La famiglia di standard ISO 27000 funge da framework di gestione della sicurezza delle informazioni per le istituzioni di tutto il mondo. ISO 27001 è uno standard di sicurezza informatica che consiste nelle migliori pratiche e controlli che le organizzazioni possono utilizzare per implementare un sistema di gestione della sicurezza delle informazioni (ISMS) e la triade CIA (riservatezza, integrità e disponibilità) per proteggere i propri dati.

In questo blog, daremo un'occhiata a:

  1. Che cos'è la ISO 27001
  2. Come è nata
  3. Qual è la struttura della ISO 27001
  4. Se è obbligatoria per motivi di conformità
  5. Che cos'è un ISMS e i vantaggi di averne uno
  6. In che modo l'ISO ti aiuta a rispettare il GDPR
  7. Processo di certificazione ISO 27001
  8. Ultimi aggiornamenti per ISO 27001 e 27002
  9. Conformità alla norma ISO 27001 con una soluzione SIEM

Che cos'è l'ISO 27001?

L'ISO 27001 è uno standard e un framework di sicurezza informatica che aiuta le organizzazioni a mettere in atto un ISMS. Si tratta di un approccio basato sul rischio e aiuta le organizzazioni a valutare la propria posizione di sicurezza.

Come è nata l'ISO 27001?

La versione legacy della ISO 27001, BS 7799, originariamente scritta dal Dipartimento del Commercio e dell'Industria (DTI) del Regno Unito, è stata pubblicata dal British Standards Institution (BSI) nel 1995. Una parte della BS 7799 che si occupava delle procedure consigliate di gestione della sicurezza delle informazioni è stata rivista nel 1998. Nel 2000, questo è stato adottato dall'ISO come ISO/EC 17799 ed è stato definito Information Technology: Codice di condotta per la gestione della sicurezza delle informazioni. La seconda parte della BS 7799 con il titolo Information Security Management System rilasciata nel 1999 che è stata successivamente adottata nell'ambito della gestione e valutazione del rischio nella serie ISO 27000, denominata ISO 27001.

L'ultima versione della ISO 27001 è stata pubblicata nel 2013, con aggiornamenti minori implementati nel 2017.

Com'è strutturata l'ISO 27001?

È divisa in due parti principali.

  • Prima parte - 12 segmenti: la prima parte consiste in un elenco di 12 segmenti, che sono elencati di seguito:
    1. Introduzione
    2. Ambito
    3. Dettagli della normativa
    4. Termini e definizioni
    5. Contesto dell'organizzazione
    6. Leadership
    7. Pianificazione
    8. Supporto
    9. Operazione
    10. Valutazione delle prestazioni
    11. Miglioramento
    12. Obiettivi di controllo di riferimento e controlli
  • Parte seconda - Allegato A: la seconda parte della ISO 27001 è l'Allegato A, che consiste in 114 controlli suddivisi in 18 sezioni, e che segue il 12° controllo. Poiché l'allegato è collegato alla norma ISO 27002, i primi quattro controlli non sono presenti nell'elenco. Quindi l'elenco inizia dalla sezione cinque.

    Le restanti 18 sezioni dell'Allegato A sono:

    1. Allegato A.5: criteri di sicurezza delle informazioni
    2. Allegato A.6: organizzazione della sicurezza delle informazioni
    3. Allegato A.7: sicurezza delle risorse umane
    4. Allegato A.8: gestione patrimoniale
    5. Allegato A.9: controllo degli accessi
    6. Allegato A.10: crittografia
    7. Allegato A.11: sicurezza fisica e ambientale
    8. Allegato A.12: sicurezza delle operazioni
    9. Allegato A.13: sicurezza delle comunicazioni
    10. Allegato A.14: acquisizione, sviluppo e manutenzione del sistema
    11. Allegato A.15: rapporti con i fornitori
    12. Allegato A.16: gestione degli incidenti di sicurezza delle informazioni
    13. Allegato A.17: aspetti di sicurezza delle informazioni nella gestione aziendale
    14. Allegato A.18: conformità

Si tratta di uno standard di conformità obbligatoria?

L'ISO 27001 non è un obbligo di conformità. Come suggerisce la sua struttura, lo standard si concentra sui requisiti individuali di ciascuna organizzazione e riconosce che l'ISMS messo in atto deve concentrarsi su queste esigenze uniche e sui rischi per la sicurezza. Tuttavia, le organizzazioni che mirano a ottenere una certificazione ISO 27001 devono rispettare lo standard.

Che cos'è un ISMS e quali sono i vantaggi di averne uno?

Un ISMS definisce l'approccio di un'organizzazione alla sicurezza delle informazioni e i controlli e le specifiche che ha in atto per garantire la sicurezza dei suoi dati. Avere un ISMS conforme a ISO 27001 aiuta le organizzazioni ad aderire anche ad altri standard di sicurezza, come il GDPR.

