La pubblicazione della Norma Internazionale ISO/IEC 27001:2005 (“Information technology – Security techniques – Information security management systems – Requirements“) sulla Sicurezza delle Informazioni potrebbe destare un po’ di confusione nel lettore occasionale di queste tematiche. Infatti alcuni anni orsono la sicurezza delle informazioni fu regolamentata dalle norme britanniche BS 7779, parte prima e seconda, quindi ha visto la luce la ISO/IEC 17799:2000 (“Information technology – Code of practice for information security management“), successivamente revisionata nel 2005.
Dal momento che la ISO/IEC 17799 era ed è un “codice di pratica”, ovvero una linea guida su come implementare un sistema di gestione della sicurezza delle informazioni, la BS 7799-2 ha vissuto di luce propria come norma di riferimento per scopi certificativi e dunque ha subito le sue revisioni nel 1999 e nel 2002, fino a che, ad ottobre 2005, la BS 7799 parte 2a ha avuto la sua evoluzione definitiva nella ISO 27001.
Attualmente i certificati emessi da organismi accreditati SINCERT/ACCREDIA per sistemi di gestione della sicurezza delle informazioni (SGSI) sono oltre 280, di cui però più della metà fanno riferimento a più siti della medesima organizzazione (ad es. AIPA, RFI, Telecom, ecc.) ed alcuni di essi fanno capo ad organizzazioni che non hanno voluto dichiarare il proprio nominativo per ragioni di riservatezza.
La ISO/IEC 17799 è diventata la norma ISO 27002:2007 ( Information technology – Security techniques – Code of practice for information security managemen), mentre la ISO/IEC 27004:2009 (Information technology — Security techniques ― Information security management — Measurement) appena pubblicata è la norma riguardante le metriche e la misurazione dei SGSI.
L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 con il risk management; vengono infatti trattati argomenti quali:
- approccio per processi;
- politica per la sicurezza;
- identificazione;
- analisi dei rischi;
- valutazione e trattamento dei rischi;
- riesame e rivalutazione dei rischi;
- modello PDCA;
- utilizzo di procedure e di strumenti come audit interni;
- non conformità, azioni correttive e preventive, sorveglianza, miglioramento continuo.
La ISO/IEC 27001:2005 copre naturalmente ogni tipo di organizzazione. Essa specifica i requisiti per progettare, implementare, controllare, mantenere e migliorare un SGSI documentato.
Il SGSI delineato dalla ISO 27001 ha l’obiettivo di prevenire tutti i rischi dell’impresa legati alla sicurezza delle informazioni, anche attraverso l’implementazione di una serie di controlli indicati dalla norma.
Le varianti rispetto alla BS 7799-2 sono minime e riguardano chiarimenti in merito all’ampiezza del SGSI (campo di applicazione), l’approccio alla valutazione dei rischi, la scelta dei controlli, la dichiarazione di applicabilità (Statement Of Applicabilaty), l’efficacia del SGSI, il riesame dei rischi, l’impegno della direzione, gli audit interni, i risultati della misurazione dell’efficacia, l’aggiornamento dei piani, delle procedure e dei controlli per il trattamento dei rischi.
Naturalmente alla base della norma ci sono sempre i principi di Riservatezza, Integrità e Disponibilità già introdotti dagli standard precedenti, ma il focus della norma è la gestione del rischio.
L’approccio corretto per implementare un SGSI conforme alla ISO 27001 è quello di analizzare e valutare i rischi incombenti sulle informazioni aziendali, quindi di gestirli attraverso azioni appropriate, miranti generalmente a:
- evitare il rischio;
- ridurre il rischio;
- trasferire il rischio o
- accettare il rischio.
Le valutazioni effettuate dal management dell’organizzazione devono ovviamente essere plausibili e condivisibili in funzione della probabilità di verificarsi del rischio e delle conseguenze che tale evento può comportare per l’organizzazione ed i suoi clienti.
Per valutare correttamente i rischi esistenti sulle informazioni è indispensabile fare un censimento degli asset aziendali coinvolti nella gestione delle informazioni: si tratta di apparecchiature hardware, software, risorse umane e dati gestiti dall’organizzazione.
Per ognuno di essi possono essere individuate le relative minacce alla sicurezza e le vulnerabilità riscontrate. Conseguentemente occorre valutare l’impatto di ogni minaccia (in termini di riservatezza – integrità – disponibilità) e stimare la probabilità che l’evento si verifichi. Con tale metodo il management dell’organizzazione può valutare correttamente tutti i rischi, anche dal punto di vista economico. Con la consapevolezza che tali rischi non possono essere sempre eliminati totalmente è quindi possibile adottare le misure di sicurezza più idonee in termini di rapporto costo/benefici per gestire i rischi individuati.
