10 Apr La nuova ISO/IEC 27002: come cambia l’information security
Il c.d. ISMS (Information Security Management System oppure Sistema di gestione per la sicurezza delle informazioni) è fondamentale in un’organizzazione efficiente poiché individua le misure tecnologiche e organizzative[1] per proteggere il patrimonio informativo dalle minacce che, giorno dopo giorno, aumentano a dismisura. In un rapporto di estrema dipendenza dalla concretezza delle dinamiche aziendali, ogni azienda determina approcci diversificati: si può passare da un’analisi che includa l’intera organizzazione e scope specifici, anche partendo dai sistemi a maggior rischio, per poi considerare di allargare progressivamente il perimetro potenzialmente soggetto di ciò che compone un ISMS.[2]
Ma cosa è un ISMS? Trattasi di un sistema di politiche, procedure, prassi e metodi di enforcing che vengono implementati e revisionati nel tempo al fine di garantire che, all’interno dell’organizzazione, non siano compromesse le caratteristiche di disponibilità, integrità e confidenzialità dei dati e delle informazioni.
I benefici ottenuti si riversano sulle prestazioni: in primis è implementata una visione complessiva e centrale della sicurezza aziendale che giunge oltre il perimetro della sicurezza IT; in secundis l’adattamento continuo alle nuove minacce elaborate dai crackers diventa il valore aggiunto per trainare il budget aziendale verso iniziative che restituiscono un maggior ritorno in termini di riduzione del rischio.
La rivoluzione copernicana nell’ANNEX A della ISO/IEC 27001
L’attuale panorama in materia prevede l’esistenza della storica ISO/IEC 27002:2013, una raccolta di cc.dd. best practices che organizza «controlli» in 14 «capitoli» a loro volta suddivisi in categorie, ognuna con un proprio obiettivo; ma anche della novella ISO/IEC 27002:2022 – non ancora certificabile poiché in pendenza della definitiva armonizzazione – che è un insieme di raccomandazioni, differenti dalla sua sorella storica perché suddivide i controlli in 4 categorie senza divisioni, con capitoli che riguardano controlli organizzativi, controlli relativi alle persone, controlli di tipo fisico, controlli di tipo tecnologico.
Una novità da menzionare è quella relativa agli obiettivi di cyber security poiché, se precedentemente si catalogavano i controlli tramite la bipartizione tipologia di controllo e proprietà di sicurezza, con l’aggiornamento si vuole performare proprio il concetto di sicurezza informatica valutando identificazione, protezione, rilevazione, risposta o ripristino.
Cosa cambia per le organizzazioni e perché è importante aggiornarsi?
L’evoluzione della normativa lascia intendere che, al di là del consenso delle organizzazioni, sarà necessario un allineamento al fine di rendere più sicuro il circuito reale del mercato[3].
Si profilano situazioni proficue per i destinatari delle linee guida; coloro i quali, ancora, non siano certified, potranno adeguarsi sin da subito alla nuova architettura dei controlli esulando, dunque, da un doppio cambiamento successivo.
Non è da sottovalutare, poi, il vantaggio relativo all’aggiornamento delle tecnologie digitali, basti pensare al cloud, ai nuovi sistemi di storage e ai software as a service, in sostituzione di metodologie più arcaiche: in tal senso la nuova ISO/IEC 27002:2022 risulta più appetibile e aggiornata per affidabilità e credibilità.
Com’è noto, l’attenzione alla supply chain genera maggiore rigore nel rispetto dell’articolo 28 del GDPR[4] che prevede audit da espletare nei confronti dei fornitori a garanzia dell’intera catena di approvvigionamento; vantare una certificazione di tale portata sortirebbe un effetto positivo sia sul mark up – poiché i costi di distribuzione sono influenzati dalla maggiore credibilità dei consumatori – sia sugli investimenti futuri sul mercato.
La sfida, in termini di elaborazione delle strategie gestionali, si compone di competenze tecniche e conoscenza del patrimonio informatico e giuridico per evitare di incorrere in sanzioni facilmente evitabili con un’adeguata accortezza.
[1] A tal proposito si v. l’articolo 32 del Regolamento Generale per la Protezione dei Dati personali, REG (UE) 2016/679
[2] Per ulteriori informazioni v. DC2017SSV334.doc (accredia.it)
[3] Laddove nel circuito reale si intende il flusso che trasferisce beni e servizi
[4] Art. 28 REG(UE)2016/679
