ISO 27002:2022: I controlli organizzativ

ISO 27002:2022: I controlli organizzativi

Il leveraged buyout (LBO): I metodi di finanziamento
23 Febbraio 2022
Siamo pronti per The four-days week?
2 Marzo 2022
at
Categories
Tags

Lo standard di gestione della sicurezza delle informazioni ISO 27001 e il suo codice di pratica ISO 27002 sono stati aggiornati l’ultima volta quasi un decennio fa.

Mentre la prima dettaglia come un ISMS (Information Security Management System) ben funzionante dovrebbe essere impostato e mantenuto, la seconda entra nel dettaglio dei controlli di sicurezza dell’appendice ISO 27001.

L’attuale versione di ISO 27001 è stata rilasciata nel 2013, ed è quindi comunemente indicata come ISO 27001:2013 con l’accompagnamento di ISO 27002:2013.

Una nuova iterazione di ISO 27002 è stata pubblicata nel febbraio 2022, e una versione rivista di ISO 27001 dovrebbe essere pubblicata entro ottobre 2022.

Lo standard stesso è significativamente più lungo della versione precedente, e i controlli stessi sono stati riordinati e aggiornati. Alcuni controlli sono stati fusi o rimossi, e alcuni sono stati aggiunti.

ISO 27002:2022 è divisa in quattro capitoli e già questo è in netta discontinuità con la ISO 27002:2013, che comprende quattordici capitoli, ma questi controlli sono raggruppati in 4 temi piuttosto che in 14 clausole.

Essi sono:

  •  Persone (8 controlli)
  • Organizzativo (37 controlli)
  • Tecnologico (34 controlli)
  • Fisico (14 controlli)

I controlli completamente nuovi sono:

  • Informazioni sulle minacce
  • Sicurezza delle informazioni per l’uso dei servizi cloud
  • Predisposizione ICT per la continuità del business
  • Monitoraggio della sicurezza fisica
  • Gestione della configurazione
  • Cancellazione delle informazioni
  • Mascheramento dei dati
  • Prevenzione della fuga di dati
  • Attività di monitoraggio
  • Filtraggio web
  • Codifica sicura

I controlli ora hanno anche cinque tipi di attributi per renderli più facili da classificare:

  • Tipo di controllo (preventivo, investigativo, correttivo)
  • Proprietà di sicurezza delle informazioni (riservatezza, integrità, disponibilità)
  • Concetti di sicurezza informatica (identificare, proteggere, rilevare, rispondere, recuperare)
  • Capacità operative (governance, gestione delle risorse, ecc.)
  • Domini di sicurezza (governance ed ecosistema, protezione, difesa, resilienza)

In questo e nei successivi articoli, riassumeremo il set aggiornato delle 93 misure di controllo della sicurezza ivi descritte.

Non tutte le misure di controllo di esempio dettagliate in ISO 27002 sono rilevanti per ogni organizzazione ma, quando lo sono, devono essere poste in atto affinché la vostra organizzazione sia conforme a ISO 27001.

Descriveremo la nuova ISO 27002:2022 in quattro appuntamenti:

  • Controlli organizzativi (capitolo 5)
  • Controlli sulle persone (capitolo 6)
  • Controlli fisici (capitolo 7)
  • Controlli tecnologici (capitolo 8)

In questo articolo, sintetizziamo la nuova ISO 27002:2022 capitolo 5 – Controlli organizzativi. Questo capitolo copre i controlli richiesti per una gestione sicura dell’organizzazione.

Politiche per la sicurezza delle informazioni (ISO 27002:2022 capitolo 5.1)

È necessario creare un documento che descriva come l’organizzazione gestisce gli obiettivi di sicurezza delle informazioni. Questo documento deve essere approvato dalla direzione e deve contenere politiche sia di alto che di basso livello. Una volta che le politiche sono in atto, devono essere riviste regolarmente. L’approccio migliore è quello di fissare una riunione regolare e pianificare una riunione extra quando la situazione lo richiede. Se si fanno dei cambiamenti, la direzione deve dare la sua approvazione. Le politiche dovrebbero essere condivise con gli stakeholder interni ed esterni.

