Il Nuovo Standard ISO/IEC 27002 e il suo Impatto sulle Organizzazioni

La trasformazione digitale accelerata che le organizzazioni hanno subito negli ultimi anni ha avuto un impatto estremamente significativo sullo scenario di rischio che devono gestire, con una crescita significativa del cyber risk con sempre nuovi vettori di attacco volti sia a compromettere il patrimonio informativo, sia ad avere un vantaggio economico (es. attacchi ransomware).

Questo contesto ha fatto sì che, ai fini della protezione del patrimonio informativo, sia le misure di sicurezza informatica sia quelle di tipo tecnico organizzativo, abbiano assunto un peso significativamente maggiore.

ISO/IEC 27001 e ISO 27002: gli standard di riferimento per la sicurezza delle informazioni

ISO/IEC 27001, è lo standard di riferimento mondiale per la gestione della sicurezza di organizzazioni di tutti i tipi, indipendentemente dalle dimensioni o dal settore, a cui è strettamente legato lo standard ISO/IEC 27002 che è la linea guida su supporta le organizzazioni nell’implementare i controlli raccomandati a mitigazione dei rischi, facendo riferimento ai controlli nell’allegato A della ISO/IEC 27001.

ISO/IEC 27002 è una base di riferimento dettagliata per l’implementazione di questi controlli, ma non ha dei requisiti mandatori per la certificazione del Sistema di Gestione per la Sicurezza delle Informazioni.

Entrambi i principi attuali proposti dalle norme hanno l’ultima data di pubblicazione nel 2013, sebbene abbiano continuato ad essere rivisti periodicamente, mantenendo invariato il principio iniziale.

L’evoluzione degli standard di sicurezza informatica e l’adattamento al nuovo scenario

Tuttavia, la ISO/IEC 27002 è stata a lungo percepita come stagnante e molto spesso ridondante nei suoi controlli e non adattata al nuovo scenario affrontato dalle organizzazioni. Per tale ragione all’interno dei gruppi ISO sono state sviluppate una serie di norme che integravano per specifici settori i controlli previsti all’interno del citato standard (es. ISO/IEC 27017 per il cloud, ISO/IEC 2019 per le energy industries, ecc..)

Al fine di rendere maggiormente aderenti i controlli al mutato panorama internazionale di cybersecurity,  una nuova versione della ISO/IEC 27002 è prevista all’inizio del 2022.

Nel corso degli anni, molte organizzazioni hanno ampliato per anni il proprio framework di controllo od aggiunto altri standard (es. Cobit, ITIL, CSF, NIST  …) per migliorare gli aspetti della sicurezza delle informazioni che l’allegato A della ISO/IEC 27001 e ISO/IEC 27002 non ha affrontato in modo chiaro o diretto. Questo è un elemento importante della ISO/IEC 27001, che ha sempre consentito di ampliare la base dei controlli stabilita dall’allegato A, che è un elenco di base da considerare, ma sempre espandibile alla realtà e al contesto di ciascuna organizzazione (cfr ISO/IEC 27001 – La lista di obiettivi di controllo e di controlli riportati nell’Allegato A non è esaustiva, e ulteriori obiettivi di controllo e controlli potrebbero essere necessari).

La nuova versione della ISO/IEC 27002: aggiornamenti e impatti sugli standard correlati

Pertanto, questa nuova versione della ISO 27002 è pertinente e benvenuta, porterà naturalmente in un primo momento ad una revisione “minore” della ISO/IEC 27001 con la modifica dei soli controlli dell’allegato A senza modificare le clausole normative e verrà denominata –  “ISO/IEC 27001:2013/DAMD 1 INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — INFORMATION SECURITY MANAGEMENT SYSTEMS — REQUIREMENTS — AMENDMENT 1”. Anche questo aggiornamento è atteso per i primi mesi del 2022.

Poiché ISO/IEC 27002 e ISO/IEC 27001 sono stati gli standard di riferimento per numerose normative e standard a livello internazionale, è naturale aspettarsi che nei prossimi anni verranno avviati diversi aggiornamenti al riguardo.

Un aspetto importante è evidenziato dal nuovo titolo della ISO 27002 che da “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni” diventa “Sicurezza delle informazioni, sicurezza informatica e protezione della privacy — Controlli sulla sicurezza delle informazioni” ampliando così a nuovi aspetti (cybersecurity, sicurezza del cloud e data protection …).

