Gli standard della norma ISO/IEC 27040:2024 per la gestione dei supporti di archiviazione dei dati: un altro passo per migliorare i sistemi
Approfondendo le norme tecniche della serie ISO/IEC si imparano nuove misure di accountability che possono essere utilmente utilizzate per proteggere sia i dati personali che l’insieme dei dati aziendali.
L’obiettivo di questo articolo è quello di analizzare la ISO/IEC 27040:2024 — Tecnologia dell'informazione — Tecniche di sicurezza — Sicurezza dell'archiviazione che è stata pubblicata a gennaio 2024 nella seconda edizione.
L’archiviazione rientra tra i possibili trattamenti dei dati ed è una fase fondamentale del “ciclo di vita di un’informazione”. Anche in questa fase sono necessarie misure specifiche.
La norma ISO/IEC 27040:2024 è orientata a fornire supporto tramite sia requisiti che linee guida per l'uso ottimale delle tecnologie di archiviazione elettronica, compresi i back-up, le applicazioni e le reti, e per individuare e trattare i rischi informatici associati. In particolare, la norma fornisce indicazioni per tutelare la sicurezza fisica e la gestione dei dispositivi e dei supporti elettronici destinati all'archiviazione dei dati, monitorando le attività degli utenti lungo tutto il ciclo di vita, compreso lo smaltimento, e garantendo la sicurezza delle informazioni trasferite attraverso i collegamenti associati all'archiviazione.
La norma descrive i rischi informatici associati all'archiviazione dei dati e i controlli per mitigare i rischi.
La finalità è quella di:
- richiamare l'attenzione sui rischi comuni associati alla riservatezza, all'integrità e alla disponibilità delle informazioni sui vari supporti di archiviazione dei dati;
- incoraggiare le organizzazioni a migliorare la protezione delle informazioni archiviate utilizzando adeguati controlli di sicurezza delle informazioni;
- migliorare le misure di garanzia associate tramite revisioni o gli audit dei controlli di sicurezza delle informazioni che proteggono i dati archiviati.
Vengono affrontate le tematiche di sicurezza delle informazioni associate ai dati di backup/ripristino in emergenza (con un esplicito richiamo alla ISO 22301) ed all'archiviazione su cloud, nonché quelle associate all'archiviazione primaria(ovvero la memoria o lo spazio di archiviazione che viene utilizzato principalmente per l'accesso immediato ai dati da parte di un sistema) o locale su una varietà di tecnologie di archiviazione dati, supporti e sottosistemi (ad esempio DAS, SAN, NAS, CAS, FC e OSD).
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione per Data Manager)
Infine, vengono fornite indicazioni relative alla sanificazione dei supporti (distruzione dei dati memorizzati su vari supporti di memorizzazione informatici).
Lo standard presenta una struttura molto dettagliata e fa riferimento ad una serie di tecnologie di storage specifiche ed aggiornate (non va dimenticato che si tratta di un’edizione molto recente).
I destinatari - I soggetti che a vario titolo sono responsabili di definire e/o applicare le misure definite dallo standard sono: responsabili aziendali a vari livelli, comprendendo ovviamente i responsabili ICT ed i CISO, responsabili dei sistemi di gestione, acquirenti di prodotti e servizi di archiviazione, utilizzatori dei sistemi. Le misure sono di interesse anche per chi sia coinvolto nella pianificazione, progettazione e implementazione degli aspetti architettonici della sicurezza della rete di archiviazione. Il DPO non è espressamente menzionato tra i soggetti interessati alle misure previste dalla ISO/IEC 27040:2024 ma è indubbio che sia tra i soggetti che è maggiormente interessato affinché i rischi individuati dallo standard e le misure di mitigazione proposte siano considerate per quelle organizzazioni che hanno problematiche, anche solo potenzialmente rilevanti, in merito alla archiviazione dei dati personali.
La struttura - Come tutti gli standard ISO il capitolo 3 è dedicato alle definizioni ed in particolare quelle relative a: tecnologia di archiviazione, sanificazione, disponibilità, sicurezza e alla crittografia, archivi e repository ed infine “termini vari”. Il capitolo 4 fornisce le indicazioni sulle abbreviazioni.