Ruoli e responsabilità della sicurezza delle informazioni (ISO 27002:2022 capitolo 5.2)

La politica della sicurezza delle informazioni deve definire chi è responsabile di quale asset, processo o attività a rischio per la sicurezza delle informazioni. È importante che l’assegnazione sia fatta chiaramente e per tutti gli incarichi. Assicuratevi che i ruoli e le responsabilità siano adatti alla vostra organizzazione. Un piccolo team di poche persone probabilmente non ha bisogno di un responsabile della sicurezza a tempo pieno.

Segregazione dei compiti (ISO 27002:2022 capitolo 5.3)

Per prevenire qualsiasi uso improprio dei beni aziendali, il potere di controllare completamente un’attività sensibile non dovrebbe risiedere nella stessa persona. Il modo migliore per implementare la segregazione dei compiti è registrare tutte le attività e dividere i compiti importanti in “fare e controllare” o “approvare e avviare”. Questo previene le frodi e gli errori, ad esempio nel caso in cui una sola persona crei e firmi tutti gli assegni aziendali.

Responsabilità della direzione (ISO 27002:2022 capitolo 5.4)

La direzione deve assicurarsi che tutti gli impiegati e gli appaltatori siano a conoscenza della politica di sicurezza delle informazioni dell’organizzazione e la seguano. Dovrebbero dare l’esempio e mostrare che la sicurezza delle informazioni è utile e necessaria.

Contatto con le autorità (ISO 27002:2022 capitolo 5.5)

Dovrebbe essere chiaro chi è responsabile di contattare le autorità (ad esempio le forze dell’ordine, gli enti normativi o le autorità di controllo), quali autorità dovrebbero essere contattate (ad esempio quale regione o nazione) e in quali casi ciò deve avvenire. Una risposta rapida e adeguata agli incidenti può ridurre notevolmente l’impatto, ma può anche essere obbligatoria per legge.

Contatto con gruppi di interesse speciali (ISO 27002:2022 capitolo 5.6)

Per assicurarsi che le ultime tendenze della sicurezza delle informazioni e le migliori pratiche siano tenute aggiornate, il personale con compiti ISMS dovrebbe mantenere buoni contatti con gruppi di interesse speciali. A tali gruppi si può chiedere il parere di esperti in certi casi, ed essere una grande fonte per migliorare le proprie conoscenze.

Informazioni sulle minacce (ISO 27002:2022 capitolo 5.7)

Reagire alle minacce fa poco per prevenire il loro primo verificarsi. Raccogliendo e analizzando le informazioni sulle minacce alla vostra organizzazione, avrete un’idea migliore di quali meccanismi di protezione devono essere messi in atto per proteggervi dalle minacce che sono rilevanti per la vostra organizzazione. I produttori di chip per computer devono prepararsi ad attacchi mirati di furto di IP da parte di attori statali, ma per un piccolo fornitore di SaaS, le e-mail di phishing automatizzato sono una minaccia maggiore.

Sicurezza delle informazioni nella gestione dei progetti (ISO 27002:2022 capitolo 5.8)

Per assicurare il successo dell’implementazione dell’ISMS in tutta l’organizzazione, la sicurezza delle informazioni dovrebbe essere considerata e documentata in tutti i progetti sotto forma di requisiti. Questi requisiti possono derivare dal business, dalla legge e dalla conformità ad altri standard o regolamenti. Se avete manuali o modelli di gestione del progetto, dovrebbe essere incluso un capitolo sulla sicurezza delle informazioni.

Inventario delle informazioni e delle altre risorse associate (ISO 27002:2022 capitolo 5.9)

L’organizzazione dovrebbe avere identificato tutti gli asset informatici e di elaborazione delle informazioni. Tutti gli asset devono essere redatti in un inventario, che deve essere adeguatamente mantenuto. Sapere quali sono gli asset, la loro importanza, dove si trovano e come vengono gestiti è essenziale per identificare e prevedere i rischi. Ciò potrebbe anche essere obbligatorio per obblighi legali o assicurativi.

