Grazie alla nuova versione dello standard ISO IEC 27001, cambia l’approccio strategico rispetto agli attacchi informatici
La nuova versione della ISO IEC 27001 ampliata e migliorata, cambia l’approccio strategico nella protezione delle aziende rispetto agli attacchi informatici e offre alle imprese nuovi strumenti utili.
Aziende di ogni dimensione e segmento affrontano ogni giorno attacchi e minacce informatiche di vario tipo, che oltre al furto di dati personali e aziendali, portando a perdite considerevoli. Proteggere l’accesso ai sistemi informativi da parte di soggetti esterni diventa un’esigenza fondamentale e i clienti chiedono sempre più ai fornitori di dimostrare come gestiscono la sicurezza delle informazioni lungo tutta la catena di fornitura.
Il rapporto Global Cybersecurity Outlook del World Economic Forum indica che gli attacchi informatici sono aumentati del 125% a livello globale nel 2021, con previsioni che suggeriscono un aumento continuo nei prossimi mesi. In questo panorama in rapida evoluzione, le aziende devono adottare un approccio strategico ai rischi informatici e, per affrontare queste sfide, le organizzazioni devono migliorare la loro resilienza e implementare sforzi di mitigazione degli attacchi informatici.
Per rispondere a tali sfide e migliorare la fiducia digitale, è stata appena pubblicata una versione nuova e migliorata di ISO IEC 27001, lo standard più noto al mondo sulla gestione della sicurezza delle informazioni che aiuta le organizzazioni a proteggere le proprie risorse informative, fondamentali nel mondo sempre più digitale di oggi. La norma ISO 27001 è stata pubblicata per la prima volta nel 2005, ed è stata rivista nel 2013 ed infine è stata nuovamente aggiornato nel 2022.
Con l’ultimo aggiornamento viene posta una maggiore enfasi sull’orientamento al processo, le sue interazioni e criteri, e si definisce una categorizzazione semplificata e snella dei controlli in blocchi tematici.
I principali nuovi aggiornamenti della ISO/IEC 27001:2022 includono una modifica importante dell’Allegato A, aggiornamenti minori delle clausole e una modifica del titolo della norma.
Diversamente da ISO/IEC 27001:2013, il titolo completo della nuova versione è ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection: l’introduzione dei concetti di cybersecurity e di protezione dei dati personali è un ulteriore elemento che rafforza quanto questo standard può essere considerata anche come una potente misura di accountability a supporto di quanto richiede il GDPR.
La norma come noto prevede, a differenza di altre norme sui sistemi di gestione, sia un apparato di requisiti che di controlli, mentre i requisiti non hanno subito modifiche significative rispetto alla versione precedente, la parte che ha subito le modifiche più significative è l’Allegato A della ISO/IEC 27001 che è allineato con gli aggiornamenti della ISO/IEC 27002:2022, pubblicati nel febbraio 2022, pertanto le modifiche erano prevedibili da tempo.
Anche il titolo di questo allegato è stato modificato da “Reference control objectives and controls” a “Information security controls reference”, pertanto, gli obiettivi di riferimento di ciascun gruppo di controllo, che erano presenti nella precedente versione della norma, ora sono stati rimossi.
Oltre all’eliminazione degli obiettivi di controllo, i controlli sulla sicurezza delle informazioni di cui all’allegato A sono stati rivisti, aggiornati, integrati e riorganizzati con alcuni nuovi controlli, complessivamente diminuiti
Le precedenti 14 clausole dell’allegato A sono ora incentrate sui 4 temi generali che includono: controlli organizzativi, relativi alle persone, fisici e tecnologici.
Il numero complessivo dei controlli all’interno dell’allegato A è pari a 93 controlli rispetto di cui 11 nuovi, tra i quali Intelligence sulle minacce, Sicurezza delle informazioni per l’utilizzo dei servizi cloud, Preparazione delle TIC per la continuità operativa, Monitoraggio della sicurezza fisica e prevenzione sulla fuga di dati.
Tempistiche e periodo di transizione della ISO IEC 27001
Come di consueto per le altre release dello standard ISO, ci sarà un periodo di transizione di tre anni dopo la pubblicazione della release 27001 per le aziende attualmente certificate secondo le seguenti tempistiche:
- 31 ottobre 2022 – Inizia il periodo di transizione
- 1 maggio 2024 – dopo questa data tutte le (nuove) certificazioni iniziali devono essere relative all’edizione 27001:2022 e si raccomanda che tutti gli audit di ricertificazione utilizzino l’edizione 27001:2022 dopo questa data.
- 31 luglio 2025 – Tutti gli audit di transizione devono essere condotti entro questa data.
- 31 ottobre 2025 – Termina il periodo di transizione e i certificati ISO/IEC 27001:2013 non saranno più validi dopo questa data.
Tutte le organizzazioni già certificate devono disporre di un audit di transizione per confermare l’implementazione dello standard rivisto. L’audit di transizione può essere condotto in combinazione con un audit esistente di sorveglianza o di ricertificazione o può essere un audit autonomo.
Poiché, come per qualsiasi audit, le non conformità identificate durante un audit di transizione richiederanno l’invio e l’approvazione di un’azione correttiva, raccomandiamo, la seguente tempistica per le aziende attualmente certificate per garantire che siano in grado di rispettare la scadenza della certificazione:
- inizio 2023: condurre una valutazione della preparazione per comprendere i cambiamenti che saranno necessari.
- 2023: revisione e modifica delle politiche ISMS e della documentazione di supporto e implementazione nuovi controlli o modifica di quelli esistenti.
- Fine 2023 o inizio 2024: inizia a certificare rispetto alla nuova versione.
Naturalmente le aziende attualmente certificate potrebbero voler perseguire una tempistica più aggressiva per beneficiare degli elevati livelli di sicurezza e privacy inclusi nella nuova versione della norma.