L'obiettivo di un ISMS è quello di facilitare le organizzazioni nell'attuazione della triade CIA della protezione dei dati. La triade della CIA è composta da:

  1. Riservatezza: le misure che un'organizzazione adotta per proteggere la privacy dei propri dati contribuiscono alla sua riservatezza, come garantire l'accesso autorizzato e limitato.
  2. Integrità: le organizzazioni devono impegnarsi a sostenere l'autenticità e l'affidabilità dei dati e assicurarsi che siano privi di errori per facilitare l'integrità dei dati.
  3. Disponibilità: le organizzazioni devono verificare la disponibilità dei dati ogni volta che vi si accede. Ciò significa garantire che tutti i sistemi e le operazioni che gestiscono i dati funzionino senza intoppi e adottare misure come l'eliminazione dei server ridondanti o garantire che gli aggiornamenti avvengano in tempo.

L'implementazione di tutte e tre le parti della triade CIA aumenta significativamente la resilienza informatica e migliora la capacità delle organizzazioni di gestire le minacce.

Vantaggi di un ISMS

Oltre ad essere conforme alla norma ISO 27001, l'installazione di un ISMS offre diversi vantaggi per un'organizzazione:

  • Salvaguardia delle informazioni privilegiate: con l'obiettivo primario di tutelare la riservatezza, l'integrità e la disponibilità di informazioni, un ISMS opera per salvaguardare le varie risorse informatiche dell'organizzazione.
  • Sistema di gestione centralizzato: un ISMS garantisce che tutti i dati dell'organizzazione siano archiviati, protetti e gestiti in modo centralizzato. Questo approccio olistico porta a un aumento della sicurezza e contribuisce alla crescita complessiva dell'organizzazione.
  • Riduzione dei costi per la sicurezza: poiché un ISMS viene implementato in base alla valutazione del rischio di ciascuna organizzazione, può evitare i costi sostenuti a causa della sperimentazione di varie soluzioni di sicurezza. L'adozione di un approccio centralizzato porta anche a una riduzione dei costi complessivi.
  • Aumento della resilienza informatica: un ISMS conforme a ISO 27001 richiede alle organizzazioni di modificare costantemente le proprie misure di sicurezza e di evolversi con il panorama delle minacce informatiche. Ciò porta a un aumento complessivo della resilienza informatica.

In che modo le ISO 27001 e 27002 sono diverse?

In parole povere, mentre ISO 27001 è un framework di sicurezza informatica e le organizzazioni possono ottenere una certificazione, ISO 27002 è più una guida alle procedure consigliate, che fornisce trucchi e suggerimenti per aiutare le organizzazioni a implementare e comprendere i controlli ISO 27001 nell'Allegato A. Sebbene le organizzazioni possano scegliere quali procedure consigliare implementare dalla ISO 27002, non è prevista alcuna certificazione per lo standard.

In che modo la ISO 27001 ti aiuta a rispettare il GDPR?

Prima di capire in che modo la ISO 27001 ti aiuta a rispettare il GDPR, è importante notare che l'obiettivo di ogni standard è diverso. Sebbene l'obiettivo del GDPR sia quello di proteggere la privacy delle informazioni personali raccolte dai cittadini dell'Unione Europea, la ISO 27001 lavora per aiutare le organizzazioni a creare un ISMS che aiuti le organizzazioni a elaborare i dati che raccolgono.

Di seguito sono riportati i punti in comune tra la ISO 27001 e il GDPR:

  • Valutazione del rischio ed esposizione: entrambi gli standard trovano la loro base nella valutazione del rischio. Mentre i requisiti ISO 27001 richiedono alle organizzazioni di condurre una valutazione del rischio prima di implementare i controlli necessari per un ISMS, il GDPR richiede anche una valutazione dell'impatto sulla protezione dei dati (DPIA) per ridurre la loro esposizione al rischio.
  • Notifiche tempestive di violazione: i controlli di gestione degli incidenti ai sensi del 16° segmento dell'Allegato A della ISO 27001 insistono sul fatto che qualsiasi violazione della sicurezza venga comunicata rapidamente in modo da poter intraprendere azioni tempestive. Un requisito simile si trova nel GDPR che richiede alle organizzazioni di notificare i titolari del trattamento e le autorità di controllo entro 72 ore da una violazione.
  • Privacy by design: il GDPR è radicato nella privacy by design e chiede alle organizzazioni di implementare misure che garantiscano la privacy dei dati. La ISO 27001 considera i dati come un patrimonio informativo e fornisce le migliori pratiche che possono essere utilizzate per proteggere efficacemente le informazioni importanti.
  • Gestione dei record di dati: l'ISO richiede la registrazione dei processi di sicurezza, delle procedure e dei documenti di valutazione dei rischi, insieme alla categorizzazione delle risorse informative. Il GDPR insiste sulla registrazione dei processi e sulla categorizzazione dei dati e chiede alle organizzazioni di non conservare le informazioni di identificazione personale (PII) più a lungo del necessario.