Tutti i beni nell’inventario, quindi di tutta l’azienda se l’inventario è completo, devono avere un proprietario. Grazie alla proprietà degli asset, gli asset sono sorvegliati e curati durante tutto il loro ciclo di vita. Beni simili possono essere raggruppati e la supervisione quotidiana di un bene può essere lasciata a un custode, ma il proprietario rimane responsabile. La proprietà degli asset deve essere approvata dalla direzione.

Uso accettabile delle informazioni e di altri asset associati (ISO 27002:2022 capitolo 5.10)

Ci devono essere regole ben documentate per l’accesso al patrimonio informativo. Gli utenti degli asset devono essere consapevoli dei requisiti di sicurezza dell’informazione relativi all’uso degli asset e seguirli.

Anche per la gestione degli asset devono esistere delle procedure. Il personale deve comprendere l’etichettatura degli asset e sapere come gestire i diversi livelli di classificazione. Poiché non esiste uno standard universale per la classificazione, è anche importante conoscere i livelli di classificazione di altre parti, poiché molto probabilmente saranno diversi dai vostri.

Restituzione dei beni (ISO 27002:2022 capitolo 5.11)

Quando un dipendente o un esterno all’organizzazione non può più accedere ad un bene a causa, per esempio, della fine dell’impiego o di un accordo, deve restituire il bene all’organizzazione. Ci dovrebbe essere una politica chiara per questo, che deve essere conosciuta da tutte le persone coinvolte. I beni non tangibili importanti per le operazioni correnti, come la conoscenza specifica che non è ancora documentata, dovrebbero essere documentati e restituiti come tali.

Classificazione delle informazioni (ISO 27002:2022 capitolo 5.12)

Alcune informazioni sono considerate sensibili a causa, per esempio, del valore monetario o legale, e devono rimanere confidenziali, mentre altre informazioni sono meno cruciali. L’organizzazione dovrebbe avere una politica in atto su come gestire le informazioni classificate. La responsabilità di classificare il patrimonio informativo è del suo proprietario. Per distinguere l’importanza dei diversi asset classificati, può essere utile implementare diversi livelli di riservatezza, da inesistente a gravemente impattante per la sopravvivenza dell’organizzazione.

Etichettatura delle informazioni (ISO 27002:2022 capitolo 5.13)

Non tutte le informazioni rientrano nella stessa categoria, come visto in 5.12. È quindi importante etichettare tutte le informazioni in base alla loro classificazione. Quando le informazioni vengono gestite, immagazzinate o scambiate, può essere vitale conoscere la classificazione dell’oggetto. Purtroppo, questo può essere utile a persone malintenzionate. È importante essere consapevoli di questo rischio.

Trasferimento di informazioni (ISO 27002:2022 capitolo 5.14)

Le informazioni sono condivise all’interno e all’esterno dell’organizzazione. Ci dovrebbe essere un protocollo per tutti i tipi di condivisione delle informazioni, compresi i documenti digitali, i documenti fisici, i video, ma anche il passaparola. Regole chiare su come le informazioni possono essere condivise in modo sicuro aiutano a ridurre il rischio di contaminazione e fuga di informazioni.

Le informazioni che vengono condivise tra l’organizzazione e le parti esterne devono essere precedute da un accordo di trasferimento delle informazioni. In questo modo, la fonte, il contenuto, la riservatezza, il mezzo di trasferimento e la destinazione del trasferimento di informazioni sono noti e concordati da entrambe le parti.

La comunicazione aziendale avviene spesso per mezzo della messaggistica elettronica. Si consiglia alle organizzazioni di avere una panoramica dei tipi approvati di messaggistica elettronica e di documentare come questi sono protetti e possono essere utilizzati.

Controllo dell’accesso (ISO 27002:2022 capitolo 5.15)

Dovrebbe essere in atto una politica di controllo degli accessi per definire come viene gestito l’accesso e chi è autorizzato ad accedere a cosa. Le regole per ogni asset appartengono ai proprietari degli asset, che stabiliscono requisiti, restrizioni e diritti per l’accesso al loro asset.

I termini frequentemente usati in una politica di controllo degli accessi sono need-to-know e need-to-use, dove il primo limita i diritti di accesso solo alle informazioni di cui un dipendente ha bisogno per eseguire il

suo compito e il secondo limita i diritti di accesso solo alle strutture di elaborazione delle informazioni necessarie per eseguire il compito.

