LEGGIAMO CON ATTENZIONE LA ISO/TEC 27001 DEL 2023 SULLA SICUREZZA DEI DATI

1 – PREMESSA

            Tutti i  dati e le informazioni che le aziende sono costrette ad organizzare, utilizzare e, in casi specifici, a  proteggere rappresentano la base per il funzionamento corretto del proprio SGQ. 

            Qualche tempo addietro i dati e le informazioni relativamente pochi)  venivano gestiti in modo piuttosto semplice e la loro archiviazione e conservazione e spesso cartacea.

            Attualmente, con l'informatizzazione spinta, l'utilizzo dell'Intelligenza Artificiale e la enorme quantità di dati ed informazioni gestite da un SGQ la ISO ha ritenuto necessario pubblicatre una Norma specifica che si occupa, per l'appunto, della sicurezza dei dati.  

2 – LA ISO/TEC 27001           

A differenza di un semplice programma operativo, la ISO 27001 rappresenta un vero e proprio sistema di gestione.

Non  dice solo "metti una password", ma obbliga a creare un processo per cui quelle password vengano modificate ad intervalli  programmati, monitorate eprotette, riducendo drasticamente il rischio di sanzioni (come quelle legate al GDPR).

La versione più recente è la ISO/IEC 27001:2023, che in Italia è stata recepita ufficialmente come UNI ENISO/IEC 27001:2023. È il punto di riferimento mondiale per la sicurezza delle informazioni e dei dati.

Come tutte le norme ISO moderne, la 27001 segue una struttura comune (Capitoli 4-10) per facilitare l'integrazione con altre norme (come la 9001 per la qualità).

2.1 -. CAPITOLO 4 – Contesto dell'organizzazione

            Facendo riferimento ai dati ed alle informazioni utilizzate dall'organizzazione occorre analizzare quali possano essere le minacce sia interne che esterne (ad esempio la non verificabilità delle informazioni). Inoltre è il caso di definire quali sono le aspettative di tutte le parti interessate (Stakeholder) che forniscono dati ed informazioni riguardo alla sicurezza degli stessi.

            NOTA: In altri termini tutti i dati e le informazioni utilizzati  all'interno del processo di gestione del proprio SGQ dovranno essere protetti e conservati in modo da evitare ogni tipo di minaccia.

Tra le minacce sia interne che esterne si possono annoverare la non verificabilità  dei dati e delle informazioni, l'utilizzo improprio degli stessi.

Inoltre occorre tener presenti le aspettative di tutti gli stakeholder (clienti, fornitori e chiunque fornisca dati ed informazioni) relativamente alla sicurezza dei propri dati ed informazioni.

2.2 – CAPITOLO 5 - Leadership

            L'Alta Direzione aziendale ha la responsabilità di definire la “politica” relativa alla sicurezza dei dati e delle informazioni.

            La politica dovrà essere tale da garantire la riservatezza delle informazioni attraverso  azioni atte ad evitare non conformità quali la loro diffusione, anche se involontaria.

              Il sistema di gestione delli dati e delle informazioni dovrà essere tale da risultare coerente con la politica stabilita e la Direzione aziendale può scegliere quale sia la migliore organizzazione (responsabilità e ruoli del personale) per la gestione del processo.

2.3 – CAPITOLO 6 - Pianificazione

            Anche per quanto riguarda la sicurezza dei dati è necessario, prima di tutto, valutare quali rischi possano verificarsi durante tutto il processo di trattamento.

    Sulla base di questi rischi si  dovrà definire un piano di trattamento degli stessi in modo da eliminarli del tutto o, se non possibile, di mitigarli al massimo.

           Gli obiettivi prefissati relativamente alla sicurezza delle informazioni dovranno essere  documentati ed oggetto di eventuali rtevisioni.

            Nel pianificare come conseguire tali obiettivi la organizzazione dovrà stabilire cosa dovrà essere fatto, quali risorse dovranno essere impiegati, chi dovrà essere il responsabile, in che tempi sarà attuato il sistema e  come dovranno essere valutati i rusultati.      

