ISO27002:2022: I controlli tecnologici

ISO27002:2022: I controlli tecnologici

Un tratto di personalità: attento alle regole
18 Maggio 2022
Investitori
Gli investitori nelle operazioni di leveraged buyout (LBO)
25 Maggio 2022
controlli tecnologici

ISO 27002:2022 è divisa in quattro capitoli che affrontano rispettivamente quattro temi: controlli organizzativi, controlli sulle persone, controlli fisici, controlli tecnologici.  

Abbiamo visto in ISO27002:2022: I controlli organizzativi i controlli richiesti per una gestione sicura dell’organizzazione. 

Abbiamo visto in ISO27002:2022: I controlli sulle persone i controlli richiesti per una gestione sicura richiesti per una gestione sicura delle risorse umane. 

Abbiamo visto in ISO27002:2022: I controlli fisici i controlli necessari per proteggere le informazioni dalle minacce fisiche. 

In questo articolo, sintetizziamo il nuovo capitolo 8 della ISO 27002:2022 – Controlli tecnologici. Questo capitolo copre i controlli necessari per impostare e mantenere sistemi tecnologici sicuri, concentrandosi in particolare su sistemi sicuri, sviluppo e gestione del codice. Nella versione precedente, ISO 27002:2013, questi controlli erano principalmente nei capitoli 9-14. 

Questo è l’ultimo articolo di una serie di quattro, ogni articolo copre un capitolo: 

  • controlli dell’organizzazione (capitolo 5) 
  • controlli sulle persone (capitolo 6) 
  • controlli fisici (capitolo 7) 
  • controlli tecnologici (capitolo 8) – Questo articolo 

Dispositivi endpoint utente (ISO 27002:2022 capitolo 8.1)

I dispositivi endpoint dell’utente sono tutti i dispositivi da cui è possibile accedere alle informazioni, elaborarle o salvarle. Includono computer portatili, smartphone e PC. Una politica per i dispositivi endpoint dell’utente dovrebbe includere la registrazione, la protezione fisica, con password e crittografica, e l’uso responsabile. L’uso responsabile include il controllo di chi ha accesso al dispositivo, l’installazione di software, l’aggiornamento regolare del sistema operativo e il backup del dispositivo. Un’organizzazione può richiedere una politica specifica per il bring-your-own-device per prevenire controversie e i rischi di sicurezza delle informazioni associati. 

Diritti di accesso privilegiato (ISO 27002:2022 capitolo 8.2)

L’assegnazione di diritti di accesso privilegiati o amministrativi a utenti, componenti software e sistemi dovrebbe essere fatta caso per caso e solo se necessario. Questo significa che ci deve essere una politica in atto che determini quando i diritti di accesso possono essere concessi e quando dovrebbero scadere o essere revocati. Quando vengono concessi diritti di accesso privilegiati, l’utente dovrebbe capire a cosa servono e quando dovrebbero essere usati. Il primo elemento è che gli utenti privilegiati dovrebbero sempre essere consapevoli di avere diritti di accesso admin. Questi diritti non dovrebbero essere usati per compiti quotidiani, che dovrebbero sempre essere svolti con account di accesso standard. L’accesso privilegiato dovrebbe essere usato solo quando si svolgono compiti di amministratore. 

Limitazione dell’accesso alle informazioni (ISO 27002:2022 capitolo 8.3)

L’accesso alle informazioni e ad altre risorse dovrebbe essere basato sulla necessità di business, con accesso limitato a particolari utenti. Le informazioni non dovrebbero essere accessibili a utenti anonimi per prevenire accessi non tracciabili e non autorizzati.  Questo è importante per preservare la riservatezza delle informazioni, per monitorare il loro uso e per prevenire la modifica e la distribuzione. 

Accesso al codice sorgente (ISO 27002:2022 capitolo 8.4)

Il codice sorgente deve essere tenuto al sicuro per prevenire modifiche indesiderate e per mantenere il codice riservato. Il ruolo dei dipendenti e le necessità aziendali determinano se hanno accesso in lettura e scrittura. Limitare l’accesso in sola lettura per la maggior parte del personale aiuta a proteggere l’integrità del codice. Per la stessa ragione, gli sviluppatori dovrebbero usare strumenti di sviluppo che controllano le attività, piuttosto che avere accesso diretto al repository del codice sorgente. 

