ISO 27001 e l’adozione di un modello di sicurezza convergente tra fisico e logico

Lo standard ISO/IEC 27001 è una norma internazionale che definisce i requisiti per l’implementazione e il mantenimento di un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System).

Ottenere questa certificazione è una grande sfida per le aziende, soprattutto per quelle con risorse limitate, poiché include aspetti non solo relativi alla sicurezza logica, ma anche fisica ed organizzativa. Per accelerare la compliance, le aziende devono necessariamente semplificare, consolidare, automatizzare i controlli di sicurezza per identificare le minacce e rispondere rapidamente agli incidenti.

Affidarsi ad un provider di servizi di sicurezza globale permette di gestire in modo integrato i controlli previsti dalla norma:

• A.5 information security policies (2 controlli): redigere e revisionare le politiche per la sicurezza
• A.6 organisation of information security (7 controlli): definire e assegnare le responsabilità per la sicurezza
• A.7 human resource security (6 controlli): assicurare che il personale e i collaboratori comprendano le proprie responsabilità durante e dopo il rapporto di lavoro
• A.8 asset management (10 controlli): identificare gli asset e definire adeguate responsabilità di protezione
• A.9 access control (14 controlli): assicurare l’accesso autorizzato alle risorse necessarie per lo svolgimento dell’attività lavorativa
• A.10 cryptography (2 controlli): gestire le chiavi di cifratura per la riservatezza e l’integrità delle informazioni
• A.11 relativi alla sicurezza fisica e ambientale: l’obiettivo è prevenire l’accesso fisico non autorizzato, i danni, la perdita oppure il furto degli asset
• A.12 operations security (14 controlli): assicurare che le attività operative siano sicure e corrette garantendo la protezione da malware, registrando log in modo inalterabile, controllando l’integrità dei sistemi, prevenendo lo sfruttamento di vulnerabilità
• A.13 communications security (7 controlli): assicurare la protezione delle informazioni in rete
• A.14 system acquisition, development and maintenance (13 controlli): assicurare che la sicurezza delle informazioni sia integrata nel ciclo di vita dei sistemi informativi
• A.15 supplier relationships (5 controlli): mantenere il livello di sicurezza concordato con i fornitori di servizi
• A.16 information security incident management (7 controlli): assicurare una gestione efficace degli incidenti di sicurezza, inclusa la relativa comunicazione
• A.17 information security aspects of business continuity management (4 controlli): assicurare la disponibilità e la continuità operativa
• A.18 compliance (8 controlli): assicurare che la sicurezza delle informazioni sia conforme alla legislazione vigente.

Per la sicurezza delle informazioni non è sufficiente introdurre solo tecnologia e non si tratta nemmeno di spuntare delle caselle di una check list di conformità. Nello scenario attuale in cui gli attacchi sono sempre più sofisticati e veicolati su più fronti, è fondamentale adottare modelli di gestione integrata del rischio fisico e cyber per tutelare proattivamente il business.