Sebbene entrambi gli standard abbiano controlli simili, è nell'interesse delle organizzazioni rispettare le misure stabilite sia dal GDPR che dalla ISO 27001 per raggiungere i rispettivi obiettivi.

Processo di certificazione ISO 27001

Per ottenere l'ambita certificazione ISO 27001, un'organizzazione dovrà dimostrare di aver implementato con successo un ISMS e di aver adottato le misure necessarie per affrontare i rischi.

Il controllo di certificazione ISO 27001 si svolge in due fasi:

Fase 1: questo è il momento in cui un revisore effettua una revisione dell'ISMS documentato e valuta se soddisfa i requisiti indicati nello standard. Le organizzazioni devono produrre una dichiarazione di applicabilità (SoA), che è un requisito vitale per la certificazione. Esso è costituito dai controlli scelti dall'elenco dei 114 controlli di cui all'allegato A, dalla procedura di attuazione di ciascuno di essi e dall'elenco dei controlli omessi e dal motivo per cui sono stati omessi. Si tratta per lo più di un esercizio a tavolino e l'interazione con le persone incaricate di supervisionare l'attuazione dell'ISMS è minima.

Fase 2: l'organizzazione viene sottoposta a verifica per verificare se i processi in atto sono quelli documentati nell'ISMS. I revisori intervistano inoltre i responsabili delle operazioni, esaminano le prove di tutta la documentazione e i controlli attuati per affrontare il rischio. Di solito sono richiesti tre mesi di prova.

Una volta acquisita, la certificazione ISO 27001 è valida per tre anni, dopodiché viene condotta una valutazione per la ricertificazione. Dopo la certificazione, le organizzazioni possono aspettarsi visite di sorveglianza almeno una volta all'anno per assicurarsi che si stiano evolvendo e aggiungendo le ultime misure di sicurezza per rimanere vigili e aggiornate.

Ultimo aggiornamento per ISO 27001 e 27002

La ISO 27002 ha subito modifiche significative nel febbraio 2022. Il più rilevante per le organizzazioni che implementano la ISO 27001 è la diminuzione del numero di controlli elencati nella ISO 27002, da 114 a 93.

Ciò potrebbe portare le organizzazioni certificate ISO 27001 a dover confrontare i precedenti controlli dell'Allegato A con i nuovi controlli del 2022 stabiliti nella ISO 27002 come se si trattasse di un nuovo o diverso insieme di controlli di sicurezza. Questo potrebbe continuare fino alla pubblicazione di una versione aggiornata della ISO 27001, prevista per ottobre 2022.

Conformità alla norma ISO 27001 con Log360

L'implementazione di un ISMS conforme allo standard ISO-27001 implica l'implementazione di rigorose misure di controllo degli accessi per mantenere la riservatezza, l'integrità e la disponibilità dei dati sensibili. Le organizzazioni devono registrare e rivedere regolarmente i registri eventi, proteggerli da accessi non autorizzati e garantire che vengano seguite procedure di accesso sicure.

Log360 di ManageEngine, una soluzione SIEM con ampie funzionalità di gestione dei registri, automatizza la raccolta dei registri in terabyte. Garantisce che i registri raccolti siano archiviati in modo sicuro per l'analisi attraverso il monitoraggio dell'integrità dei file e aiuta le organizzazioni a mantenere le misure di controllo degli accessi attraverso i suoi report di sicurezza pronti all'uso. Questi consentono di tenere traccia dei tentativi di accesso riusciti e non riusciti, dell'attività dell'utente e dell'accesso autorizzato a dispositivi e applicazioni critici. Log360 aiuta anche a tenere traccia delle modifiche apportate ai criteri utente, dominio e controllo che le organizzazioni possono utilizzare per assicurarsi che siano in atto procedure di accesso affidabili. Queste modifiche possono essere monitorate, analizzate e generate come report in tempo reale pronte per controllo, che possono contribuire in modo significativo alle procedure di conformità.

Per saperne di più su come Log360 può aiutarti a rispettare la norma ISO 27001, iscriviti per una prova gratuita di 30 giorni per verificarlo tu stesso o richiedi una demo personalizzata con i nostri esperti di prodotto.

Vuoi dare un'occhiata a una soluzione SIEM?

ISCRIVITI AI CONTENUTI PIÙ RECENTI

Aggiornatemi
Log360 »