Le principali modifiche nella nuova ISO/IEC 27002: struttura e controlli

La principale differenza della nuova versione della norma e la versione 2013 è la struttura dell’insieme dei controlli. La maggior parte dei controlli ISO 27002 rimangono invariati, in alcuni casi compattati viste alcune ridondanze presenti nella precedente versione. I controlli sono stati raggruppati dai 14 domini precedenti a 4 “Argomenti” principali, a seconda di ciò a cui si riferisce il controllo.

La ISO/IEC  27002 nella nuova versione 2022 riassume l’insieme aggiornato di 93 misure di controllo della sicurezza (rispetto alle 114 previste nella versione precedente).

Non tutte le misure di controllo dettagliate nella nuova ISO/IEC 27002 sono rilevanti per ogni organizzazione, ma quando lo sono (quali misure di mitigazione del rischio), devono essere messe in atto affinché un’organizzazione sia conforme alla ISO/IEC 27001.

La nuova struttura della ISO/IEC 27002: sezioni, allegati e riduzioni dei controlli

Invece delle 14 sezioni della versione precedente, ISO 27002 ora ha solo quattro sezioni e due allegati:

  • Controlli organizzativi (clausola 5): questa sezione contiene tutti i controlli relativi a varie questioni organizzative, comprendenti 37 controlli.
  • Controlli sulle persone (clausola 6): questa sezione si concentra sui controlli relativi alla sicurezza delle risorse umane, che comprendono 8 controlli.
  • Controlli fisici (clausola 7): questa sezione si concentra sui controlli relativi all’ambiente fisico, comprendente 14 controlli.
  • Controlli tecnologici (clausola 8): questa sezione si concentra sui controlli relativi alle soluzioni tecnologiche, comprendenti 34 controlli.
  • Allegato A – Utilizzo degli attributi: questo allegato fornisce una matrice di tutti i nuovi controlli, ne confronta gli attributi e fornisce suggerimenti su come i controlli potrebbero essere utilizzati in base ai loro attributi.
  • Allegato B – Corrispondenza con ISO/IEC 27002:2013: questo allegato fornisce una mappatura tra i controlli di questa versione ei controlli della precedente edizione 2013.

Il numero ridotto di sezioni e l’aggiunta di un allegato con indicazioni su come utilizzare i controlli facilitano la comprensione dell’applicabilità dei controlli e della designazione delle responsabilità.

Questa nuova versione ha ridotto il numero dei controlli da 114 a 93. I progressi tecnologici e un miglioramento nella comprensione di come applicare le pratiche di sicurezza, sono le ragioni del cambiamento nel numero dei controlli.

I controlli modificati sono elencati ulteriormente in questo white paper.

Attributi dei controlli: una novità chiave nella ISO/IEC 27002

Ogni controllo nella nuova versione della ISO 27002 ha due nuovi elementi nella sua struttura:

  • Tabella degli attributi: una tabella che presenta l’insieme di attributi associati al controllo (vedere la sezione successiva per la spiegazione).
  • Scopo: motivazione per l’applicazione del controllo, cioè perché un controllo deve essere implementato (ad esempio, per garantire l’integrità, per definire i ruoli, ecc.).
  • Questi elementi aggiunti rendono più facile per coloro che scelgono o analizzano i controlli trovare informazioni per capire meglio come ordinare e giustificare l’uso di un controllo. Ad esempio, dalla tabella degli attributi, un’organizzazione può identificare tutti i controlli di natura preventiva (es. 5.1 Politiche per la sicurezza delle informazioni e 8.25 Ciclo di vita dello sviluppo sicuro) e lavorare con loro in modo integrato. Attraverso Scopo è possibile spiegare meglio agli altri la necessità di attuare un controllo, nonché valutarne l’adeguatezza a trattare rischi specifici.
  • Gli elementi che già esistevano nella vecchia ISO 27002 e restano in questa nuova revisione della norma sono:
    • Titolo del controllo: il nome del controllo.
    • Controllo: una descrizione di ciò che deve essere realizzato per essere conforme al controllo.
    • Guida: suggerimenti su come implementare il controllo.
    • Altre informazioni: informazioni complementari per comprendere il controllo e riferimenti ad altri documenti per la consultazione.

