa all’utilizzo dei servizi Cloud;
- la gestione dei rischi associati a tali tecnologie;
- la stipula di contratti che definiscano le responsabilità delle parti. - Il controllo “A.5.30 - ICT readiness for business continuity” affronta il tema della continuità operativa, che deve essere pianificata e monitorata al fine di assicurare che le strategie definite dalle Aziende siano supportate dall’infrastruttura esistente. L’effettiva applicazione di questo controllo non può prescindere dall’analisi preventiva dei processi critici per il Business e dei relativi impatti in caso di interruzione degli stessi (c.d. Business Impact Analysis);
- Il controllo “A.7.4 - Physical security monitoring” richiede l’adozione di soluzioni per il controllo e il monitoraggio delle sedi, degli uffici e dei locali tecnologici (es. videosorveglianza, sistemi antintrusione, allarmi, ecc.).
- Il controllo “A.8.9 - Configuration management” introduce il delicato tema della configurazione sicura dei sistemi e affronta il tema dell’hardening. L’obiettivo di fondo è spingere le Aziende ad adottare un sistema di gestione delle configurazioni, supportato da strumenti commisurati alle esigenze del Business (es. Template, Configuration Management Database, ecc.).
- Il controllo “A.8.10 - Information deletion” richiama il concetto della cancellazione dei dati personali e lo estende all’intero patrimonio informativo dell’Azienda. Il tema principale è la restituzione e/o la cancellazione dei contenuti relativi ai Clienti (es. in seguito alla conclusione dei rapporti contrattuali), che le Aziende devono indirizzare definendo chiaramente responsabilità, procedure o modalità operative.
- Il controllo “A.8.11 - Data masking” ci parla di anonimizzazione, pseudonimizzazione e mascheramento: tre tecniche che devono essere impiegate in funzione della criticità delle attività svolte.
- Il controllo “A.8.12 - Data leakage prevention” richiede l’adozione di processi e di strumenti che consentano di identificare, monitorare e proteggere le informazioni e i dati personali al fine di prevenirne l’uso illecito o la trasmissione non autorizzata. Questo obiettivo può essere raggiunto sia attraverso il monitoraggio delle reti aziendali (es. attraverso i Firewall di ultima generazione che includono diverse funzionalità in grado di contrastare l’esfiltrazione di contenuti) sia mediante iniziative, che vanno da una corretta gestione delle utenze e dei privilegi a misure di più basso livello, come ad esempio il blocco delle porte USB o l’inibizione dei servizi di condivisione non autorizzati (es. piattaforme Web, ecc.).
- Il controllo “A.8.16 - Monitoring activities”, già presente in alcuni controlli del vecchio Standard ISO 27001, richiede di porre attenzione al monitoraggio di reti, sistemi, dispositivi e applicazioni al fine di rilevare eventuali anomalie.
- Il controllo “A.8.23 - Web filtering” sottolinea l’importanza di presidiare una delle attività più pericolose e in grado di esporre gli utenti ai rischi della Cyber-Security: la navigazione Web. Il suggerimento è quello di adottare soluzioni di Web Filtering, in modo da ridurre il rischio che il personale acceda a siti Web malevoli.
- Infine, il controllo “A.8.28 - Secure coding” richiede la definizione di politiche e procedure per lo sviluppo sicuro del software. Non serve reinventare la ruota ma iniziare ad integrare nei propri processi una serie di buone pratiche, come:
- Le line guida di OWASP per la sicurezza delle applicazioni Web e delle API.
- I suggerimenti di CWE per la rimozione delle principali vulnerabilità software.
- I Coding Standard emessi dal CERT, da AGID o dal NIST (es. NIST.SP.800-218).
Le attività di adeguamento
Ora che abbiamo analizzato i principali cambiamenti introdotti dal nuovo Standard ISO 27001 non ci resta che capire come gestirli, soprattutto in ottica di migrazione del proprio SGSI. Di seguito, alcuni suggerimenti:
- Chi ha tempo non aspetti tempo - Occorre avviare e concludere il processo di migrazione nei giusti tempi, in modo da evitare che le certificazioni si concentrino in prossimità della data di scadenza, mettendo in difficoltà gli Enti di Certificazione;
- Pianificate i cambiamenti - Le cose da fare possono essere molte, per cui è meglio procedere con ordine:
- Adeguare i processi, le politiche e le procedure.
- Adottare nuove procedure o strumenti per indirizzare i controlli aggiuntivi.
- Aggiornare le Checklist di Audit e le metodologie di Risk Assessment.
- Rivedere lo Statement Of Applicability.
- Definire indicatori per monitorare i nuovi controlli e processi.
- Svolgere la necessaria formazione del personale. - Prestate attenzione nell’aggiornamento delle politiche. Sulla base della mia esperienza personale, consiglio di procedere per Step:
- Riordinare i contenuti secondo i nuovi domini dello Standard ISO 27001.
- Verificare se le politiche necessitano di integrazioni, utilizzando come riferimento lo Standard ISO 27002.
- Integrare le politiche dando spazio ai nuovi n. 11 controlli. - Fate attenzione ai Risk Assessment: uno degli aspetti fondamentali di qualsiasi analisi dei rischi è la possibilità di poterne comparare i risultati anno su anno. Il consiglio è quello di non modificare di punto in bianco la propria metodologia di Risk Assessment ma effettuare - se possibile - un passaggio intermedio, in modo da produrre risultati coerenti e comparabili nel tempo;
- Per ciò che riguarda l’aggiornamento dello Statement of Applicability ho un unico suggerimento: fino a quando non deciderete di rivedere integralmente la vostra impostazione (riprendendo la struttura del nuovo Standard ISO 27001), i nuovi controlli possono essere considerati come aggiuntivi o integrativi.
Occhio alle date
Infine, se state affrontando una prima certificazione o una migrazione alla nuova versione dello Standard ISO 27001, è bene che prestiate attenzione a queste date:
- Il 31 Ottobre 2022 è l’ultimo giorno del mese di pubblicazione del nuovo Standard ISO 27001: da questo momento in poi, tutte le Aziende interessate potranno richiedere la certificazione o la migrazione alla versione più recente della norma;
- Il 31 ottobre 2023 è l’ultima data utile per avviare una prima certificazione secondo il vecchio Standard ISO 27001:2013; da questo momento in poi gli Enti di Certificazione avvieranno solo certificazioni basate sulla nuova norma;
- Il 31 ottobre 2025 è la data entro la quale tutti certificati dovranno essere migrati alla nuova versione dello Standard ISO 27001. ATTENZIONE: l’intero iter di migrazione, incluso l’Audit dell’Ente di Certificazione, deve essere completato entro questa data (non solamente avviato).