Il capitolo 5 introduce la struttura del documento e precede il capitolo 6 che fornisce una panoramica introduttiva ai concetti generali relativi all’archiviazione. Segue una analisi dei rischi per la sicurezza dell'archiviazione; tra questi sono individuati quelli relativi al contesto o alle condizioni di base che possono influenzare la sicurezza dell'archiviazione, alle violazioni dei dati, alla corruzione o distruzione dei dati, alla perdita temporanea o permanente di accesso/disponibilità ed al mancato rispetto dei requisiti statutari, normativi o legali.
Dopo la parte di inquadramento generale, lo standard presenta 220 raccomandazioni distinte sulla sicurezza dello storage, di cui il 30% sono classificati come "requisiti" e il 70% come "linee guida".
I controlli sono quindi suddivisi, in modo analogo a quanto previsto per la ISO/IEC 27001:2022.
Il tema della gestione dello storage di informazioni non è particolarmente approfondito nella ISO/IEC 27001:2022 ed infatti la ISO/IEC 27002:2022 sua volta, nelle linee guida per l’applicazione del controllo 7.14 “Dismissione sicura o riutilizzo delle apparecchiature” fa esplicito riferimento a ISO/IEC 27040 per la sanitizzazione dei supporti di memorizzazione.
La norma contiene anche un riferimento allo standard IEEE 2883-2022 "Standard for Sanitizing Storage emesso dall’IEEE - Institute of Electrical and Electronics Engineers".
Qualche esempio di controlli/raccomandazioni - Di seguito, si riportano alcuni esempi di controlli/raccomandazioni previste dalla norma:
- crittografia dei dati a riposo - prevedere l'uso di tecniche di crittografia per proteggere i dati memorizzati e di stabilire procedure sicure per la generazione, distribuzione, archiviazione e distruzione delle chiavi di crittografia;
- autenticazione e autorizzazione per gli accessi logici - implementazione di meccanismi di autenticazione robusti e politiche di accesso basate sui ruoli per limitare l'accesso, basato sul principio del privilegio minimo, ai dati memorizzati solo a personale autorizzato;
- meccanismi di rilevamento delle modifiche- utilizzo di tecniche (es. hashing, checksum) per rilevare eventuali modifiche non autorizzate ai dati memorizzati;
- controllo dell'accesso fisico – impostare limiti e misure per garantire che solo il personale autorizzato possa accedere fisicamente ai dispositivi di storage, inclusi sistemi di controllo dell'accesso, la videosorveglianza e la protezione delle strutture;
- sicurezza ambientale - controlli per proteggere i sistemi di storage da minacce fisiche come incendi, allagamenti, o danni causati da variazioni estreme di temperatura;
- cancellazione sicura dei dati - implementazione di procedure per la cancellazione definitiva e sicura dei dati quando non sono più necessari, prevenendo il recupero non autorizzato;
- protezione delle interfacce di storage - applicazione di misure di sicurezza per proteggere i dati mentre vengono trasmessi da o verso dispositivi di storage, utilizzando tecniche come la crittografia del canale di comunicazione.
Come integrare la ISO/IEC 27040 nel sistema di gestione - Sulla base dei requisiti e delle linee guida possono essere integrate diverse procedure. Se un’organizzazione già dispone di un sistema di gestione basato sulla ISO/IEC 27001:2022 ben strutturato, nella maggior parte dei casi, non è necessario creare nuovi documenti descrittivi; può essere sufficiente integrare quelli già predisposti.
Alcune considerazioni sullo standard - Lo standard è molto dettagliato, il che è piuttosto insolito per quelli della famiglia ISO/IEC 27001 che forniscono di norma indicazioni piuttosto generiche, senza espliciti riferimenti alla tecnologia e timeless.
Lo standard tratta degli aspetti di resilienza dello storage digitale, ovvero della alla capacità dei sistemi di storage di continuare a funzionare e di proteggere i dati anche in caso di guasti, attacchi informatici, o altri eventi avversi. Ciò comporta strategie per il recupero dei dati e la continuità del servizio ed è congruente con quanto prevede la ISO 22301:2019. Si può quindi considerare che questa norma approfondisce un aspetto specifico dello standard di riferimento sulla sicurezza delle informazioni.
In sintesi, se si vogliono migliorare costantemente le misure di sicurezza poste in atto con una logica proattiva ovvero a seguito di un evento critico o che aver potuto essere critico, questo documento fornisce una serie di indicazioni che analizzate singolarmente ed applicate in relazione al contesto dell’organizzazione la possono aiutare.