Gestione delle identità (ISO 27002:2022 capitolo 5.16)

Per assegnare i diritti di accesso alle risorse e alle reti e tenere traccia di chi effettivamente vi accede, gli utenti devono essere registrati con un ID. Quando un dipendente lascia un’organizzazione, l’ID e l’accesso dovrebbero essere rimossi. Quando per un dipendente vi è solo il bisogno di segregare l’accesso, l’accesso dell’ID può essere limitato.

Anche se usare l’ID di un altro dipendente potrebbe essere più facile e veloce per accedere a qualcosa, questo non dovrebbe essere permesso dalla direzione. Condividere gli ID rimuove il legame tra una limitazione di accesso e un dipendente e rende quasi impossibile mantenere la persona responsabile delle sue azioni. Assegnare, modificare e infine cancellare un’identità è spesso chiamato ciclo di vita dell’identità.

Informazioni di autenticazione (ISO 27002:2022 capitolo 5.17)

L’autenticazione segreta, come le password e le carte di accesso, deve essere gestita in un processo formale. Altre attività importanti che dovrebbero essere dichiarate nella politica sono, per esempio, proibire agli utenti di condividere le informazioni segrete di autenticazione, dare ai nuovi utenti una password che deve essere cambiata al primo utilizzo e avere tutti i sistemi che autenticano un utente richiedendo le informazioni segrete di autenticazione di un utente (password sul PC, strisciando la carta di accesso per le porte).

Se si usano sistemi di gestione delle password, essi devono fornire buone password e seguire rigorosamente la politica delle informazioni segrete di autenticazione dell’organizzazione. Le password stesse dovrebbero essere memorizzate e trasmesse in modo sicuro dal sistema di gestione delle password.

Diritti di accesso (ISO 27002:2022 capitolo 5.18)

La direzione dovrebbe dotarsi di un sistema per la fornitura e la revoca dei diritti di accesso. Si consiglia di creare alcuni ruoli in base alle attività che certi tipi di dipendenti svolgono, e di dare loro gli stessi diritti di accesso di base. Gli impiegati non hanno bisogno di provare ad accedere a luoghi cui non dovrebbero poter accedere, dato che i diritti di accesso possono essere facilmente richiesti al proprietario del bene e/o alla direzione.

Le organizzazioni e i loro dipendenti non sono statici. I ruoli cambiano o i dipendenti lasciano l’azienda, cambiando costantemente le esigenze di accesso. I proprietari degli asset dovrebbero rivedere regolarmente chi può accedere ai loro asset, mentre il cambio di ruolo o l’abbandono dovrebbero far scattare una revisione dei diritti di accesso da parte della direzione. Poiché i diritti di accesso privilegiati sono più sensibili, dovrebbero essere rivisti più spesso. Una volta che un contratto o un accordo è terminato, i diritti di accesso della parte ricevente dovrebbero essere rimossi.

Sicurezza delle informazioni nelle relazioni con i fornitori (ISO 27002:2022 capitolo 5.19)

Poiché i fornitori hanno accesso a determinate risorse, le organizzazioni devono stabilire una politica che stabilisca i requisiti per la mitigazione del rischio. Questa politica deve essere comunicata ai fornitori e concordata. Esempi di tali requisiti sono processi logistici predeterminati, obblighi di processo di incidenti per entrambe le parti, NDA e documentazione del processo di fornitura.

Affrontare la sicurezza delle informazioni negli accordi con i fornitori (ISO 27002:2022 capitolo 5.20)

Ogni fornitore che, in qualsiasi modo, direttamente o indirettamente, entra in contatto con le informazioni dell’organizzazione deve seguire i requisiti di sicurezza delle informazioni stabiliti e accettarli. Esempi sono i

requisiti sulla classificazione delle informazioni, l’uso accettabile e i diritti di audit. Un aspetto facilmente dimenticato di un accordo è cosa fare quando il fornitore non può o non vuole più fornire queste informazioni. È importante implementare una clausola per questo.