2.4 – CAPITOLO 7 - Supporto

            Capitolo fondamentale per l'attuazione di un sistema di gestione dei dati in quanto si occupa della gestione delle risorse che dovranno attuare il sistema.

            Il personale chiamato in causa dovrà essere addestrato al compito e dovrà essere consapevole del proprio ruolo.

             NOTA: Addestramento e consapevolezza del proprio ruolo sono principi comuni a tutte le ISO

2.5 – CAPITOLO 8 – Attività operative

            Dovrà essere attuato il processo  di trattamento dei dati e delle informazioni secondo quanto è stato stabilito nella fase di pianificazione.

            L'obiettivo principale è sempre incentrato sulla eliminazione  o massima mitigazione dei rischi che potrebbero verificarsi durante l'esecuzione del processo.

            Fondamentale importanza  viene attribuita al monitoraggio ed alla valutazione dei risultati di processo che dovranno essere soggetti a verifica periodica.

            Le registrazioni dei monitoraggi e dei risultati dovranno essere parte integrante della documentazione a corredo degli audit interni e della revisione periodica del sistema.

2.6 – CAPITOLO 9 – Valutazione delle prestazioni

I risultati del monitoraggio continuo del processo di trattamento dei dati e delle informazioni dovranno far parte delle basi per gli audit interni.

2.7 – CAPITOLO 10 - Miglioramento

            Gestione delle non conformità e miglioramento continuo del sistema.

3 - I TRE PRINCIPI DELLA SICUREZZA

            La gestione dei dati e delle informazioni raccolte in azienda dovrà essere tale da rispettare e garantire i principi su cui si basa la sicurezza:

a)    Riservatezza - lìaccesso ad ogni dato od informazione deve ssere concesso soltanto alle persone autorizzate.

b)    Integrità - nessun dato dovrà essere cancellato, modificato od alterato senza autorizzazione.

c)    Disponibità - Tutti i dati e le informazioni dovranno essere disponibili quando richiesti da utenti autorizzati.

4 – L'ALLEGATO “A”

            Come per tutte le ISO gli allegati alla Norma rappresentano  una risorsa essenziale per l'implementazione corretta dell'intero processo.

            Nel caso specifico è l'allegato "A" a rivestire taleruolo: in esso sono descritti i controlli da eseguirsi relativamente al trattamento dei dati.

Tali controlli sono stati revisionati ed aggiornati nell'attuale versione della ISO/TEC 27001 del 2023 pasando dai 114 della versione precedente (2017) agli attuali 93 suddivisi om 4 nmacroaree:

·         Controlli organizzativi (37) - politiche, asset, sicurezza nelle relazioni con i propri fornitori.

·         Controlli sulle persone (8) - formazione, screening   dei dipendenti, smart working.

·         Controlli fisici (14) - monitoraggio delle aree aziendali, sicurezza dei perimetri. protezione dei dispositivi.

·         Controlli tecnologici (34) - crittografia, gestione delle password, backup, firewall. 

5  – I NUOVI CONTROLLI INTRODOTTI NELLA ULTIMA

VERSIONE RELATIVAMENTE ALLE MINACCE

            Lo sviluppo costante dell'informatica, oltre che promuovere benefici, innegabilmente produce quelle che vengono definite "minacce" quali furti di identità, manipolazioni esterne di dati ed informazioni ed altro.

            La ISO/TEC 27001 mette un focus su queste minacce moderne ed introduce 11 nuovi controlli  riguardanti:

·         Cloud Security - Sicurezza dei dati salvati su piattaforme esterne (basti pensare ad i vari social in cui, per ragioni promozionali, le varie aziende sponsorizzano la loro attività promuovendo la propria immagine).

·         Threat Intelligence - Raccolta di informazioni sulle minacce informatiche esterne allo scopo di prevenirle.

·         Data Masking - Tecniche per nascondere i dati sensibili (offuscamento, crittografia, ...)

·         Data Leakage Prevention - Prevenzione della diffusione o fuga dei dati non autorizzata.

·         Monitoraggio delle attività - Rilevamento deicimportamenti anomali presenti in rete.

N

onota redazionale: a  breve nella pagina di DOWNLOAD sarà pubblicato il saggio completo.

n