Autenticazione sicura (ISO 27002:2022 capitolo 8.5)

L’autenticazione sicura aiuta a garantire che un utente sia chi dice di essere. La forza di autenticazione richiesta dipende dalla classificazione delle informazioni. Nomi e password forniscono un livello base di autenticazione, che può essere rafforzato utilizzando controlli crittografici o biometrici, smart card o token, o altra forma di autenticazione a più fattori. Le schermate di accesso dovrebbero mostrare il minor numero possibile di informazioni per evitare di fornire aiuto a persone non autorizzate. Tutti i tentativi di accesso dovrebbero essere registrati, sia che abbiano avuto successo o meno, in modo che gli attacchi o l’uso non autorizzato possano essere identificati. 

Gestione delle capacità (ISO 27002:2022 capitolo 8.6)

La gestione della capacità copre tutte le risorse umane, lo spazio degli uffici e altre strutture, non solo l’elaborazione e l’immagazzinamento delle informazioni. Dovrebbero essere presi in considerazione nella pianificazione del business e della sicurezza i requisiti futuri. Il cloud computing spesso permette una gestione flessibile della capacità. Al contrario, le strutture fisiche e il personale possono richiedere una pianificazione più strategica. L’ottimizzazione dell’archiviazione fisica e digitale delle informazioni, la cancellazione dei vecchi dati e l’ottimizzazione dell’elaborazione in batch e delle applicazioni significheranno che la capacità esistente è usata in modo più efficiente. 

Protezione contro il malware (ISO 27002:2022 capitolo 8.7)

Il software di rilevamento del malware (ad esempio l’antivirus) fornisce una certa protezione, ma non è l’unico modo per proteggersi dal malware. La protezione comprende anche la consapevolezza della sicurezza delle informazioni, i controlli di accesso e i controlli di gestione delle modifiche per evitare che il malware venga installato o causi problemi. Come prima linea di difesa, il software di rilevamento del malware deve essere installato e aggiornato regolarmente. Tuttavia, una politica per prevenire l’installazione di software non autorizzato, l’uso di siti web sospetti, il download di file da fonti remote e il rilevamento delle vulnerabilità sono altrettanto importanti. Infine, i rischi per la sicurezza possono essere ridotti pianificando attivamente un attacco malware. Tenersi aggiornati sui nuovi malware, isolare gli ambienti critici e fare piani di continuità aziendale in caso di attacco aiuterà a mantenere la continuità aziendale in caso di attacco. 

Gestione delle vulnerabilità tecniche (ISO 27002:2022 capitolo 8.8)

La gestione delle vulnerabilità tecniche può essere divisa in tre categorie: identificazione, valutazione ed azione. Per identificare le vulnerabilità si devono inventariare gli asset con i dettagli del fornitore, della versione, dello stato di implementazione e del proprietario responsabile. Il fornitore può fornire informazioni sulle vulnerabilità, ma il proprietario dovrebbe identificare ulteriori risorse che monitorano e rilasciano informazioni sulle vulnerabilità e metodi per identificare le vulnerabilità, come il pen-testing. Quando una vulnerabilità è stata identificata, devono essere valutati il rischio e l’urgenza, così come i rischi potenziali di applicare un aggiornamento o una patch. Gli aggiornamenti possono spesso essere utilizzati per agire contro le vulnerabilità, ma non sempre possono risolvere adeguatamente il problema e possono introdurre nuovi problemi. Se non è disponibile alcun aggiornamento o l’aggiornamento è considerato inadeguato, work around, isolamento dalla rete e maggiore monitoraggio possono essere sufficienti a mitigare il rischio. 

Gestione della configurazione (ISO 27002:2022 capitolo 8.9)

Software, hardware, servizi e reti devono essere configurati per funzionare correttamente con le impostazioni di sicurezza considerate necessarie per proteggere l’organizzazione. La configurazione dovrebbe essere basata sulle necessità aziendali e sulle minacce conosciute. Come per tutti i sistemi sicuri, l’accesso privilegiato dovrebbe essere limitato e le funzioni non necessarie disattivate. Le modifiche alla configurazione dovrebbero seguire la procedura di gestione delle modifiche ed essere completamente approvate e documentate. 

Cancellazione delle informazioni (ISO 27002:2022 capitolo 8.10)

Le informazioni non dovrebbero essere conservate più a lungo del necessario per ridurre il rischio di esposizione alla sicurezza delle informazioni, per ottimizzare l’uso delle risorse e per rispettare leggi come il GDPR. Dovrebbe essere utilizzato software approvato per la cancellazione sicura per garantire la cancellazione permanente mentre dovrebbero essere utilizzati fornitori di smaltimento certificati per i supporti fisici. Il metodo di cancellazione utilizzato dai fornitori di servizi cloud dovrebbe essere controllato dall’organizzazione per garantire che sia adeguato. Mantenere una registrazione della cancellazione è utile nel caso di una fuga di dati. 