Gestire la sicurezza delle informazioni nella catena di fornitura ICT (ISO 27002:2022 capitolo 5.21)

Gli accordi con i fornitori, oltre a quanto visto al punto precedente, dovrebbero anche dichiarare i requisiti di sicurezza delle informazioni e gli accordi sui servizi ICT e sulla catena di fornitura. Esempi di requisiti inclusi sono la necessità di essere in grado di seguire gli articoli attraverso la catena di fornitura, e che un certo livello minimo di sicurezza sia mantenuto ad ogni livello della catena.

Monitoraggio, revisione e gestione dei cambiamenti dei servizi dei fornitori (ISO 27002:2022 capitolo 5.22)

Tutti commettono errori, e lo stesso vale per i fornitori. Che l’errore sia avvenuto per caso o deliberatamente, il risultato è lo stesso: l’organizzazione non riceve esattamente ciò che è stato concordato e la fiducia nei suoi confronti può diminuire. Per questo motivo, le organizzazioni dovrebbero monitorare i fornitori e controllarli quando lo ritengono necessario. In questo modo, un’organizzazione è consapevole quando un fornitore fa qualcosa fuori dall’ordinario.

Proprio come con i cambiamenti di sistema, si deve controllare qualsiasi cambiamento nei servizi dei fornitori. È necessario assicurarsi che le politiche di sicurezza delle informazioni siano aggiornate e che qualsiasi cambiamento nella fornitura del servizio stesso sia gestito. Un piccolo cambiamento nel servizio fornito combinato con una politica di sicurezza delle informazioni non aggiornata potrebbe risultare un grande rischio. I cambiamenti dal lato del fornitore possono verificarsi facilmente, per esempio quando il servizio viene migliorato, viene fornita una nuova app o un nuovo sistema, o cambiano le politiche e le procedure del fornitore.

Sicurezza delle informazioni per l’uso dei servizi cloud (ISO 27002:2022 capitolo 5.23)

I fornitori di cloud offrono un servizio che, quando è in uso, costituisce una parte vitale dell’infrastruttura di un’organizzazione. I documenti di Office sono memorizzati nel cloud, ma molti fornitori SaaS offrono il loro prodotto ai loro clienti tramite un fornitore di cloud come Amazon AWS, Microsoft Azure o Google Cloud.

I rischi che circondano questa parte critica dell’organizzazione dovrebbero essere adeguatamente mitigati. Le organizzazioni dovrebbero avere processi per l’utilizzo, la gestione e l’abbandono (strategia di uscita) di un cloud utilizzato. Rompere i legami con un fornitore di cloud spesso significa che un nuovo fornitore di cloud è all’orizzonte, quindi anche il controllo dell’acquisto e dell’onboarding su un nuovo cloud non dovrebbe essere dimenticato. Proprio come qualsiasi altro software di terze parti, un nuovo ambiente cloud dovrebbe consentire di mantenere il livello desiderato di sicurezza delle informazioni, non di comprometterlo.

Pianificazione e preparazione della gestione degli incidenti di sicurezza delle informazioni (ISO 27002:2022 capitolo 5.24)

Le organizzazioni devono creare e documentare le procedure in merito agli incidenti di sicurezza delle informazioni, e chi è responsabile di cosa. In questo modo, se si verifica un incidente di sicurezza delle informazioni, può essere gestito in modo efficace e rapido. Gli incidenti di sicurezza accadono inaspettatamente e possono causare un certo caos, che può essere mitigato dall’avere un protocollo che viene seguito da personale competente e addestrato.

Valutazione e decisione sugli eventi di sicurezza delle informazioni (ISO 27002:2022 capitolo 5.25)

Le organizzazioni dovrebbero avere un metodo di valutazione ben documentato in merito agli incidenti di sicurezza. Quando si verifica un evento sospetto, la persona responsabile deve verificare l’evento rispetto ai requisiti e determinare se c’è stato un effettivo incidente di sicurezza delle informazioni. I risultati di questa valutazione dovrebbero essere documentati, in modo che possano essere usati per riferimenti futuri.

