Archivi categoria: ISO 27000

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

È difficile consigliare metodi o strumenti particolari per effettuare l’analisi rischi informazioni, in ambito ISO 27001  senza prendere in considera la tipologia dell’ organizzazione in termini di capacità interna nell’analisi dei rischi e nella gestione della sicurezza delle informazioni, delle sue dimensioni e complessità, del settore, dello stato del SGSI e così via.

Mentre la norma ISO/IEC 27005 offre consigli generali sulla scelta e l’utilizzo di metodi di analisi o valutazione del rischio delle informazioni, gli standard ISO 27000 non specificano alcun metodo , offrendo la flessibilità di selezionare un metodo, o più probabilmente diversi metodi e/o strumenti, che si adattano alle esigenze dell’organizzazione.

Esistono molti metodi e strumenti diversi di analisi del rischio delle informazioni (li vedremo prossimamente dei dettagli).

Possiamo suddividerli  a grandi linee in due gruppo che condividono caratteristiche ampiamente simili: i metodi quantitativi (matematici) e qualitativi (esperienziali).

Nessuno di loro è esplicitamente richiesto o raccomandato dagli standard ISO 27000 (forniscono alcune indicazioni) che lasciano la scelta del metodo/i agli utenti, a seconda delle loro esigenze e a fattori come la loro familiarità con determinati metodi.

E’ perfettamente accettabile e sovente consigliato, che un’organizzazione utilizzi più metodi di analisi dei rischi. Alcuni sono più adatti a situazioni particolari rispetto ad altri – ad esempio, potrebbe avere senso utilizzare un semplice metodo di valutazione rischi per una visione più generale della situazione sicurezza informazioni, per poi passare ad altri metodi più dettagliati per esaminare questi aspetti particolari in modo più completo.

Inoltre, alcuni metodi di analisi dei rischi sono selezionabili in funzione della presenza nell’organizzazione di esperti in attività come audit, gestione dei rischi, salute e sicurezza, progettazione e test delle applicazioni e gestione della continuità aziendale: non vi è alcun reale vantaggio nel costringerli ad abbandonare i loro metodi e strumenti preferiti solo per conformarsi alla ISO 27001.

Anzi, le diverse prospettive, esperienze e intuizioni portate da questi metodi, strumenti ed esperti potrebbero rivelarsi molto preziose (ad esempio, i valutatori della salute e la sicurezza sul lavoro ponderano i “pericoli” utilizzando metodi notevolmente simili alla sicurezza delle informazioni)

Un aspetto a cui fare attenzione, tuttavia, è come risolvere le inevitabili discrepanze nei risultati dei diversi metodi adottati

Le analisi sono semplicemente strumenti di supporto alle decisioni per guidare la direzione aziendale, che deve  prendere le decisioni vitali su quanto investimento in sicurezza è appropriato, quanto rischio può essere tollerato, e quando apportare i necessari miglioramenti alla sicurezza delle informazioni. La risoluzione di tali quesiti richiede visione ed esperienza gestionale e il supporto di esperti ISO 27001.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Diventare consulente ISO 27001

Diventare consulente ISO 27001

Nell’attuale panorama delle certificazioni ISO, quella 27001 che consente di realizzare un sistema di gestione sicurezza informazioni, è in forte crescita, in virtù delle problematiche aziendali legate alla sicurezza dei dati e del rispetto della normativa privacy.

La certificazione dei sistemi di gestione sicurezza informazioni costituisce un’ottima opportunità per i consulenti che già si occupano di sistemi di gestione e per quelli che hanno maturato esperienza in ambito privacy, sia come consulente che come DPO, ma anche per chi per la prima volta si affaccia a tale mondo

Perchè le aziende ricercano un consulente sistemi di gestione sicurezza informazioni?

L’implementazione di un sistema di gestione ISO 27001 è complesso e un’azienda che decide di implementarlo, non dispone generalmente delle competenze necessarie per ottenere la certificazione ISO 27001 senza assistenza esterna.

Il ricorso al consulente SGSI da parte delle aziende è quindi una tappa obbligatoria anche in funzione dei seguenti vantaggi:

_ rapidità  nello sviluppare il sistema di  gestione sicurezza informazioni
_ riduzione degli errori nella compilazione della documentazione
_ rapidità e maggiore efficienza nel rapporto con l’ente di certificazione.

Quindi da un lato vi è un mercato vivo che richiede l’intervento del consulente ISO 27001, dall’altro vi sono tariffe e compensi molto interessanti per i consulenti SGSI, in quanto le competenze in tale ambito non sono così diffuse tra i professionisti, così come lo sono per esempio nel caso della norma ISO 9001.

Quali competenze deve possedere un buon consulente ISO SGSI?
Innanzitutto la conoscenza della norma ISO 27001 e delle procedure che richiede (a tale scopo puoi consultare Kit documentazione ISO 27001 la raccolta delle procedure ISO 27001).

