ISO/IEC Versioni a confronto: 2005 vs 2013

Transcript

1 ISO/IEC Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di due anni previsto per la transizione sta per scadere. Nel corso dell articolo, verranno analizzate le principali differenze tra le due versioni e verrà indicato in che modo si può iniziare a programmare il passaggio alla versione del Le differenze tra le due versioni La normativa ISO/IEC costituisce la base per la certificazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Una volta ottenuta, essa dimostra che è stato fatto tutto il necessario per minimizzare i rischi a cui sono sottoposte le informazioni gestite. Come per la precedente edizione, la ISO/IEC 27001:2013, costituisce uno standard che definisce i requisiti per stabilire, implementare, operare, monitorare, revisionare, mantenere e migliorare il SGSI delle organizzazioni. Due sono le grandi novità di questa versione dello standard: le modifiche dei controlli dell Annex A e l adeguamento alle nuove direttive descritte nell Annex SL del ISO/IEC Directives Supplement di maggio 2012, che prevede una struttura comune tra le norme ISO e utilizza i medesimi testi e definizioni per tutte le nuove certificazioni. Gli obiettivi della nuova struttura sono: la standardizzazione e quindi la maggiore efficacia nello sviluppo delle norme per i Comitati Tecnici ISO; un maggiore allineamento e una migliore compatibilità degli standard, utili per le organizzazioni che implementano un sistema di gestione integrato. Inoltre, le nuove versioni delle ISO hanno reso esplicito e incorporato il concetto di rischio in un approccio di sistema, dove è necessario fare un analisi rischi-opportunità. Il rischio non deve essere considerato solo in maniera negativa, ma come un opportunità. Per esempio, l innovazione e la capacità di cambiamento sono portatori di rischio, ma sono anche generatori di opportunità per creare valore per l impresa. Nella successiva tabella vengono evidenziati i principali cambiamenti tra le due versioni della ISO/IEC

2 2. I cambiamenti in dettaglio L adeguamento alle direttive dell Annex SL ha comportato un ampia modifica della struttura e dell'organizzazione del testo, oltre al rafforzamento di alcuni elementi relativi al contesto dell organizzazione (4.1 e 4.2), alla leadership(5), e ad altri elementi che verranno analizzati in seguito. Per quanto riguarda l insieme dei controlli, descritto nell Annex A di entrambe le edizioni, la lista è stata ulteriormente migliorata cercando di semplificare e migliorare tutto il processo. L'obiettivo della nuova versione è comunque evidente: da una parte si è provveduto ad aggiornare una normativa che rischiava di diventare obsoleta, dall'altra si è perseguita la strada della semplificazione. 2

3 Edward Humphreys, ideatore del SGSI sottolinea l importanza delle attività di revisione, al fine di poter svolgere una serie di miglioramenti ai controlli di sicurezza elencati nell Annex A per garantire che lo standard rimanga attuale e sia in grado di affrontare i rischi oggi presenti, quali ad esempio la sottrazione di identità e i rischi legati ai nuovi dispositivi mobili, oltre alle emergenti vulnerabilità della rete 1. 1 Fonte: 3

4 Di seguito verranno analizzati nel dettaglio i cambiamenti più rilevanti. 2.1 Il contesto dell organizzazione (sezione 4) Nella versione 2013 viene introdotto il concetto di contesto dell organizzazione, una delle novità presenti nella struttura comune. In questo punto vengo definiti nuovi requisiti connessi all identificazione e alla comprensione, da parte dell organizzazione, del contesto in cui essa opera e delle istanze da questo provenienti. L'organizzazione è chiamata a individuare i problemi, interni ed esterni, che possono influenzare la capacità di ottenere il risultato desiderato dal SGSI. Gli obiettivi, le politiche dell organizzazione e il campo d applicazione del SGSI dovranno esplicitamente tenere in considerazione e monitorare il contesto in cui opera l organizzazione: le esigenze e le aspettative vanno oltre i clienti veri e propri, e per questo si introduce formalmente il concetto di parte interessata o stakeholder (es. clienti diretti, utilizzatori finali, fornitori, distributori, sindacati, azionisti, dipendenti, ecc.).devono essere esplicitate le parti interessate coinvolte nel SGSI e in che modo i bisogni e le aspettative delle stesse, emergenti dal contesto, diventano requisiti per l organizzazione, ossia elementi il cui mancato o parziale soddisfacimento può mettere in discussione l ottenimento e il mantenimento della certificazione. L introduzione del punto 4 agevola l applicazione della ISO e degli altri standard a tutti i settori facilitando in particolare l applicazione ai servizi. Inoltre aiuta le aziende, soprattutto quelle più piccole, a comprendere i propri bisogni e quelli dei propri stakeholder, costringendo le organizzazioni a esplicitare concetti che potrebbero sembrare semplici ed intuitivi, ma di cui non sempre esiste ampia e condivisa consapevolezza all interno delle organizzazioni. 2.2 Guida, direzione e impegno (sezione 5.1) In questa sezione sono stati approfonditi e valorizzati i requisiti riguardanti la leadership dell organizzazione. In generale, questo punto definisce una chiara aspettativa sul coinvolgimento del top management necessario a garantire un sistema di gestione efficiente che possa raggiungere i risultati previsti. La partecipazione del top management dovrebbe essere parte integrante dei processi, con lo scopo di sostenere il raggiungimento degli obiettivi strategici e operativi delle organizzazioni. La strada presa da tutte le normative ISO è quella di rendere il management sempre più parte attiva di questo processo. 4