Risposta agli incidenti di sicurezza delle informazioni (ISO 27002:2022 capitolo 5.26)

Questo punto sembra scontato, ma è comunque importante da menzionare e a volte difficile da attuare nella pratica. Una volta che si verifica un incidente di sicurezza delle informazioni, è necessario rispondere seguendo le procedure stabilite dal personale incaricato. Le azioni predeterminate dovrebbero essere intraprese e l’intero processo accuratamente documentato. Questo aiuta a prevenire eventi futuri e ad eliminare le vulnerabilità di sicurezza correlate.

Imparare dagli incidenti di sicurezza delle informazioni (ISO 27002:2022 capitolo 5.27)

Anche se gli incidenti sono indesiderati, hanno comunque un grande valore. La conoscenza acquisita dalla risoluzione di un incidente dovrebbe essere usata per prevenire incidenti simili in futuro e può aiutare a identificare un possibile problema sistematico. Con i controlli aggiuntivi, è importante tenere d’occhio i costi. Un nuovo controllo non dovrebbe costare all’organizzazione più degli incidenti che attenua su base annuale.

Raccolta delle prove (ISO 27002:2022 capitolo 5.28)

Quando si verifica un incidente, la causa di solito non è immediatamente chiara. Quando la causa è un individuo o un’organizzazione, gli incidenti dovrebbero essere disciplinati in base all’intenzione e all’effetto. Per collegare un incidente a una causa, è necessario raccogliere delle prove. Nel caso di un’azione dolosa, queste prove e il modo in cui sono state ottenute potrebbero essere usate in procedimenti legali. Per prevenire la distruzione accidentale o deliberata delle prove, ci dovrebbe essere una procedura di identificazione delle prove chiara e sicura.

Sicurezza delle informazioni durante le interruzioni (ISO 27002:2022 capitolo 5.29)

Le organizzazioni dovrebbero determinare i loro requisiti per la continuità della sicurezza delle informazioni in caso di crisi. La scelta più semplice è quella di riprendere le attività standard di sicurezza delle informazioni nel miglior modo possibile in una situazione avversa. Una volta che i requisiti sono stati determinati e concordati nella gestione, si dovrebbero mettere in atto procedure, piani e controlli per riprendere con un livello accettabile di sicurezza delle informazioni in caso di crisi.

Man mano che le organizzazioni cambiano, cambia anche il modo migliore per rispondere ad una crisi. Un’organizzazione che, per esempio, ha raddoppiato le sue dimensioni nel giro di un anno, molto probabilmente beneficerà di una risposta diversa da quella di un anno fa. Per questo motivo, i controlli di continuità della sicurezza delle informazioni vanno operati su base regolare.

Prontezza dell’ICT per la continuità del business (ISO 27002:2022 capitolo 5.30)

Durante la pianificazione della Business Continuity, un’attenzione speciale dovrebbe essere posta sugli scenari in cui i sistemi IT falliscono. Ci dovrebbe essere una chiara strategia su come i sistemi saranno ripristinati, chi lo farà, e quanto tempo questo può richiedere. Dovrebbe anche essere chiaro cosa significa ripristinare in uno scenario specifico, dal momento che avere solo i sistemi di base funzionanti è probabilmente sufficiente per la prima settimana dopo un crash impattante.

Identificazione dei requisiti legali, statutari, normativi e contrattuali (ISO 27002:2022 capitolo 5.31)

I requisiti vengono da tutte le parti, e sono lì per essere soddisfatti. Le organizzazioni dovrebbero quindi avere una visione d’insieme di tutti i requisiti relativi alla sicurezza delle informazioni a cui devono conformarsi, e come questo viene fatto. Poiché i requisiti possono cambiare o essere aggiunti, la conformità ai requisiti deve essere tenuta aggiornata. Un esempio di requisiti che cambiano è quando la vostra organizzazione si espande in un nuovo paese in un continente diverso. È probabile che questo paese abbia leggi diverse sulla privacy, sulla conservazione delle informazioni e sulla crittografia.

