Le norme ISO/IEC sulla sicurezza delle informazioni: nella gestione dei data breach si può sempre migliorare
La ISO/IEC ha pubblicato una serie di documenti della serie ISO/IEC 27035 all’interno della famiglia ISO/IEC 27000; essi trattano della gestione degli eventi, degli incidenti e delle vulnerabilità della sicurezza delle informazioni, ampliando ed integrando i controlli relativi alla gestione degli incidenti contenuti nella ISO /IEC 27001.2022; specificamente:
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione per Data Manager)
- 05.24.01 Pianificazione e preparazione per la gestione degli incidenti relativi alla sicurezza delle informazioni
- 05.25 Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni
- 05.26 Risposta agli incidenti relativi alla sicurezza delle informazioni
- 05.27 Apprendimento dagli incidenti relativi alla sicurezza delle informazioni
- 05.28 Raccolta di prove
In questo articolo si vuole esplorare i contenuti di tali documenti, con l’intento di fornire utili strumenti per l’applicazione delle misure previste, anche nel contesto di eventi sulla sicurezza delle informazioni che impattano sui dati personali.
La ratio che forma questa corposa famiglia di documenti va ricercata nella constatazione che, per quanto possano essere implementate misure a tutela della sicurezza delle informazioni, esse restano imperfette e in determinate circostanze falliscono, funzionano in modo parziale o non sono completamente efficaci; ma possono anche essere del tutto assenti, non ancora implementate o non essere state neanche individuate per un errore in fase di analisi del rischio. Di conseguenza, gli incidenti relativi alla sicurezza delle informazioni sono comunque destinati a verificarsi, anche nelle organizzazioni che mantengono un controllo costante ed efficiente sulle misure di sicurezza.
Una gestione efficace degli incidenti implica l'attuazione di controlli investigativi e correttivi volti a identificare e rispondere agli eventi minimizzando gli impatti negativi, acquisendo prove forensi quando possibile e trarre insegnamenti per migliorare il sistema.
Tutto ciò implica il potenziamento dei controlli preventivi e l'implementazione di altri approcci per la gestione del rischio.
La norma tratta specificamente gli incidenti che colpiscono i sistemi informatici, per quanto i principi e le misure sottese si applichino a ogni tipo di informazione in modo indipendente dal supporto; quindi l’applicazione del documento può essere estesa e raggiungere più ambiti di quelli pensati originariamente.
Le indicazioni fornite dalle vare parti della ISO/IEC 27035 sono integrative rispetto alle linee guida, afferenti ai controlli corrispondenti, della ISO/IEC 27002:2022; inoltre, per quanto non esplicitamente richiamata, la Norma ISO 22301:2019 è uno strumento integrabile con le norme della serie ISO/IEC 27035, contribuendo in tal modo a rafforzare le misure da porre in atto per la continuità operativa.
La serie ISO/IEC 27035 è composta ad oggi da 3 documenti pubblicati (parti 1^, 2^ e 3^) ed un quarto in draft. SI analizzano di seguito i contenuti peculiari dei documenti.
ISO/IEC 27035-1:2023 - Information technology Information security incident management Part 1: Principles and process - Questo documento, come indica l’abstract, costituisce il fondamento della serie ISO/IEC 27035; presenta concetti, principi e processi di base e le attività prioritarie da mettere in atto nella gestione degli incidenti di sicurezza delle informazioni.
Lo standard fornisce un approccio strutturato per preparare, rilevare, segnalare, valutare e rispondere agli incidenti e applicare le lessons learned. Si percorre quindi il ciclo di vita dell’incidente sulla sicurezza. Le indicazioni, come del resto per la maggior parte delle norme della serie ISO/IEC 27000 sono generiche e destinate ad applicarsi a tutte le organizzazioni, indipendentemente dal tipo, dimensione o natura. Le stesse possono adattare le linee guida in base a fattori quali la struttura, le dimensioni e le attività svolte in relazione alla esposizione al rischio per la sicurezza delle informazioni. Il documento si applica anche quelle organizzazioni che forniscono servizi di gestione degli incidenti di sicurezza delle informazioni e più in generale che possono intervenire, a vario titolo nel processo (si veda in particolare la 4^ parte dove il tema è sviluppato) come ade esempio società che forniscono servizi ICT e servizi di consulenza.
Ambito e scopo - la 1^ parte delinea i concetti e i principi alla base della gestione degli incidenti di sicurezza delle informazioni; descrive il processo e fornisce elementi per il miglioramento.
Il processo è descritto in 5 fasi che si basano sulla logica del PDCA; di seguito le fasi identificate, integrate da alcuni elementi aggiuntivi:
Plan - prepararsi ad affrontare gli incidenti, ad esempio preparare una politica ed una procedura di gestione degli incidenti, mettere in atto misure tecniche per rilevare segnali anomali, istituire un team competente per gestire gli incidenti, formare il personale (sia gli autorizzati che il personale tecnico) nel riconoscere un incidente, un potenziale incidente ed i segnali deboli;
Do – identificare, segnalare e documentare gli incidenti/potenziali incidenti relativi alla sicurezza delle informazioni;
Check – valutare gli incidenti/potenziali incidenti;
Do - reagire agli incidenti, ovvero contenerli, indagarli e risolverli (azioni di contenimento), ciò comporta la presa di decisioni su come affrontarli sulla base della classificazione, raccogliere prove forensi, bilanciare tempi e priorità nella raccolta delle informazioni e nella risoluzione dei problemi; approfondire le cause alla radice dei potenziali incidenti;
Check – valutare l’efficacia delle azioni di contenimento intraprese;
Plan – identificare e pianificare le misure (azioni correttive di tipo tecnico/organizzativo) per evitare che si ripeta l’evento o nel caso in cui si dovesse ripetere siano mitigate gravità e/o probabilità o aumentata la rilevabilità, in altri termini “imparare la lezione” definendo le modifiche che migliorano i processi;
Do – mettere in atto le azioni correttive;
Check – valutare l’efficacia delle azioni correttive intraprese;
Act – standardizzare le azioni correttive intraprese aggiornando l’analisi dei rischi e la documentazione, facendole diventare parte integrante del sistema di gestione.
Questo set di documenti può fornire preziose indicazioni per integrare la/le procedure aziendali per la gestione dei data breach e più in generale per gli eventi sulla sicurezza delle informazioni. Tali indicazioni possono anche essere poste in atto per la gestione degli incidenti che rientrano nel perimetro della NIS 2.
Le misure proposte possono essere inserite negli accordi stipulati con i fornitori andando ad integrare quanti già definito contrattualmente per una migliore garanzia per tutte le parti coinvolte.
Conseguentemente, possono essere oggetto di audit; per poter verificare che i fornitori stessi siano in grado di fornire adeguate garanzie laddove fossero coinvolti in un evento sulla sicurezza delle informazioni.
Il concetto di “quasi incidente” e la capacità di cogliere i “segnali deboli” sono elementi posti in risalto dalla ISO/IEC 27001; essi devono far parte della formazione destinata a tutti i collaboratori volti a renderli sempre più consapevoli del ruolo nella prevenzione.
Gli strumenti resi disponibili per la gestione degli eventi che coinvolgono i dati, ed in particolare i dati personali, non smettono di stupire per la loro ricchezza e la capacità di fornire elementi volti al miglioramento del processo nel suo insieme. Le norme della serie ISO/IEC 27035 forniscono a tale riguardo un utile contributo.