Dal nostro punto di vista, questa è la modifica che apporta il maggior valore a questa nuova versione dello standard, perché fornisce un modo standardizzato per ordinare e filtrare i controlli in base a criteri diversi.

Gli attributi per ciascun controllo sono i seguenti:

  • Tipi di controllo: Preventivo, Detective e Correttivo.
  • Proprietà di sicurezza delle informazioni: Riservatezza, Integrità e Disponibilità.
  • Concetti di sicurezza informatica: identificare, proteggere, rilevare, rispondere e recuperare.
  • Funzionalità operative: governance, gestione delle risorse, protezione delle informazioni, sicurezza delle risorse umane, sicurezza fisica, sicurezza del sistema e della rete, sicurezza delle applicazioni, configurazione sicura, gestione dell’identità e degli accessi, gestione delle minacce e delle vulnerabilità, continuità, sicurezza delle relazioni con i fornitori, legale e conformità, Gestione degli eventi di sicurezza delle informazioni e garanzia della sicurezza delle informazioni.
  • Ambiti di sicurezza: governance ed ecosistema, protezione, difesa e resilienza.

Questi attributi renderanno più facile capire quali controlli sono applicabili in base a criteri rilevanti per l’azienda (cioè, non relativi solo alla sicurezza delle informazioni), così come l’integrazione dei controlli ISO 27002 ad altri framework di sicurezza simili, come NIST Risk Management Struttura.

Analisi quantitativa dei cambiamenti nella nuova ISO/IEC 27002

Il cambiamento in numeri:

  • 11 controlli completamente nuovi
  • 23 controlli è stato cambiato il nome per una più facile comprensione; tuttavia, la loro essenza è rimasta la stessa del vecchio standard
  • 57 controlli sono stati fusi in 24 nuovi controlli
  • 35 controlli sono rimasti gli stessi, cambiando solo il loro numero di controllo

Le modifiche aiuteranno a mantenere l’attenzione sugli aspetti di sicurezza delle informazioni dei processi e delle attività, riducendo lo sforzo per l’implementazione e il mantenimento del sistema di gestione della sicurezza delle informazioni.

Le fusioni di alcuni controlli sono state prese in considerazione perché i controlli correlati sono passaggi naturali di un processo più ampio o perché è possibile ottenere una sicurezza più efficiente considerandoli in un unico controllo.

C’è solo un controllo che è stato suddiviso, 18.2.3 La revisione della conformità tecnica è stata suddivisa in:

  • 5.36 Conformità a politiche, regole e standard per la sicurezza delle informazioni e
  • 8.8 Gestione delle vulnerabilità tecniche.

Elenco dettagliato dei controlli nella nuova ISO/IEC 27002

Ed ecco i controlli suddivisi nei quattro capitoli:

Controlli organizzativi con 37 misure di controllo

  • Politiche per la sicurezza delle informazioni (5.1)
  • Ruoli e responsabilità della sicurezza delle informazioni (5.2)
  • Segregazione dei compiti (5.3)
  • Responsabilità di gestione (5.4)
  • Contatto con le autorità (5.5)
  • Contatto con gruppi di interesse speciale (5.6)
  • Intelligence sulle minacce (5.7)
  • Sicurezza delle informazioni nella gestione dei progetti (5.8)
  • Inventario di informazioni e altri beni associati (5.9)
  • Uso accettabile delle informazioni e di altre risorse associate (5.10)
  • Restituzione dei beni (5.11)
  • Classificazione delle informazioni (5.12)
  • Etichettatura delle informazioni (5.13)
  • Trasferimento di informazioni (5.14)
  • Controllo accessi (5.15)
  • Gestione delle identità (5.16)
  • Informazioni di autenticazione (5.17)
  • Diritti di accesso (5.18)
  • Sicurezza delle informazioni nei rapporti con i fornitori (5.19)
  • Affrontare la sicurezza delle informazioni negli accordi con i fornitori (5.20)
  • Gestire la sicurezza delle informazioni nella filiera ICT (5.21)
  • Monitoraggio, revisione e gestione del cambiamento dei servizi dei fornitori (5.22)
  • Sicurezza delle informazioni per l’utilizzo dei servizi cloud (5.23)
  • Pianificazione e preparazione della gestione degli incidenti di sicurezza delle informazioni (5.24)
  • Valutazione e decisione sugli eventi di sicurezza delle informazioni (5.25)
  • Risposta agli incidenti di sicurezza delle informazioni (5.26)
  • Imparare dagli incidenti di sicurezza delle informazioni (5.27)
  • Raccolta delle prove (5.28)
  • Sicurezza delle informazioni durante l’interruzione (5.29)
  • Prontezza ICT per la continuità aziendale (5.30)
  • Individuazione dei requisiti legali, statutari, regolamentari e contrattuali (5.31)
  • Diritti di proprietà intellettuale (5.32)
  • Protezione delle registrazioni (5.33)
  • Privacy e protezione delle informazioni di identificazione personale (PII) (5.34)
  • Revisione indipendente della sicurezza delle informazioni (5.35)
  • Conformità alle politiche e agli standard per la sicurezza delle informazioni (5.36)
  • Procedure operative documentate (5.37)