 Mascheramento dei dati (ISO 27002:2022 capitolo 8.11)

Dovrebbe essere disponibile nei risultati di ricerca solo la quantità minima di dati necessari per un compito. Per ottenere questo ed in coerenza con il GDPR, i dati personali dovrebbero essere mascherati (o resi anonimi o pseudonimizzati) per nascondere l’identità dei soggetti. 

Prevenzione della fuga di dati (ISO 27002:2022 capitolo 8.12)

Il monitoraggio e l’individuazione di tentativi non autorizzati di divulgare o estrarre dati sono fondamentali per la prevenzione. Quando viene rilevato un tale tentativo, possono essere attivate misure come la quarantena delle e-mail o i blocchi di accesso. Dovrebbero essere utilizzati per affrontare i rischi di fuga di dati del personale altri metodi, come le politiche e la formazione sul caricamento, la condivisione o l’accesso ai dati. 

Backup delle informazioni (ISO 27002:2022 capitolo 8.13)

L’organizzazione ha bisogno di una politica specifica sui back-up, che copra metodo, frequenza e test. In sede di elaborazione della politica, l’organizzazione dovrebbe considerare punti come assicurare la completezza dei back-up e dei ripristini, le esigenze aziendali dei back-up, dove e come sono conservati, e come viene testato il sistema di back-up. Il sistema di back-up dovrebbe essere considerato come parte dei piani di continuità aziendale ed essere adeguato a soddisfare i requisiti di continuità. 

Ridondanza delle strutture di elaborazione delle informazioni (ISO 27002:2022 capitolo 8.14)

Qualsiasi organizzazione ha bisogno di un’architettura di sistema che sia sufficiente a soddisfare i requisiti di disponibilità del business. La ridondanza assicura la disponibilità avendo una capacità di riserva in caso di guasto del sistema e, spesso, richiede sistemi duplicati come nel caso dell’energia. Una ridondanza adeguata che può essere attivata quando necessario costituisce una parte importante della pianificazione della continuità aziendale e dovrebbe essere testata regolarmente. 

Registrazione (ISO 27002:2022 capitolo 8.15)

La registrazione registra gli eventi, genera prove, assicura l’integrità delle informazioni di registro, può aiutare a prevenire l’accesso non autorizzato, identifica gli eventi di sicurezza delle informazioni e supporta le indagini. Un piano di registrazione deve identificare quali informazioni devono essere registrate (ad esempio l’ID utente) e può coprire eventi come tentativi di accesso al sistema, modifiche, transazioni o accesso ai file, tra le altre cose. I log devono essere protetti anche da utenti privilegiati in modo che non possano essere cancellati o modificati. I log devono essere monitorati e analizzati per rilevare modelli o incidenti che possono essere incidenti di sicurezza delle informazioni. 

Attività di monitoraggio (ISO 27002:2022 capitolo 8.16)

Lo scopo del monitoraggio è quello di rilevare comportamenti anomali e di identificare potenziali incidenti di sicurezza delle informazioni. Il sistema di monitoraggio potrebbe coprire il traffico di rete, l’accesso al sistema, i log e l’uso delle risorse. Il monitoraggio può aiutare a identificare guasti o colli di bottiglia del sistema, attività associate a malware, accessi non autorizzati, comportamenti insoliti e attacchi come gli attacchi denial of service. 

Sincronizzazione dell’orologio (ISO 27002:2022 capitolo 8.17)

La sincronizzazione dell’orologio è importante per assicurare che la tempistica di un incidente di sicurezza sia registrata in modo affidabile. I sistemi in sede dovrebbero utilizzare un protocollo temporale di rete (NTP) per garantire la sincronizzazione. I fornitori di servizi cloud generalmente gestiscono la tempistica per la registrazione. Tuttavia, gli orologi on-premises potrebbero non essere perfettamente sincronizzati con l’orologio del provider cloud. In questo caso, dovrebbe essere registrata e monitorata la differenza. 

Uso di programmi di utilità privilegiati (ISO 27002:2022 capitolo 8.18)

Un programma di utilità può essere in grado di scavalcare i controlli del sistema e delle applicazioni. L’uso e l’accesso ai programmi di utilità dovrebbe quindi essere strettamente limitato, con identificazione unica dell’utente e registrazione dell’uso. 