E’ richiesta altresì la capacità di svolgere l’analisi dei rischi degli asset, da cui poi si sviluppa tutta l’architettura della documentazione del SGSI
Questa fase della consulenza ISO 27001, è molto delicata e richiede un’esperienza pregressa in analisi dei rischi. Con il software Analisi rischi Asset ISO 27001 questa procedura è notevolmente facilitata grazie alla possibilità di automatizzare tutti i passaggi richiesti.

Un’altra skill che deve possedere il consulente ISO 27001 è rappresentata dalla capacità di svolgere correttamente l’audit sia iniziale che quello finale prima di avviare l’iter  per la certificazione.
Questa attività richiedere l’utilizzo di un’adeguata e completa check list, la capacità di redigere per l’alta direzione un report di audit comprensibile, un atteggiamento che coinvolga positivamente tutto il personale dell’azienda interessato all’attività di audit del sistema di gestione sicurezza delle informazioni.

Quanto può essere il compenso per una consulenza richiesta per sviluppare un sistema di gestione sicurezza informazioni?
Il compenso è variabile, in funzione della complessità dell’azienda e della tipologia di attività.
Di norma una consulenza ISO 27001 non scende come importo sotto i 6000/8000 euro.

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

Sai scrivere correttamente un report di audit? Fai il test

Fai il test gratuito per verificare se scrivi correttamente i report di audit, di verifiche interne o di qualsiasi tipologia.
Clicca qui per scoprire come migliorare i tuoi report di audit

La nuova norma ISO 27701

Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.

iso27001

Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII – Personally Identifiable Information ), in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR.

Struttura della norma

La normativa è strutturata con una parte introduttiva nella quale si ribadiscono obiettivi e campo di applicazione, le altre normative di riferimento, la terminologia. Viene inoltre dettagliata la correlazione con la ISO/IEC 27001 ed ISO/IEC 27002 nella versione 2013. Ciò perché la ISO/IEC 27701 di fatto costituisce un’estensione delle normative appena citate e deve essere applicata in modo congiunto ad esse.

Nella sezione 3 “Terms, definitions and abbreviations” si fa esplicito riferimento alle definizioni di titolare del trattamento (in inglese controller) e di Privacy Information Management System, proprio a sottolineare la focalizzazione del documento sul tema privacy e protezione dei dati personali.

I paragrafi da 5 a 8 riportano le cosiddette “clausole”, cioè i requisiti che devono essere soddisfatti per garantire la conformità alla normativa. In particolare:

Paragrafo (o clausola) 5: fornisce i requisiti sul PIMS e altre informazioni derivanti dalla ISO/IEC 27001 che devono essere adottate da organizzazioni che vogliano configurarsi come Titolare o Responsabile del trattamento. In particolare, ciascun requisito ISO/IEC 27001 viene ulteriormente dettagliato in sotto-clausole specifiche per il PIMS;
Paragrafo (o clausola) 6: fornisce una guida specifica per PIMS e altre informazioni relative ai controlli di sicurezza delle informazioni ISO / IEC 27002 per un’organizzazione che agisca come Titolare o Responsabile del Trattamento;
Paragrafi (o clausole) 7 ed 8: forniscono una guida aggiuntiva, rispetto ad ISO/IEC 27002 rispettivamente per i titolari e per i responsabili del trattamento.
Sono inoltre presenti 6 allegati (in inglese Annex) che riportano sia controlli (cioè misure tecnico/organizzative di mitigazione del rischio privacy), sia riferimenti alle altre normative ISO/IEC vigenti. Nel dettaglio:

Annex A: analogamente alla ISO/IEC 27001 questo allegato riporta i controlli che devono essere implementati in un PIMS da un’organizzazione che si configuri come Titolare del Trattamento (indipendentemente dal fatto che impieghi un Responsabile del Trattamento o che si configuri anche come con-Titolare);
Annex B: riporta i controlli che devono essere implementati in un PIMS da un’organizzazione che si configuri come Responsabile del Trattamento (indipendentemente dal fatto che si avvalga di sub-responsabili);
Annex C: riporta la mappatura rispetto alla normativa ISO/IEC 29100 Information Technology – Privacy Techniques – Privacy Framework;
Annex D: allegato estremamente interessante che riporta il mapping delle clausole ISO/IEC 27701 rispetto agli adempimenti ed ai concetti chiave del GDPR;
Annex E: contiene la mappatura rispetto alle normative ISO/IEC 27018 Information Technology – Security Techniques – Code of Practice for Protection of Personally Identifiable Information (PII) in public clouds acting as PII ed alla ISO/IEC 29151 Information Technology – Security Techniques – Code of Practice for Personally Identifiable Information Protection;
Annex F: descrive ulteriori modalità per applicare la ISO/IEC 27001 ed ISO/IEC 27002 all’ambito privacy laddove vengano trattati dati personali.
Di estremo interesse l’allegato D che riporta nel dettaglio la corrispondenza tra le clausole ISO/IEC 27701 e gli articoli del GDPR. Come già evidenziato nella parte iniziale del presente articolo, questo rappresenta uno strumento potentissimo per l’implementazione del principio di accountability e, allo stesso tempo, uno schema per l’audit e la certificazione dei trattamenti secondo quanto previsto dal Regolamento.