5 2.3 Obiettivi per la sicurezza delle informazioni e piani per conseguirli (sezione 6.2) Sono stati rafforzati i requisiti relativi alla pianificazione per il raggiungimento degli obiettivi stabiliti. Per ogni obiettivo occorre definire: cosa fare; quali sono le risorse necessarie; le responsabilità; quando completare le azioni; come valutare i risultati. Anche questo punto aiuta le organizzazioni a pianificare, aumentare la consapevolezza degli obiettivi da conseguire e delle attività necessarie per farlo e a comunicare ciò sia internamente che esternamente. 2.4 Comunicazione (sezione 7.4) La comunicazione è un nuovo requisito derivante dalla struttura comune e, quindi, non presente nella precedente edizione del In questo punto si richiede che l organizzazione stabilisca, in riferimento alle comunicazioni interne ed esterne pertinenti al SGSI: ciò che comunicherà; quando comunicare; con chi comunicare; chi deve comunicare; i processi attraverso i quali la comunicazione sarà effettuata. Perché includere la comunicazione in una norma ISO? Perché comunicare sia all interno che all esterno di un organizzazione cosa si sta facendo, perché e in che modo è fondamentale affinché il SGSI funzioni realmente e non si limiti soltanto ad essere un manuale di gestione. Questa sezione, il cui contenuto è spesso sottovalutato da molte organizzazioni, può diventare un punto di forza per favorire la partecipazione. 2.5 Valutazione delle prestazioni (sezione 9.1) Questa nuova edizione della norma ISO/IEC ha esteso i requisiti relativi a monitoraggio, misurazione, analisi e valutazione. Per ogni fase occorre infatti definire: quando effettuare il monitoraggio e la misurazione, quando analizzare e valutare i risultati del monitoraggio e delle misurazioni, chi deve analizzare e valutare i risultati. 2.6 L'insieme dei controlli (Annex A) Nonostante l'insieme dei controlli di sicurezza possa sembrare simile a quello dell'edizione 2005 è nei dettagli che si possono trovare le differenze. Alcuni controlli sono stati eliminati, altri aggiunti e quasi tutti riscritti allo scopo di razionalizzarli e aggiungere approfondimenti. Il risultato è stato un aumento dei punti che raggruppano i controlli che è 5

6 passato da 11 a 14 e una riduzione del numero di controlli da 133 a 113. L Annex A, relativo agli obblighi di controllo, è stato allineato con la revisione della norma ISO/IEC Alcuni ulteriori cambiamenti riguardano: l allineamento alla ISO per la gestione del rischio; le azioni preventive sono state eliminate perché incluse nelle Azioni per fronteggiare rischi ed opportunità; non è più presente un riferimento esplicito al modello PDCA (Plan, Do,Check, Act). Tuttavia, la struttura comune supporta ancora un approccio di gestione ciclico mutuato da questo modello. 6

