Per affrontare le sfide globali della sicurezza informatica e migliorare la fiducia digitale, è stata appena pubblicata una versione nuova e migliorata di ISO/IEC 27001. Lo standard più noto al mondo sulla gestione della sicurezza delle informazioni aiuta le organizzazioni a proteggere le proprie risorse informative, vitali nel mondo sempre più digitale di oggi.
La nuova e terza edizione, pubblicata il 25 ottobre 2022, è la ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”.
Questo documento specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione. Include anche i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adattati alle esigenze dell’organizzazione. I requisiti stabiliti nel documento sono generici e si intendono applicabili a tutte le organizzazioni, indipendentemente dal tipo, dimensione o natura.
La criminalità informatica sta diventando sempre più grave e sofisticata poiché gli hacker sviluppano tecniche di criminalità informatica più avanzate. Il rapporto Global Cybersecurity Outlook del World Economic Forum indica che gli attacchi informatici sono aumentati del 125% a livello globale nel 2021, con prove che suggeriscono un continuo aumento fino al 2022. In questo panorama in rapida evoluzione, i leader devono adottare un approccio strategico ai rischi informatici.
La ISO/IEC 27001:2022 – L’obiettivo della norma è quello di fornire alle organizzazioni gli strumenti di base per proteggere il patrimonio delle informazioni, compresi i dati personali. La ISO/IEC 27001:2022 non è una norma “tecnica”, ma al contrario un framework – di requisiti e controlli – da gestire centralmente, che attraversa i vari processi aziendali (e non solo quelli che impattano sull’ICT), integrabile con altri sistemi di gestione.
I princìpi che hanno guidato la nuova revisione della norma sono orientati a garantire:
– la disponibilità, riservatezza e disponibilità dei dati;
– un approccio dinamico (in continua evoluzione) basato su individuazione delle minacce e delle vulnerabilità;
– la protezione delle informazioni in tutte le forme e supporti (cartacei, cloud, digitali e verbali);
– l’aumento della resilienza agli attacchi informatici;
– eliminazione di misure che si dimostrano inefficaci.
Le modifiche ai requisiti e controlli – La norma, come noto, prevede sia un apparato di requisiti che di controlli.
I requisiti non hanno subito modifiche significative rispetto alla versione precedente; la struttura del documento si basa su quella impostata in 10 capitoli linea con l’Annex SL. Tutti i requisiti devono essere applicati.
La modifica più significativa, rispetto alla precedente versione del 2013, riguarda la dichiarazione di applicabilità così come richiesta dal capitolo 6 che non deve essere più necessariamente redatta sulla base dei controlli dell’Allegato A. Il documento può seguire un qualunque impianto di controlli purché sia compliance con quelli dell’Allegato A ed eventualmente ne aggiunga di nuovi.
Questo modello, per quanto nuovo nell’approccio, ricalca quanto anche già previsto nella precedente versione della norma che consentiva un set di controlli, comunque, più ampio di quello previsto dall’Allegato A.
Per quanto riguarda i controlli invece questi hanno subito modifiche rilevanti:
– passando da 114 a 93 – alcuni controlli sono stati accorpati;
– riorganizzati in 4 sezioni invece delle precedenti 14;
– introducendo 11 nuovi controlli.
Tali modifiche erano già note da febbraio con la pubblicazione della ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection — Information security controls” (pubblicata a febbraio 2022). I controlli per altro sono la parte caratterizzante del documento: la ISO/IEC 27002:2022 fornisce le linee guida e una serie di informazioni di supporto per la corretta applicazione dei controlli previsti dallo standard.
Le modifiche introdotte anche grazie alla presenza degli 11 nuovi controlli permette di rendere i sistemi di gestione della sicurezza delle informazioni sempre più aderenti ad una tecnologia in continua evoluzione.
La modifica del titolo dello standard – La ISO/IEC 27001:2022 rispetto alla versione precedente ha anche modificato il titolo: da “Information technology — Security techniques — Information security management systems — Requirements” a “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”.
L’introduzione dei concetti di cybersecurity e di protezione dei dati personali è un ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR. Del resto, tra i controlli della norma sono stati sempre presenti alcuni dedicati esplicitamente alla protezione dei dati personali sia in modo diretto (5.34 Privacy and protection of PII) che indiretto.
Tutte le norme sui sistemi di gestione per la sicurezza delle informazioni che fanno capo al Comitato tecnico ISO/IEC JTC 1/SC 27 hanno modificato la prima parte del “titolo”.
I tempi di transizione dei certificati ISO/IEC 27001:2013 – Le aziende certificate a fronte della ISO/IEC 27001:2013 hanno tempo fino al 31 ottobre 2025 per effettuare la transizione. Dato che le modifiche sono di lieve entità e quelle più rilevanti sui controlli sono già note da febbraio 2022 la transizione non è complessa.
Anche in questo caso sono forniti tre anni “canonici” di tempo per permettere ad ogni organizzazione di effettuare il passaggio. Si resta comunque in attesa di indicazioni puntuali da parte di Accredia.
Per le organizzazioni che stanno affrontando l’implementazione della nuova norma si raccomanda di utilizzare la nuova versione dello standard.
“Nel mezzo della quarta rivoluzione industriale, l’interdipendenza sistemica crea sia costi al ribasso del rischio informatico che un valore al rialzo molto maggiore”, afferma Andreas Wolf, che guida il gruppo di esperti responsabili dello standard. “Le organizzazioni che ci condurranno nel futuro digitale sono quelle che non solo sono abbastanza vulnerabili da ammettere che non possono farcela da sole, ma sono anche abbastanza sicure ed esperte da rendersi conto che è meglio che le aziende non ci provino”.
Le organizzazioni che adottano la resilienza informatica attraverso una vulnerabilità sicura emergono rapidamente come leader nel loro settore e stabiliscono lo standard per il loro ecosistema. L’approccio olistico di ISO/IEC 27001 significa che l’intera organizzazione è coperta, non solo l’IT. Persone, tecnologia e processi ne traggono vantaggio.
https://www.iso.org/contents/news/2022/10/new-iso-iec-27001.html
![The IT Security Team[3]](https://www.cybertrends.it/wp-content/uploads/2021/06/The-IT-Security-Team3-e1623332284710-150x150.jpg "Sophos: pubblicata la ricerca \"The IT Security Team: 2021 and beyond\"")