Lo scopo della norma – ovvero assicurare riservatezza, integrità e disponibilità dell’informazione al fine di garantire la continuità del business, prevenire e minimizzare i danni – viene perseguito adottando gli obiettivi di controllo ed i relativi controlli (127) previsti dalla norma stessa.
È bene precisare che la norma riguarda la sicurezza delle informazioni, mentre la sicurezza informatica è soltanto una disciplina nell’ambito di essa. Il SGSI comprende, dunque, aspetti organizzativi, comportamentali e tecnici (di sicurezza informatica) finalizzati alla salvaguardia delle informazioni.
Un sistema informatico altamente sicuro dal punto di vista delle vulnerabilità a fronte di attacchi esterni (hacker, virus e malicius software in genere) ed interni (sistema di autenticazione con password forti, crittografia dei dati,…) potrebbe far parte di un SGSI parziale se non supportato da una strategia organizzativa precisa e da regole comportamentali ben progettate e fatte rispettare.
Evidentemente un SGSI progettato e certificato ISO 27001 in modo serio offre molte garanzie al mangement ed ai clienti dell’organizzazione, anche se ciò non può costituire garanzia di sicurezza assoluta e di invulnerabilità a fronte di attacchi non previsti. È proprio questo uno dei punti salienti: un buon SGSI deve identificare e valutare tutte le vulnerabilità, ponendovi adeguate contromisure quando ritenuto necessario ed efficiente: un rischio identificato e valutato può essere controllato senza arrecare danni eccessivi all’organizzazione, mentre un rischio, non identificato in sede di analisi, che dovesse verificarsi e risultare di impatto significativo, costituirebbe una grave carenza del SGSI.
Altro aspetto discusso del sistema di certificazione ISO 27001 è costituito dal fatto che l’ambito di certificazione (o scopo di certificazione) può essere anche sensibilmente ridotto rispetto all’intero business aziendale; un’organizzazione può decidere infatti di certificarsi ISO 27001 solo per un ambito circoscritto della sua struttura, ad esempio un servizio particolarmente critico dal punto di vista della sicurezza. Questo significa che il SGSI certificato ISO 27001 può coprire solo certi processi dell’organizzazione, purché quelli esclusi non inficino la robustezza dell’intero sistema nei confronti del mercato. In altre parole, è possibile circoscrivere il SGSI ad un’area fisica e logica (in senso informatico) tale da non essere minacciata da vulnerabilità importanti presenti all’esterno di suddetta area.
La certificazione ISO 27001 può interessare organizzazioni di vario tipo, prevalentemente operanti nei settori nei quali la sicurezza delle informazioni e la protezione dei dati è un requisito fondamentale per il business: sanità, banche ed assicurazioni, telecomunicazioni, fornitori di servizi informatici e di servizi legati all’e-commerce, società di consulenza finanziaria, legale e tributaria, società di revisione.
Ricordiamo che esistono altri standard che trattano la sicurezza informatica:
- ITSEC;
- ISO/IEC 15408 (Common Criteria) che sono stati recepiti dall’ISO nella ISO/IEC 15408: 1999 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements;
- ISO/IEC TR 13335 – Part 1÷4: 1996-2000 – Information technology – Guidelines for the management of IT Security (GMITS) che è una linea guida per la gestione della sicurezza nel settore informatico;
- COBIT 4.0 (Control Objective for Information and related Technology): si tratta di un framework per il controllo e la governance dei rischi associati all’Information Technology.
- COSO (Committee of Sponsoring Organizations of the Treadway Commission): è un altro framework di supporto al mangement per assicurare, con ragionevole attendibilità, il perseguimento degli obiettivi del processo di controllo interno dei rischi informatici, soprattutto in relazione al reporting finanziario ed al rispetto di leggi e regolamenti applicabili.
Le società che operano negli Stati Uniti e sono soggette all’U.S. Sarbanes Oxley Act sono obbligate a recepire COSO oppure COBIT.
I vantaggi per l’organizzazione che decide di realizzare un SGSI conforme a ISO 27001 sono notevoli, prevalentemente legati a:
- migliore salvaguardia della cosiddetta business continuity;
- miglioramento dell’immagine sul mercato (i dati dei clienti saranno meglio protetti);
- maggiori garanzie fornite all’imprenditore relativamente alla protezione contro frodi e crimini informatici provenienti dall’esterno e dall’interno dell’organizzazione.