7 3. Primi passi per l'aggiornamento alla versione 2013 In questo paragrafo verrà esposto in dodici punti come iniziare il percorso di aggiornamento alla versione del Definizione di tutti gli stakeholder È necessario identificare tutti gli stakeholder che possono influenzare la sicurezza delle informazioni o che possono essere influenzati da essa (sezione 4.2). Completata questa fase, si procede con l'elencare gli elementi che influiscono su ciascuno degli stakeholder come ad esempio i contratti, le leggi, i regolamenti, le disposizioni e le aspettative. Questa procedura è necessaria anche per soddisfare il controllo A L'elenco degli stakeholder è fondamentale: esso, infatti, rappresenta il principale requisito sul quale modulare il SGSI. 3.2 Identificare le interfacce che l'organizzazione utilizza nell ambito del SGSI Secondo la revisione del 2013, nella definizione dell ambito di applicabilità (scope) del SGSI occorre considerare anche le interfacce e le connessioni tra le attività svolte dall organizzazione e quelle svolte da terze parti (punto 4.3). 3.3 Allineare gli obiettivi del SGSI alla strategia aziendale La versione del 2013 richiede di assicurarsi che la policy e gli obiettivi del SGSI siano compatibili e allineati con la direzione strategica dell'organizzazione (sezione5.1 a). Per ottemperare a questa sezione è necessario capire come il SGSI possa aiutare l organizzazione a raggiungere i propri obiettivi strategici. Detto in maniera più semplice, quali sono i benefici che l'sgsi può portare al business o più in generale agli obiettivi dell organizzazione. Ad esempio, se si è un fornitore di un servizio cloud e parte della strategia aziendale è quella di fornire un servizio più affidabile rispetto ai concorrenti, allora la ISO può contribuire al raggiungimento di tale obiettivo strategico, perché la sicurezza delle informazioni non solo aiuta ad aumentare la disponibilità dei sistemi, ma protegge anche l'integrità stessa dei dati. 7

8 3.4 Cambiare la politica della sicurezza delle informazioni (Policy) La politica di sicurezza delle informazioni (policy) non deve più essere chiamata SGSI, per questo le si può cambiare nome (sezione 5.2). Inoltre, non è più necessario che includa requisiti come l allineamento alla strategia di risk management, né i criteri di valutazione dei rischi. Anche se non è strettamente necessario, è possibile nominare nella policy diversi responsabili della sicurezza delle informazioni all interno. Ad esempio, un responsabile per la SGSI a livello operativo, un altro responsabile a livello di board, chi invece sarà responsabile di monitorare i risultati ottenuti, ecc. 3.5 Modificare il processo di valutazione dei rischi Per prima cosa è necessario identificare a quali rischi è soggetta l organizzazione e chi sono i risk owners (proprietari/ responsabili dei rischi) per ogni rischio (sezione C 2). Per esempio, si può decidere che i risk owners sono persone che hanno autorità sufficiente per gestire un rischio, come ad esempio, i capi dipartimento. E importante sottolineare che non è più necessario utilizzare la metodologia basata sull'identificazione delle attività, delle minacce e delle vulnerabilità (sezione c 1). Se lo si desidera, è possibile identificare i rischi in maniera più semplice. Ad esempio, invece di determinare in maniera distinta che un computer portatile sia un bene, che un virus sia una minaccia, e che la mancanza di software anti-virus sia una vulnerabilità, si può più semplicemente identificare questo rischio come: un computer portatile potrebbe essere attaccato da un virus. Naturalmente, se lo si desidera, è possibile mantenere la metodologia utilizzata fino ad adesso: assetminaccia-vulnerabilità. E' necessario, infine, identificare tutti i processi in outsourcing e decidere come controllarli (sezione 8.1). Per fare questo, il modo migliore è quello di considerare i servizi di fornitori e partner come un asset durante la valutazione delle minacce e di identificare quindi tutti i rischi ad essi connessi. 8

9 3.6 Determinare lo stato dei controlli nella Dichiarazione di Applicabilità Nella Dichiarazione di Applicabilità è necessario indicare per ogni controllo, se è stato realizzato o meno (sezione d). Dal punto di vista operativo si può semplicemente inserire nella documentazione una nuova colonna dove indicare se il controllo è stato implementato o solo pianificato e nel caso non sia stato eseguito quale ne è la ragione. 3.7 Ottenere l'approvazione dai risk owners In questa nuova versione, è necessario chiedere ai risk owners di approvare il Piano di trattamento dei rischi (Risk Treatment Plan) e di accettare la possibilità del verificarsi di rimanenti rischi (residual information security risks) per la sicurezza delle informazioni (sezione f). Per il Piano di trattamento dei rischi si prende come riferimento la ISO Se i risk owners sono in numero elevato all interno dell organizzazione, la cosa migliore è delegare tale responsabilità al top management. 9

