Sicurezza informatica: cos’è e a cosa serve l’ISO/IEC 27001
adv

Facciamo una panoramica sull’ISO/IEC 27001, norma redatta per fornire una regolamentazione in termini di sicurezza informatica

Abbiamo parlato tante volte di sicurezza informatica e di GDPR nel corso degli ultimi anni: la normativa entrata in vigore ormai due anni fa e mirata a responsabilizzare le aziende in materia di gestione dei dati sensibili dei propri dipendenti e/o clienti è stata analizzata in lungo e in largo, e la sua applicazione ha dato sin dal primo momento risultati più che positivi.

Non tutti sanno, però, cosa sia l’ISO/IEC 27001. E’ l’ultimo aggiornamento di una normativa già esistente che va in effetti ad agire in un campo molto vicino a quello del GDPR. Vediamo di cosa si tratta e quali sono le norme a cui le aziende devono attenersi per non incappare in sanzioni.

Che cos’è l’ISO/IEC 27001?

Lo standard ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System), e tratta aspetti relativi alla sicurezza logica, fisica ed organizzativa.

Redatta nel 2005, la norma è stata aggiornata un’ultima volta nel 2017 tramite l’aggiunta di due Corrigendum:

1. requisito A.8.1.1: l’inventario, la classificazione e trattamento degli “asset” riguarda ora anche le “informazioni” cui gli asset sono associati.
2. requisito 6.1.3: la Dichiarazione di Applicabilità deve specificare se sono implementati o meno i “controlli necessari”, e non solo i controlli riferiti all’Annex A.

Sicurezza informatica: quali controlli effettuare?

Imporatantissimo è l’Annex A “Control objectives and controls” che contiene i 133 “controlli” a cui l’organizzazione che intende applicare la normativa deve attenersi.
Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane; dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo; dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).

Il rispetto normativo e la gestione della Business Continuity vanno quindi a completare l’elenco degli obiettivi di controllo.
L’organizzazione deve motivare quali di questi controlli non sono applicabili all’interno del suo ISMS. Per esempio un’organizzazione che non attua al suo interno ‘commercio elettronico’ può dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all’e-commerce.

Ma veniamo a una domanda che sicuramente in molti si staranno ponendo, ovvero: qual è la sostanziale differenza tra la legge sulla privacy e l’ISO/IEC 27001? La differenza sta nel fatto che legge sulla privacy tutela dati personali, sensibili e non, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.

L’ISO/IEC 27001 è, insomma, una norma che va di fatto a completare i controlli già richiesti dal GDPR, includendo una ulteriore rigidità anche per quanto riguarda quei campi che dalla legge sulla privacy vigente non sono interessati.