ISO27002:2022: I controlli fisici

ISO27002:2022: I controlli fisici

Employee buyout
L’employee buyout (EBO)
20 Aprile 2022
il valore della persona
Il valore della personalità nel mondo del lavoro
27 Aprile 2022
controlli fisici

ISO 27002:2022 è divisa in quattro capitoli che affrontano rispettivamente quattro temi: controlli organizzativi, controlli sulle persone, controlli fisici, controlli tecnologici.

Abbiamo visto in ISO27002:2022: I controlli organizzativi i controlli richiesti per una gestione sicura dell’organizzazione.

Abbiamo visto in ISO27002:2022: I controlli sulle persone i controlli richiesti per una gestione sicura richiesti per una gestione sicura delle risorse umane.

In questo articolo, sintetizziamo la nuova ISO 27002:2022 capitolo 7 – Controlli fisici. Questo capitolo copre i controlli necessari per proteggere le informazioni dalle minacce fisiche. Nella versione precedente, ISO 27002:2013, questi controlli erano principalmente nei capitoli 8 e 11.

Questo è il terzo articolo di una serie di quattro, ogni articolo copre un capitolo:

  • controlli dell’organizzazione (capitolo 5)
  • controlli sulle persone (capitolo 6)
  • controlli fisici (capitolo 7)
  • controlli tecnologici (capitolo 8)

Perimetro di sicurezza fisica (ISO 27002:2022 capitolo 7.1)

Il primo passo quando si protegge uno spazio fisico è definire il suo perimetro. Le aree sensibili o critiche all’interno del perimetro possono poi essere identificate. Il perimetro deve essere sufficientemente sicuro fisicamente per proteggere il contenuto, con allarmi e sistemi di rilevamento delle intrusioni.

Controlli dell’ingresso fisico (ISO 27002:2022 capitolo 7.2)

Solo le persone autorizzate dovrebbero poter accedere agli asset e alle informazioni. Il livello di restrizioni dipende dai requisiti organizzativi. Gli elementi da considerare includono l’identificazione personale e la registrazione di chi accede ai locali. Dovrebbe esistere una procedura per ricevere i visitatori, per stabilire la loro identità, dove possono andare e se devono essere accompagnati. Anche le consegne presentano un rischio, sia perché le aree di consegna devono essere messe in sicurezza, sia per evitare che il personale di consegna entri in aree riservate.

Mettere in sicurezza uffici, stanze e strutture (ISO 27002:2022 capitolo 7.3)

Gli uffici devono essere protetti con chiavi digitali o fisiche. In generale, gli elenchi dettagliati e le mappe non dovrebbero essere apertamente accessibili perché possono evidenziare l’ubicazione di beni sensibili.

Monitoraggio della sicurezza fisica (ISO 27002:2022 capitolo 7.4)

Il monitoraggio può scoraggiare gli intrusi e rilevare le intrusioni. Guardie, telecamere e allarmi controllano l’accesso non autorizzato. Il design di qualsiasi sistema di monitoraggio dovrebbe essere considerato riservato. Sono necessari test regolari per garantire che il sistema funzioni. I sistemi di sorveglianza con telecamera e altri sistemi di monitoraggio che raccolgono informazioni personali o che possono essere usati per tracciare un individuo possono richiedere una attenzione particolare secondo le leggi sulla protezione dei dati. Per esempio, la sorveglianza con telecamera può richiedere una valutazione d’impatto sulla protezione dei dati secondo la legislazione GDPR.

Protezione dalle minacce fisiche e ambientali (ISO 27002:2022 capitolo 7.5)

I disastri naturali o causati dall’uomo e gli attacchi fisici minacciano la sicurezza delle informazioni e la continuità aziendale. Il livello di questi rischi dipende molto dall’ubicazione. Inondazioni, incendi e bombe d’acqua sono i rischi più probabili, ma anche il rischio di terremoti, disordini civili e attacchi terroristici può essere considerato nelle valutazioni del rischio.

Lavorare in ambienti sicuri (ISO 27002:2022 capitolo 7.6)

L’esistenza e lo scopo degli ambienti sicuri dovrebbero essere condivisi solo sulla base della necessità. Devono essere tenuti chiusi a chiave, con accesso limitato alle persone autorizzate. In generale, il lavoro solitario dovrebbe essere scoraggiato, sia per la sicurezza che per la protezione.

Scrivania sgombra e schermo sgombro (ISO 27002:2022 capitolo 7.7)

Le informazioni sensibili lasciate su scrivanie, schermi, stampanti e lavagne possono essere accessibili a chiunque. Una politica di base include nessun documento stampato lasciato incustodito, sia nelle postazioni di lavoro che nelle stampanti (clear desk) e schermi dei dispositivi bloccati (clear screen). Politiche più dettagliate possono essere richieste per le informazioni sensibili, per esempio che le informazioni non possono essere visualizzate su uno schermo in un ambiente aperto.