Controlli delle Persone con 8 misure di controllo

  • Selezione del personale – Screening (6.1)
  • Termini e condizioni di lavoro (6.2)
  • Consapevolezza, istruzione e formazione in materia di sicurezza delle informazioni (6.3)
  • Processo disciplinare (6.4)
  • Responsabilità dopo la cessazione o il cambio di rapporto di lavoro (6.5)
  • Riservatezza o accordi di riservatezza (6.6)
  • Lavoro a distanza (6.7)
  • Segnalazione di eventi di sicurezza delle informazioni (6.8)

Controlli Fisici con 14 misure di controllo

  • Perimetro di sicurezza fisica (7.1)
  • Controlli fisici all’ingresso (7.2)
  • Messa in sicurezza di uffici, locali e strutture (7.3)
  • Monitoraggio della sicurezza fisica (7.4)
  • Protezione contro le minacce fisiche e ambientali (7.5)
  • Lavorare in aree sicure (7.6)
  • Scrivania e schermo puliti (7.7) Politica di schermo e scrivania puliti
  • Localizzazione e protezione delle apparecchiature (7.8)
  • Sicurezza degli asset fuori sede (7.9)
  • Supporti di memorizzazione (7.10)
  • Utilità di supporto (7.11)
  • Sicurezza del cablaggio (7.12)
  • Manutenzione attrezzature (7.13)
  • Smaltimento o riutilizzo sicuro delle apparecchiature (7.14)

Controlli tecnologici con 34 misure di controllo

  • Dispositivi utente endpoint (8.1)
  • Diritti di accesso privilegiati (8.2)
  • Limitazione dell’accesso alle informazioni (8.3)
  • Accesso al codice sorgente (8.4)
  • Autenticazione sicura (8.5)
  • Gestione della capacità (8.6)
  • Protezione contro il malware (8.7)
  • Gestione delle vulnerabilità tecniche (8.8)
  • Gestione della configurazione (8.9)
  • Cancellazione delle informazioni (8.10)
  • Mascheramento dei dati (8.11)
  • Prevenzione della fuga di dati (8.12)
  • Backup delle informazioni (8.13)
  • Ridondanza delle strutture di elaborazione delle informazioni (8.14)
  • Registrazione / Logging (8.15)
  • Attività di monitoraggio (8.16)
  • Sincronizzazione orologio (8.17)
  • Utilizzo di programmi di utilità privilegiati (8.18)
  • Installazione di software su sistemi operativi (8.19)
  • Controlli di rete (8.20)
  • Sicurezza dei servizi di rete (8.21)
  • Filtraggio Web (8.22)
  • Segregazione nelle reti (8.23)
  • Uso della crittografia (8.24)
  • Ciclo di vita di sviluppo sicuro (8.25)
  • Requisiti di sicurezza dell’applicazione (8.26)
  • Architettura di sistema sicura e principi ingegneristici (8.27)
  • Sviluppo sicuro (8.28)
  • Test di sicurezza in fase di sviluppo e accettazione (8.29)
  • Sviluppo in outsourcing (8.30)
  • Separazione degli ambienti di sviluppo, test e produzione (8.31)
  • Gestione del cambiamento (8.32)
  • Informazioni sul test (8.33)
  • Protezione dei sistemi informativi durante audit e test (8.34)

Impatto della nuova ISO/IEC 27002 sulle organizzazioni certificate ISO/IEC 27001

Attualmente non vi è alcun impatto sulle organizzazioni che già mantengono un Sistema di Gestione per la Sicurezza delle Informazioni certificato fino all’approvazione della nuova ISO/IEC 27002 ed all’aggiornamento dell’allegato A, in una nuova versione della ISO/IEC 27001.

