Sicurezza delle informazioni: i framework di requisiti di controlli e di rischio della Norma ISO 27001:2013
La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza dell'informazione – Requisiti”, è uno standard che presenta alcune caratteristiche peculiari; in questo articolo si indagheranno in particolare quelle relative al framework a cui tale standard può essere ricondotto e più in generale i tipi di framework disponibili per gli standard volti a garantire la sicurezza delle informazioni.
(Nella foto: Monica Perego, docente del Corso di alta formazione sui Sistemi di Gestione della Privacy)
I Framework - I framework sono “documenti” che inquadrano, nel suo complesso, uno specifico argomento; sono emessi da soggetti autorizzati a vario titolo; l’adesione ad un framework e la successiva certificazione da parte di un ente terzo è, di norma, un’azione volontaria; in alcuni casi è un requisito di legge (Es. richiesta della certificazione EN ISO/IEC 27017:2021, EN ISO/IEC 27018:2020 per i fornitori di servizi cloud alla PA), in altri è un requisito da soddisfare per entrare in determinati mercati.
Nel panorama della sicurezza delle informazioni sono disponibili molti framework, che vengono regolarmente aggiornati, e se ne pubblicano continuamente di nuovi. Tale varietà di soluzioni è dovuta alla necessità di adeguarsi all’evoluzione tecnologica e di poter disporre di modelli che tengano conto delle specificità dei vari settori (bancario, assicurativo, sanitario, telco, pubblica amministrazione, pagamenti elettronici, ecc.), e di specifici ambiti (cloud, protezione dei dati personali, ecc.).
Tali framework supportano le organizzazioni a proteggersi, a vari livelli, da azioni che potrebbero minare il patrimonio dei dati aziendali, individuando le vulnerabilità e ponendo in atto misure per contrastarle.
Gli agenti di minaccia possono essere: persone malintenzionate, persone non malintenzionate, strumenti tecnici, la natura.
I framework permettono al personale di un’organizzazione di sviluppare linguaggi ed approcci comuni per arrivare ad una comprensione condivisa dei rischi per la sicurezza, delle vulnerabilità dei sistemi e delle misure da porre in atto.
I framework, in generale, cioè non solo quelli che si prefiggono la tutela della sicurezza delle informazioni, possono essere riconducibili a tre macro-categorie:
- framework di controllo - contengono una serie di controlli;
- framework di requisiti - definiscono i requisiti per progettare, implementare, mantenere e migliorare un sistema di sicurezza;
- framework di rischio - descrivono il processo di gestione dei rischi.
Framework di controllo - Tali framework si focalizzano prevalentemente sugli aspetti di cyber-sicurezza; non mirano, a differenza di quelli che si basano sui requisiti, impostati sul modello PDCA, al miglioramento continuo del sistema di gestione delle informazioni. Si citano, a puro titolo esemplificativo: il CIS Critical Security Controls, sviluppato da SANS Institute o il PCI DSS, sviluppato specificamente per quanti elaborano soluzioni di pagamento elettronico o ancora il NIST specifico per le Agenzie Federali Statunitensi, SOC 2, ecc.
Gli standard basati sui controlli si caratterizzano anche per la notevole sovrapposizione presente tra i vari controlli, per quanto ogni standard presenta delle specificità.
Framework di requisiti - I framework di requisiti, pubblicati dalla ISO - International Organization for Standardization - si basano sul modello “High Level Structure”, un modello comune per tutte le norme e le linee guida degli standard dei Sistemi di gestione pubblicati dalla ISO (Riferimento: ISO/IEC Directives, Part 1, Consolidated ISO Supplement, 2015); i vantaggi di tale modello sono:
- standardizzazione del format delle norme;
- definizioni, testi e requisiti comuni.
Ne consegue la possibilità, per le organizzazioni, di integrare i vari sistemi di gestione sfruttando ed armonizzando le parti in comune. Come specifica Accredia: “L'obiettivo dell'Annex SL [HLS] è l'allineamento di tutte le norme dei sistemi di gestione ad una medesima organizzazione dei contenuti, avviando così il progetto di integrabilità concettuale degli schemi. L'integrabilità di fatto, sempre possibile in linea teorica, deve essere oggetto di valutazione da parte delle singole organizzazioni interessate, anche per individuare le migliori modalità applicabili”.
Framework di rischio - I framework di rischio non tutelano sono le caratteristiche RID che possiede un’entità; non vanno infatti dimenticate altre importanti proprietà:
- l’autenticità: proprietà di un’entità di essere ciò che dichiara di essere;
- il non ripudio: capacità di provare l'occorrenza di un evento o di un’azione dichiarati e le loro entità originanti;
- l’affidabilità: comportamento e risultati intenzionali coerenti.
Il framework ISO/IEC 27001:2014 - La ISO/IEC 27001:2013 è una norma certificabile che appartiene alle seguenti categorie:
- framework di controllo: riporta nell’appendice A (ad oggi prima della revisione) 114 controlli suddivisi in 14 categorie;
- framework di requisiti: richiede il soddisfacimento di una serie di requisiti riportati nei capitoli da 4 a 10 secondo il modello HLS;
- framework di rischio: richiede che le organizzazioni, sulla base del contesto e delle esigenze delle parti interessate, individuino, valutino e trattino i rischi che impattano su: riservatezza, integrità e disponibilità (RID) delle informazioni.
Il framework verrà a breve emendato, in quanto a febbraio 2022 è stato modificato il set di controlli.
Conclusioni - I framework volti a fornire strumenti utili ad effettuare il trattamento dei dati in un contesto che mitiga i rischi, sono molti. Ognuno presenta specificità che devono essere considerate tenendo conto di vari fattori.
Tra i vari framework può variare, anche in modo rilevante, l’approccio, che in alcuni casi può essere molto tecnico. Alcune strutture sono impostate specificamente per un settore o per un ambito, altre prevedono un’modello che si basa sulle priorità, il che permette di focalizzare l’attenzione sui punti cruciali; altre ancora sono più adatte a sistemi che devono essere implementati o con ridotto livello di maturità, mentre alcune meglio si prestano per aziende che possiedono già elevati standard di sicurezza.
Lo standard ISO/IEC 27001:2013 non è specifico per alcun settore, non è caratterizzato da un modello esageratamente tecnico e disponendo di un impianto basato sui requisiti, sui controlli e sull’analisi dei rischi e quindi sulla governance del rischio, permette di approcciare il tema da diverse angolature sfruttando i vantaggi che da ciò possono derivare. Nei casi in cui sia invece prioritario intervenire in modo mirato, “chirurgico”, su uno specifico aspetto, è opportuno ricorrere, almeno in prima battuta, ad un modello basato sui controlli, approfondendo il tema in modo più selettivo.