Installazione di software su sistemi operativi (ISO 27002:2022 capitolo 8.19)

L’installazione di software può introdurre vulnerabilità nei sistemi operativi. Per ridurre al minimo questo rischio, il software dovrebbe essere installato solo da persone autorizzate. Il software dovrebbe provenire da fonti fidate e ben mantenute o completamente testato se sviluppato internamente. Le versioni precedenti dovrebbero essere conservate e tutti i cambiamenti dovrebbero essere registrati in modo che sia possibile il roll-back se necessario. 

Controlli di rete (ISO 27002:2022 capitolo 8.20)

Le reti devono essere abbastanza sicure da proteggere le informazioni che vi transitano. Per mantenerle sicure, devono essere tenute aggiornate e monitorate, con la possibilità di limitare sia le connessioni ai dispositivi autenticati che il traffico che può passare sulla rete. Un metodo per isolare la rete può essere utile se la rete è sotto attacco. 

Sicurezza dei servizi di rete (ISO 27002:2022 capitolo 8.21)

I servizi di sicurezza di rete coprono tutto, dalla fornitura di una semplice connessione, a servizi complessi come firewall e sistemi di rilevamento delle intrusioni. Il livello di sicurezza richiesto dipenderà dalle necessità aziendali. Identificata la sicurezza richiesta, questa deve essere implementata e monitorata. Ciò è spesso messo in atto da fornitori di servizi di rete terzi. Le procedure di autorizzazione all’accesso e i mezzi di accesso come le VPN dovrebbero essere considerati quando si impostano i servizi di sicurezza della rete.  

Filtraggio del web (ISO 27002:2022 capitolo 8.22)

Non tutti i siti web su internet sono innocui. Alcuni contengono informazioni illegali, altri distribuiscono malware. Bloccare gli indirizzi IP dei siti sospetti può ridurre i rischi. Tuttavia, non tutti i siti dannosi possono essere bloccati, quindi il filtraggio deve essere accompagnato da regole e da una formazione in tema di consapevolezza sull’uso appropriato e responsabile di Internet. 

Segregazione nelle reti (ISO 27002:2022 capitolo 8.23)

Le grandi reti possono essere divise in diversi domini. Questo significa che livelli di sicurezza diversi possono essere applicati a ciascun dominio, con accesso limitato a diverse parti della rete aziendale. Le reti possono essere completamente separate fisicamente o separate digitalmente utilizzando reti logiche. Le reti wireless non hanno confini fisici e devono quindi essere considerate come connessioni esterne fino a quando non viene superato un gateway come una VPN quando si accede a dati sensibili. 

Uso della crittografia (ISO 27002:2022 capitolo 8.24)

L’uso della crittografia deve essere gestito con attenzione, prendendo in considerazione il livello di protezione richiesto, la gestione delle chiavi, la crittografia dei dispositivi endpoint e il modo in cui la crittografia potrebbe avere un impatto sull’ispezione dei contenuti come, ad esempio, la scansione dei malware. La gestione delle chiavi richiede un processo di generazione, memorizzazione, archiviazione, recupero, distribuzione, ritiro e distruzione delle chiavi crittografiche. 

Ciclo di vita dello sviluppo sicuro (ISO 27002:2022 capitolo 8.25) 

Lo sviluppo sicuro copre la costruzione di servizi, architettura, software e sistemi. Un aspetto chiave è la separazione degli ambienti di sviluppo, test (approvazione) e produzione con repository sicuri per il codice sorgente. La sicurezza dovrebbe essere al centro fin dalla fase di redazione delle specifiche e progettazione, con punti di controllo incorporati nel piano del progetto e test pianificati. Gli sviluppatori devono anche essere consapevoli delle linee guida per la codifica sicura ed essere in grado di prevenire, trovare e correggere le vulnerabilità. 

Requisiti di sicurezza dell’applicazione (ISO 27002:2022 capitolo 8.26)

Le organizzazioni devono identificare e specificare i requisiti di sicurezza per le applicazioni, quindi determinarli usando una valutazione dei rischi. I requisiti sono determinati dal livello di classificazione di sicurezza delle informazioni che passano attraverso l’applicazione. I requisiti possono includere controlli di accesso, livello di protezione, crittografia, controlli di input e output, registrazione, gestione dei messaggi di errore, resilienza contro gli attacchi e requisiti legali. La sicurezza richiede particolare considerazione se l’applicazione esegue transazioni di informazioni o ordini e pagamenti. 