In generale, le organizzazioni avranno un periodo di transizione nel quale sono tenuti ad adottare lo standard ISO/IEC 27001 una volta che lo standard rivisto sarà pubblicato (es. revisione dell’annex A).

Per le organizzazioni che cercano e stanno per certificare il proprio Sistema per la Gestione della Sicurezza delle Informazioni, questo non dovrebbe essere un ostacolo. Le organizzazioni dovrebbero familiarizzare con la nuova serie di controlli e, con l’aiuto della mappatura alla versione 2013 presente all’interno della tabella B2 presente all’interno della nuova 27002, prepararsi ad aggiornare il proprio sistema di gestione.

Altro importante impatto riguarderà quelle organizzazioni che hanno adottato ed ottenuto attestazioni di conformità delle norme definite 270XX in particolare ISO/IEC 27017 e ISO/IEC 27018 che si basano sulla ISO/IEC 27002:2013 ed oltretutto richieste, almeno in Italia, per poter adempiere a specifiche richieste di AgID.

Si precisa che il presente documento è stato predisposto utilizzando prevalentemente le informazioni tratte dalla versione FDIS della ISO/IEC 27002 non essendo, alla data di stesura, ancora disponibile la pubblicazione ufficiale della nuova norma.

 

Articolo a cura di Attilio Rampazzo e Paolo Sferlazza 

Profilo Autore

CISA CDPSE ITIL COBIT - Information Systems Consultant, Trainer & Auditor. Consulente di Direzione di Sistemi Informativi e di Sistemi di Gestione. Ha maturato un’esperienza pluriennale nello sviluppo e nella conduzione di progetti informatici in ambito bancario e finanziario, nei quali la qualità e la sicurezza hanno ricoperto un ruolo determinante e nello sviluppo e assistenza al mantenimento di Sistemi di Gestione per la Qualità, per la Sicurezza delle Informazioni, per l’IT Service Management e Continuità Operativa anche in modalità integrata.
Certificato AICQ SICEV Resp. Gr. Verifica ISO 9001-ISO/IEC 27001- ISO/IEC 20000-ISO 22301-ISO/IEC 42001.
Certificato AICQ SICEV RPT/DPO e Auditor Privacy (UNI 11697)
Referente schema Auditor ISO/IEC 27001 e ISO/IEC 20000
Referente schema Professionisti ICT (UNI 11621) e Professionisti Privacy (UNI 11697)
Socio ISACA Venice Chapter,

Profilo Autore

Socio fondatore di Gerico Security Srl lavora come advisor, auditor e trainer nel campo della sicurezza delle informazioni, continuità operativa, gestione dei servizi IT e sicurezza delle carte di pagamento.
Ha accompagnato primarie aziende e infrastrutture critiche italiane nell’ottenimento della certificazione ISO/IEC 27001, ISO 22301 e ISO/IEC 20000.
È un Qualified Security Assessor riconosciuto dal PCI Council per la certificazione dei sistemi di pagamento PCI DSS. Ha conseguito la certificazione CISA, CISM, CRISC di ISACA, ed è auditor qualificato e tiene docenze sugli schemi ISO/IEC 27001, ISO 22301, ISO/IEC 27001 e ISO 9001 ed è iscritto ai registri AICQ SICEV quale auditor sulla sicurezza delle informazioni e continuità operativa. Ha inoltre ottenuto altre certificazioni nel campo della sicurezza delle informazioni e dell’IT governance tra cui OPST, COBIT e ITIL. Ha progettato ed erogato docenze, anche in ambito militare, su tematiche di Information Risk Management, ITIL. Ha effettuato audit interno, assessment e consulenza in merito all’accreditamento dei laboratori VA rispetto alla 17025. Si occupa si sicurezza delle informazioni nel mondo specifico dell’automotive in conformità con lo standard di settore TISAX.
Collabora con primari enti di certificazione come auditor di terza parte.

Condividi sui Social Network:

Articoli simili