Fonte: cybersecurity360.it

La valutazione dei rischi quando si implementa un SGSI ISO 27001

iso27001

Una valutazione dei rischi ISO 27001 prevede cinque passaggi importanti:
1. definire una struttura di valutazione dei rischi;
2. identificare i rischi;
3. analizzare i rischi;
4. valutare i rischi;
5. scegliere le opzioni di gestione dei rischi.
La struttura di valutazione dei rischi è una parte critica del processo, che comporta anche la scelta della/e persona/e responsabili della valutazione. In assenza di persone in grado di effettuare le valutazioni, l’intero programma viene meno.
È inoltre necessario definire i criteri di accettazione dei rischi, cioè comprenderne l’impatto sull’organizzazione e le probabilità che si presentino effettivamente. Determinare l’impatto e la probabilità di un rischio dato consente di determinarne la reale gravità. Spesso i responsabili della gestione dei rischi presentano questa semplice matrice:
Probabilità
È possibile utilizzare i risultati di questa analisi per decidere come reagire ai rischi.
A tal fine è necessario considerare quattro tipi di reazione:
1. tollerare il rischio;
2. gestirlo mediante controlli;
3. eliminarlo evitandolo completamente;
4. trasferirlo, mediante un’assicurazione o un accordo con altre parti.

 

Realizzare un SGSI secondo la ISO 27001 – La struttura di gestione

iso27001

La ISO 27001 nelle clausole 4 e 5, prevede che un’organizzazione definisca il contesto dell’SGSI (Sistema di gestione sicurezza informazioni)  ed i ruoli della leadership dell’organizzazione.

Il contesto dell’organizzazione relativamente alla sicurezza delle informazioni deve, di fatto, identificare l’insieme di interessi che è necessario considerare. L’organizzazione ha interesse nella sicurezza delle informazioni, come pure i clienti, i partner, le autorità legali e normative ecc. Punto di partenza è l’esame di tali interessi con il registro dei rischi.

Una parte di questa attività comporterà identificare l’ambito dell’SGSI, che dipende dal contesto. L’ambito dovrà anche considerare i dispositivi mobili e dei tele-lavoratori (il perimetro dell’organizzazione potrebbe essere mobile e potrebbe includere anche dispositivi di proprietà dei dipendenti).
La struttura di gestione deve anche impostare le attività preliminari all’implementazione; conseguentemente sarà necessario formalizzare alcune misure significative:
• la politica per la sicurezza delle informazioni;
• l’esistenza di risorse adeguate al raggiungimento degli obiettivi;
• la definizione di strategie e/o politiche di comunicazione (sia interna che esterna);
• l’identificazione dei requisiti di competenza.
La struttura di gestione, essenzialmente, comprende tutti i fattori che definiscono i parametri del progetto.

La struttura documentale di un SGSI ISO 27001

 

Un sistema di gestione sicurezza informazioni basato sulla norma ISO 27001, deve basarsi su una struttura documentale a 4 livelli:
• Politiche di primo piano, che definiscono la posizione e le esigenze dell’organizzazione.
• Procedure di attuazione delle specifiche.
• Istruzioni operative dettagliate per il personale incaricato dell’attuazione di elementi delle procedure.
• Registrazioni di tracciamento delle procedure e istruzioni operative, che confermino che sono state seguite correttamente e coerentemente.

Collana_foto

Questa struttura è semplice quanto basta perché tutti la comprendano facilmente, fornendo al tempo stesso un modo efficace di assicurare l’attuazione delle procedure a tutti i livelli dell’organizzazione.
E’ sufficiente definire due principi:
1. controllare la documentazione per assicurarsi che le versioni più recenti siano approvate e identificabili;
2. fornire documentazione adeguata e non eccessiva, che consenta processi sistematicamente comunicati, compresi, eseguiti ed efficaci.

Come documentare l’ambito del SGSI conforme alla norma ISO 27001

Cosa significa documentare l’ambito del Sistema di gestione sicurezza informazioni?
Significa definire quali informazioni devono essere protette dal sistema.
Per farlo si può procedere in tre step:

Collana_foto

1. Identificare ogni luogo o ambiente in cui le informazioni sono archiviate. Quindi sia luoghi fisici, che digitali e cloud.

2. Identificare le modalità di accesso ai dati e regostrare tutti gli accessi alle informazioni effettuati da qualsiasi punto, sia che si tratti di un archivio cartaceo sia di un computer, un tablet, un telefono cellulare.

3. Determinare ciò che non rientra nell’ambito, ossia tutti gli aspetti sui quali l’organizzazione non ha alcun controllo (come i prodotti di terzi) o che non danno accesso o non conservano informazioni riservate.

Un ambito ben definito e individuato garantisce che ogni area dell’organizzazione riceva un’adeguata attenzione per l’implementazione delle misure di sicurezza. La documentazione dell’ambito di progetto è un requisito ISO 27001.

iso27001