Diritti di proprietà intellettuale (ISO 27002:2022 capitolo 5.32)

I diritti di proprietà intellettuale (IP), anch’essi parte della conformità legale, sono un’area che merita particolare attenzione. La proprietà intellettuale può avere un grande valore, quindi è importante documentare bene la propria proprietà intellettuale e l’uso della proprietà intellettuale di altri. L’uso (accidentale) sbagliato della proprietà intellettuale altrui può portare a grosse cause legali, e dovrebbe essere evitato a tutti i costi.

Protezione delle registrazioni (ISO 27002:2022 capitolo 5.33)

Tutti i registri, che siano registri contabili o registri di controllo, dovrebbero essere protetti. Le registrazioni sono a rischio di essere perse, compromesse, o di avere un accesso non autorizzato. I requisiti per la protezione delle registrazioni possono provenire dall’organizzazione stessa o da altre fonti come la legislazione o le compagnie di assicurazione. Per questo, dovrebbero essere create e seguite severe linee guida.

Privacy e protezione delle informazioni personali (ISO 27002:2022 capitolo 5.34)

A seconda del paese o dello spazio economico in cui si trova un’organizzazione, potrebbero essere applicate diverse legislazioni sulla protezione dei dati personali. Alle organizzazioni situate nell’UE e/o che elaborano i dati personali dei cittadini dell’UE, si applica il regolamento generale sulla protezione dei dati (GDPR). Le organizzazioni devono assicurarsi di essere consapevoli dei requisiti stabiliti da tale legislazione e seguirla religiosamente. Il GDPR, per esempio, obbliga a condurre accordi di trattamento dei dati, a tenere un registro delle attività di trattamento e la trasparenza del trattamento dei dati.

Revisione indipendente della sicurezza delle informazioni (ISO 27002:2022 capitolo 5.35)

È impossibile per le organizzazioni rivedere obiettivamente il proprio sistema di sicurezza delle informazioni. Per questo motivo, le organizzazioni dovrebbero far verificare la loro sicurezza delle informazioni da una parte indipendente su base regolare, o quando avvengono grandi cambiamenti.

Questo mantiene la visione di un’organizzazione sulla propria sicurezza delle informazioni corretta e trasparente. Una parte indipendente può anche essere un revisore interno a tempo pieno, che ha il solo compito di eseguire gli audit interni e non ha altri compiti e responsabilità contrastanti.

Conformità con le politiche e gli standard di sicurezza delle informazioni (ISO 27002:2022 capitolo 5.36)

Data la moltitudine di politiche, standard e procedure di sicurezza, è importante che i manager controllino regolarmente se le attività e/o i processi di cui sono responsabili sono pienamente conformi. Affinché questo sia fatto correttamente, dovrebbero essere consapevoli di quali regole e requisiti devono rispettare esattamente e controllarli manualmente o con uno strumento di reporting automatico.

Anche i sistemi informativi devono essere rivisti regolarmente in ottica di conformità. Il modo più semplice e di solito più conveniente per farlo è per mezzo di strumenti automatici. Questi strumenti possono controllare rapidamente tutti i dettagli di un sistema e riferire esattamente cosa è andato/potrebbe andare storto. I test

di vulnerabilità come i test di penetrazione possono efficacemente mostrare qualsiasi debolezza, ma potrebbero effettivamente danneggiare il sistema o il business se fatti senza cautela.

Procedure operative documentate (ISO 27002:2022 capitolo 5.37)

Le procedure per il funzionamento delle attrezzature dovrebbero essere documentate e messe a disposizione di chi le usa. Dalla semplice procedura di utilizzo del computer (dall’avvio allo spegnimento) all’utilizzo di attrezzature più complicate dovrebbero prevedere una guida su come operare in modo sicuro e corretto. Data la loro importanza, le procedure dovrebbero essere trattate come documenti formali, il che significa che qualsiasi cambiamento dovrebbe essere approvato dalla direzione.

 

Bibliografia:

  • https://www.iso.org/standard/75652.html
Condividi su:
David Licursi
David Licursi

Related posts

20 Novembre 2024

Smart Road come processo di Digital Transformation

Read more
13 Novembre 2024

Cyber Security e impianti industriali

Read more

Excavator working at the road construction illustration

4 Ottobre 2023

Banda Ultralarga: Scavo tradizionale

Read more

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

EnglishFrenchGermanItalianRussianSpanish