Architettura del sistema sicuro e principi di ingegneria (ISO 27002:2022 capitolo 8.27)

I principi architettonici e ingegneristici assicurano che i sistemi siano progettati, implementati e gestiti in modo sicuro durante il loro ciclo di vita di sviluppo. I principi di un sistema sicuro analizzano quali controlli di sicurezza sono necessari e come dovrebbero essere applicati. Dovrebbero essere prese in considerazione anche le buone pratiche, le considerazioni pratiche sul costo e la complessità e il modo in cui le nuove funzionalità possono essere integrate nei sistemi esistenti. 

Codifica sicura (ISO 27002:2022 capitolo 8.28)

Praticare la codifica sicura aiuta a garantire che il codice sia scritto per minimizzare le vulnerabilità. I principi di codifica sicura possono essere usati per promuovere le migliori pratiche e stabilire standard minimi nell’organizzazione. Questi dovrebbero prendere in considerazione le attuali minacce del mondo reale, l’uso di ambienti controllati per lo sviluppo e assicurare la competenza degli sviluppatori. La codifica sicura dovrebbe anche includere la gestione degli aggiornamenti e della manutenzione, in particolare controllando chi è responsabile della manutenzione dei codici da fonti esterne. 

Test di sicurezza nello sviluppo e nell’accettazione (ISO 27002:2022 capitolo 8.29) 

I test di sicurezza dovrebbero essere parte integrante dei test di sviluppo. Ciò include il test della configurazione sicura dei sistemi operativi (per esempio firewall), la codifica sicura e le funzioni di sicurezza (come l’accesso). I test devono essere programmati, documentati e avere criteri per determinare risultati accettabili. 

Sviluppo in outsourcing (ISO 27002:2022 capitolo 8.30)

Quando lo sviluppo viene esternalizzato, i requisiti di sicurezza delle informazioni devono essere comunicati e concordati dallo sviluppatore esternalizzato e monitorati dall’organizzazione di esternalizzazione. Licenze e proprietà intellettuale, test e prove di test, e diritti contrattuali per verificare il processo di sviluppo sono esempi di considerazioni sulla sicurezza che dovrebbero essere concordate tra le parti. 

Separazione degli ambienti di sviluppo, test e produzione (ISO 27002:2022 capitolo 8.31)

Le attività di test e sviluppo possono causare cambiamenti indesiderati o guasti al sistema, che potrebbero compromettere l’ambiente di produzione se questo non è adeguatamente protetto. Il grado di separazione tra test e produzione dipenderà dall’organizzazione, ma gli ambienti devono essere separati e chiaramente etichettati, in modo che test o azioni come la compilazione non possano avere luogo nell’ambiente di produzione. I cambiamenti dovrebbero essere monitorati, con un attento controllo su chi ha accesso a ciascun ambiente. Nessuno dovrebbe avere la possibilità di fare cambiamenti sia all’ambiente di test che a quello di produzione senza una preventiva revisione e approvazione. 

Gestione dei cambiamenti (ISO 27002:2022 capitolo 8.32)

La riservatezza, la disponibilità e l’integrità delle informazioni possono essere tutte compromesse quando si introduce un’infrastruttura o un software o si apportano modifiche importanti a un’infrastruttura esistente. Un processo formale di documentazione, test, controllo qualità e implementazione può ridurre i rischi. La documentazione dei test e la pianificazione delle emergenze sono importanti nel periodo precedente all’implementazione, in particolare per garantire che il nuovo software non abbia un impatto negativo sull’ambiente di produzione. Le guide operative e le procedure potrebbero dover essere modificate dopo che i cambiamenti sono stati fatti. 

Informazioni sui test (ISO 27002:2022 capitolo 8.33) 

Ci sono due considerazioni chiave per le informazioni di test: dovrebbero essere abbastanza vicine alle informazioni operative per garantire che i risultati dei test siano affidabili, ma non dovrebbero contenere alcuna informazione operativa riservata. Se le informazioni sensibili devono essere utilizzate per i test, devono essere protette, modificate o rese anonime prima di essere utilizzate, e devono essere cancellate immediatamente dopo i test. 

Protezione dei sistemi informativi durante l’audit e i test (ISO 27002:2022 capitolo 8.34)

I sistemi operativi non dovrebbero essere indebitamente influenzati da audit o revisioni tecniche. Per evitare disturbi eccessivi, gli audit dovrebbero essere pianificati con tempi e portata concordati. L’accesso in sola lettura impedirà modifiche accidentali ai sistemi durante un audit, e tutti gli accessi dovrebbero essere monitorati. 

 

Bibliografia: 

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

EnglishFrenchGermanItalianRussianSpanish