Posizionamento e protezione delle attrezzature (ISO 27002:2022 capitolo 7.8)

Un’attenta collocazione delle apparecchiature può ridurre al minimo una serie di rischi: non solo l’accesso non autorizzato, ma anche i rischi dovuti a fattori ambientali, cibo e bevande rovesciate, vandalismo e degrado dovuto alla luce o all’umidità. La protezione richiesta dipenderà dalla sensibilità dell’attrezzatura.

Sicurezza dei beni fuori sede (ISO 27002:2022 capitolo 7.9)

I dispositivi, compresi quelli privati (bring-your-own-devices), hanno ancora bisogno di protezione quando lasciano i locali. Le basi includono un’adeguata protezione fisica come le coperture e la prevenzione dei furti non lasciando i dispositivi incustoditi. L’organizzazione dovrebbe essere consapevole di quali dispositivi vengono utilizzati fuori sede, da chi, e a quali informazioni si accede o si utilizza quando sono fuori sede.

Mezzi di archiviazione (ISO 27002:2022 capitolo 7.10)

Le informazioni memorizzate in qualsiasi formato di media comportano il rischio di accesso non autorizzato e la perdita di integrità delle informazioni attraverso la modifica o il degrado, la perdita, la distruzione o la rimozione. I media dovrebbero quindi essere conservati in modo sicuro ed eventualmente distrutti in modo sicuro. Le politiche che governano la gestione dei supporti rimovibili dovrebbero coprire quali informazioni

possono essere memorizzate su supporti rimovibili, la registrazione e la tracciabilità di tali supporti, come dovrebbero essere conservati in modo sicuro per prevenire l’accesso non autorizzato o il degrado, e come dovrebbero essere trasportati. Quando la conservazione non è più necessaria, è necessaria una distruzione sicura. Questa può essere eseguita da una parte esterna.

Servizi di supporto (ISO 27002:2022 capitolo 7.11)

Le interruzioni di corrente possono compromettere immediatamente le attività di un’azienda. Meno ovviamente, le telecomunicazioni e l’aria condizionata interromperanno le attività digitali, e i guasti alle forniture di gas, fognature o acqua impediranno ai dipendenti di lavorare in loco. I sistemi di ispezione e di allarme possono identificare guasti reali o potenziali. I piani di continuità dovrebbero identificare le opzioni di back-up e i dettagli dei contatti di emergenza per i fornitori di servizi.

Sicurezza del cablaggio (ISO 27002:2022 capitolo 7.12)

Le informazioni e i dati vengono trasferiti tramite cavi, mentre i computer, i sistemi di sicurezza e i controlli ambientali richiedono tutti energia, fornita dal cablaggio. I primi possono essere intercettati e le interruzioni di entrambi possono compromettere la sicurezza delle informazioni e la continuità del business. Il grado di sicurezza richiesto dipende dall’organizzazione, e in molti casi sarà gestito da fornitori di strutture edilizie o da società di telecomunicazioni e servizi. Le protezioni di base includono l’uso di condotti di cablaggio o coperture per il pavimento dei cavi per evitare danni, e l’accesso bloccato ai punti di accesso e di entrata delle utenze.

Manutenzione delle apparecchiature (ISO 27002:2022 capitolo 7.13)

La manutenzione dell’attrezzatura introduce due considerazioni sulla sicurezza delle informazioni: un’attrezzatura sottoposta a scarsa manutenzione rischia la perdita di informazioni, mentre l’assistenza o la manutenzione dell’attrezzatura può esporre le informazioni a parti esterne o non autorizzate. È meno probabile che un’apparecchiatura sottoposta a regolare manutenzione e aggiornamento richieda riparazioni più rischiose o porti a interruzioni. Quando le riparazioni sono necessarie, bisogna prestare attenzione nella scelta dei fornitori di servizi e nel controllo del loro lavoro.

Smaltimento sicuro o riutilizzo delle apparecchiature (ISO 27002:2022 capitolo 7.14)

Le attrezzature che non sono più in uso possono avere ancora installato software su licenza o memorizzato dati sensibili. Questo vale anche per le apparecchiature che necessitano di riparazioni, e dovrebbe essere una considerazione quando si decide se utilizzare servizi di riparazione esterni. Le funzioni di cancellazione standard potrebbero non essere adeguate per rimuovere le informazioni sensibili. Invece, i metodi di distruzione, cancellazione o sovrascrittura specializzati riducono il rischio che le informazioni residue rimangano sui supporti di memorizzazione.

 

Bibliografia:

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

EnglishFrenchGermanItalianRussianSpanish