10 3.8 Pianificare la comunicazione in modo sistematico Come già accennato precedentemente, è diventato obbligatorio tracciare tutto il processo relativo alla comunicazione: chi comunica, cosa comunica e con quali tempistiche (sezione 7.4). L indicazione si riferisce a soggetti sia interni sia esterni all organizzazione. Tutti gli elementi del SGSI devono essere oggetto di comunicazione; tra questi sono inclusi ad esempio la valutazione, la mitigazione e il controllo del rischio, le azioni correttive, l'audit interno, ecc. Il modo migliore per pianificare tale comunicazione è definendola in ogni documento. Ad esempio, nella metodologia di valutazione e mitigazione del rischio sarà necessario definire chi sarà informato dei risultati della valutazione dei rischi e chi dovrebbe essere consultato quando le opzioni di mitigazione sono state determinate. 3.9 Raffinare le procedure di gestione E stato eliminato il requisito della stesura delle Azioni Preventive che sono entrate a far parte del processo di gestione e valutazione dei rischi e delle opportunità. Si può, quindi, valutare se cancellare questa procedura o se continuare ad applicarla. Inoltre, è venuto meno l'obbligo di documentare le rimanenti procedure di gestione come il Documento di Controllo, l'audit Interno e le Azioni Correttive. Se si desidera, è possibile eliminare tali documenti, ma in ogni caso, questi tre processi devono essere mantenuti anche se la documentazione non è più obbligatoria (sezioni 7.5, 9.2 e 10.1). In generale, le piccole imprese, che intendono ridurre il numero di documenti, saranno in grado di mettere in atto tali procedure anche senza produrre materiale documentale. Per quanto riguarda le medie e grandi aziende invece, continuare a utilizzare questa documentazione, sembra essere la soluzione più efficiente Scrivere nuove politiche e procedure La stesura di alcuni documenti è diventata adesso obbligatoria: Secure System engineering principles (A controllo): descrive come implementare tecniche di sicurezza in tutti i livelli dell infrastruttura dei sistemi Politica di sicurezza dei fornitori (A controllo): descrive come le sezioni di sicurezza debbano essere inserite nei contratti, come avvenga il monitoraggio dei fornitori, ecc. Procedure di gestione degli incidenti (A controllo): descrive come rispondere a diversi tipi di incidenti Procedure di business continuity (controllo 10

11 A.17.1.i2): descrive quali procedure sia necessario mettere in atto in caso di interruzione del business, sia dal punto di vista commerciale che della sicurezza IT Riorganizzare i controlli Nell Annex A sono stati aggiunti i seguenti controlli: A Sicurezza delle informazioni nella gestione dei progetti A Secure development policy A Secure system engineering principles A Sicurezza dell'ambiente di sviluppo A System security testing A Valutazione e reazioni a eventi riguardo la sicurezza delle informazioni A Disponibilità di infrastrutture per l elaborazione delle informazioni. L'unico documento che dovrà essere notevolmente riorganizzato è la Dichiarazione di Applicabilità Valutazione Questi requisiti sono diventati molto più severi nella revisione 2013: gli obiettivi dovrebbero essere fissati in modo valutabile (sezione 6.2 b). Ad esempio un obiettivo di sicurezza delle informazioni valutabile potrebbe essere: ridurre il numero di incidenti di sicurezza del il 25 % entro il prossimo anno. 11

12 I principali cambiamenti della versione 2013 e i benefici attesi: 12

13 Bibliografia I commenti ed alcuni esempi sono tratti da ISO27001 Academy: White paper: Twelve-step transition process from ISO 27001:2005 to 2013 revision, ( ISO Academy, (2014). Nella stesura del testo si è fatto riferimento alle seguenti fonti: Norma ISO IEC 27001:2005 Norma ISO IEC 27001:2013 Principali cambiamenti ISO IEC 27001:2005 e 2013, ( menti_def.pdf), DNV Business Assurance, (2013) html), Studio Fabrizio Di Crosta, (2014) ISO IEC information security management system, Le novità della UNI ISO 2700: 2014, ( ( Media Service, (2013) Gistri G.,2015, Strumenti di Risk Management,Certiquality, ( 13