Chiunque sia interessato alla sicurezza delle informazioni si sarà sicuramente imbattuto nella norma ISO 27001 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione”, lo standard internazionale che descrive le migliori pratiche per progettare un sistema di gestione della sicurezza delle informazioni, cioè un approccio olistico per garantire la riservatezza, l'integrità e la disponibilità delle risorse informative aziendali.
Un Sistema di gestione progettato in base alla ISO 27001:2017 è costituito da politiche, procedure e altri controlli che coinvolgono persone, processi e tecnologie e può essere considerato come un approccio efficiente, basato sul rischio, per proteggere le vostre risorse informative.
Anche chi conosce bene la ISO 27001, però, potrebbe non avere familiarità con la ISO 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni” che è uno standard supplementare che fornisce consigli su come implementare i controlli di sicurezza elencati nell'Allegato A della ISO 27001.
Sebbene ISO 27001 sia lo standard più noto e anche quello secondo il quale le organizzazioni vengono certificate – nessuno dei due può essere considerato separatamente perché si rivelano assolutamente complementari. Vediamo, allora, come utilizzare i due documenti e le differenze che esistono tra di loro.
Partiamo dalla ISO 27001 che è la norma principale della famiglia delle ISO 27000, una serie di documenti che si occupa delle diverse parti della gestione della sicurezza delle informazioni. La ISO 27001 nella sua ultima versione fu pubblicata nel settembre del 2013, in Italia nel 2017, e sostituì la versione del 2005. Contiene i requisiti per l’implementazione di un sistema di gestione per la sicurezza delle informazioni, cioè tutto ciò che bisogna fare per garantire la conformità alla norma ISO di ciò che si fa nella propria organizzazione per garantire la sicurezza delle informazioni.
La certificazione allo standard ISO 27001 è riconosciuta in tutto il mondo come l’indicazione che il vostro sistema di gestione per la sicurezza delle informazioni è allineato con le migliori pratiche di sicurezza. Lo standard è particolarmente utile all'inizio del progetto di implementazione o se state cercando dei consigli generali su come procedere.
Per soddisfare i requisiti della ISO 27001, le organizzazioni devono:
- riunire un team di persone che lavoreranno sul progetto e avviarlo;
- condurre un'analisi dei gap esistenti tra come si lavora per tutelare le informazioni e quello che richiede la ISO 27001;
- stabilire l’ambito del sistema di gestione;
- avviare lo sviluppo delle politiche direzionali che dovranno garantire la tutela delle informazioni;
- eseguire una seria valutazione dei rischi ai quali sono sottoposte le informazioni. La gestione del rischio costituisce la vera e propria pietra angolare di un sistema di gestione progettato secondo le norme ISO. Tutti i progetti degli standard di gestione ISO, infatti, si basano proprio su valutazioni periodiche dei rischi per il sistema di gestione per determinare quali controlli implementare per ridurre il rischio o, ancora meglio, azzerarlo. Nello specifico, la ISO 27001 definisce i suoi requisiti per il processo di gestione del rischio, inclusa la valutazione e il trattamento dei rischi, nel punto 6.1.2.;
- selezionare i controlli da applicare e applicarli;
- creare la documentazione di supporto;
- condurre una formazione approfondita per sensibilizzare il personale sull’argomento che si rivela così importante nel mondo di oggi;
- condurre un audit interno;
- se è tutto a posto, cercare un ente che possa verificare il lavoro svolto e certificarvi secondo la ISO 27001
La ISO 27002, invece, è uno standard supplementare che si concentra sui controlli di sicurezza delle informazioni che le organizzazioni potrebbero scegliere di implementare. Questi controlli sono elencati nell'Allegato A della ISO 27001 tuttavia, mentre l'Allegato A descrive semplicemente ogni controllo in una o due frasi, la ISO 27002 dedica in media una pagina a ogni controllo, rendendo così estremamente semplice comprenderli e implementarli. Lo standard, infatti, spiega come funziona ogni controllo, qual è il suo obiettivo e come si può implementarlo.
La ISO 27002 è, dunque, estremamente utile come standard complementare alla ISO 27001 perché, se questa norma entrasse nei dettagli in cui scende la ISO 27002, diventerebbe inutilmente lunga e complicata. Limitandosi, invece, a fornire semplicemente uno schema di ogni aspetto di un sistema di gestione per la sicurezza delle informazioni e lasciando i consigli specifici in alcuni standard aggiuntivi, si mantiene snella e facilmente comprensibile.
Abbiamo parlato di standard aggiuntivi perché la ISO 27002 non è il solo che integra la ISO 27001. Troviamo, la ISO 27003 che copre la guida all'implementazione del sistema di gestione e la ISO 27004 che si occupa del suo monitoraggio, della misurazione, dell'analisi e della valutazione.
Attenzione a non confondervi! Potete certificare un sistema per la gestione della sicurezza delle informazioni solamente secondo la ISO 27001 ma non secondo la ISO 27002, la ISO 27003 “Information technology – Security techniques – Information security management systems - Guidance” o la ISO 27004 “Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation”.
Questo perché la ISO 27001 è uno standard di gestione che fornisce un elenco completo di requisiti per la conformità del sistema di gestione, mentre gli standard supplementari come la ISO 27002 si limitano ad affrontare un aspetto specifico del sistema.
Una cosa fondamentale da considerare quando si implementa un sistema di gestione per la sicurezza delle informazioni è che non tutti i controlli di sicurezza si applicheranno alla vostra organizzazione. La ISO 27001 lo rende chiaro, specificando che le organizzazioni conducono una valutazione del rischio per identificare e dare priorità alle minacce alla sicurezza delle loro informazioni ma la ISO 27002 non lo menziona, quindi, se doveste considerare lo standard senza il supporto della norma principale, la ISO 27001, sarebbe praticamente impossibile capire quali controlli dovreste adottare.
La ISO 27001 e la ISO 27002, quindi, hanno obiettivi diversi e saranno utili in circostanze diverse. Se state iniziando a muovere i primi passi nel mondo della sicurezza delle informazioni o se state pianificando il vostro modello per stabilire, implementare, mantenere operativo, monitorare, riesaminare, mantenere nel tempo e migliorare continuamente il sistema di gestione, allora la ISO 27001 sarà l'ideale. Una volta identificati i controlli che implementerete, invece, dovrete fare riferimento alla ISO 27002 per saperne di più sul funzionamento di ciascuno di essi.