LOrganizzazione internazionale per la standardizzazione (ISO) è un organismo globale che raccoglie e gestisce vari standard per diverse discipline. Nel mondo di oggi, con così tanti settori che ora dipendono da Internet e dalle reti digitali, viene posta sempre maggiore enfasi sulle parti tecnologiche degli standard ISO.
In particolare, lo standard ISO 27001 è progettato per funzionare come struttura per il sistema di gestione della sicurezza delle informazioni (ISMS) di unorganizzazione. Ciò include tutte le politiche e i processi rilevanti per il modo in cui i dati vengono controllati e utilizzati. ISO 27001 non impone strumenti, soluzioni o metodi specifici, ma funziona invece come una lista di controllo di conformità. In questo articolo, analizzeremo come funziona la certificazione ISO 27001 e perché apporterebbe valore alla tua organizzazione.
Ottieni lEssenziale gratuito Guida alla conformità e alle normative statunitensi sulla protezione dei dati
- Come ottenere la certificazione ISO 27001
- Standard di conformità ISO 27001
- Controlli di audit di conformità ISO 27001
- Come mantenere la conformità ISO 27001
- Domande frequenti sulla conformità ISO 27001 e risorse
Introduzione alla ISO 27001
LISO ha rilasciato per la prima volta la sua famiglia di standard nel 2005 e da allora ha ha effettuato aggiornamenti periodici alle varie politiche. Per la ISO 27001, le ultime importanti modifiche sono state introdotte nel 2013. La proprietà della ISO 27001 è attualmente condivisa tra lISO e la Commissione elettrotecnica internazionale (IEC), un ente organizzativo svizzero che si concentra principalmente sui sistemi elettronici.
Lobiettivo della ISO 27001 è fornire un quadro di standard su come unorganizzazione moderna dovrebbe gestire le proprie informazioni e dati. La gestione del rischio è una parte fondamentale della ISO 27001, garantendo che unazienda o unorganizzazione non profit comprenda i propri punti di forza e di debolezza. La maturità ISO è un segno di unorganizzazione sicura e affidabile di cui ci si può fidare con i dati.
Le aziende di tutte le dimensioni devono riconoscere limportanza della sicurezza informatica, ma la semplice creazione di un gruppo di sicurezza IT allinterno dellorganizzazione non lo è sufficiente per garantire lintegrità dei dati. Un ISMS è uno strumento critico, soprattutto per i gruppi che sono distribuiti in più sedi o paesi, poiché copre tutti i processi end-to-end relativi alla sicurezza.
Dovrebbe esistere un ISMS (sistema di gestione della sicurezza delle informazioni) come un insieme vivente di documentazione allinterno di unorganizzazione ai fini della gestione del rischio. Decenni fa, le aziende stampavano effettivamente lISMS e lo distribuivano ai dipendenti per la loro consapevolezza. Oggi, un ISMS dovrebbe essere archiviato online in un luogo sicuro, in genere un sistema di gestione della conoscenza. I dipendenti devono essere in grado di fare riferimento allISMS in qualsiasi momento ed essere avvisati quando viene implementata una modifica. Quando si richiede la certificazione ISO 27001, lISMS è il principale materiale di riferimento utilizzato per determinare il livello di conformità della propria organizzazione.
ISO 27001 può servire come linea guida per qualsiasi gruppo o entità che sta cercando di migliorare la propria sicurezza delle informazioni metodi o politiche. Per quelle organizzazioni che cercano di essere le migliori in questo settore, la certificazione ISO 27001 è lobiettivo finale. La piena conformità significa che il tuo ISMS è stato ritenuto seguire tutte le migliori pratiche nel campo della sicurezza informatica per proteggere la tua organizzazione da minacce come il ransomware.
In alcuni settori che gestiscono classificazioni di dati molto sensibili, inclusi medici e settori finanziari, la certificazione ISO 27001 è un requisito per i fornitori e altre terze parti. Strumenti come Varonis Data Classification Engine possono aiutare a identificare questi set di dati critici. Ma indipendentemente dal settore in cui opera la tua attività, dimostrare la conformità alla ISO 27001 può essere una grande vittoria. In particolare, la certificazione dimostrerà a clienti, governi e organismi di regolamentazione che la tua organizzazione è sicura e affidabile. Ciò migliorerà la tua reputazione sul mercato e ti aiuterà a evitare danni finanziari o sanzioni da violazioni dei dati o incidenti di sicurezza.
Cosa succede se non sei conforme alla ISO 27001? Se la tua organizzazione ha già ricevuto una certificazione, potresti essere a rischio di fallire un audit futuro e di perdere la designazione di conformità. Potrebbe anche impedirti di gestire la tua attività in determinate aree geografiche.
Come ottenere la certificazione ISO 27001
La ricezione di una certificazione ISO 27001 è in genere un processo pluriennale che richiede un coinvolgimento significativo da parte degli stakeholder interni ed esterni. Non è semplice come compilare un elenco di controllo e sottoporlo allapprovazione. Prima ancora di considerare la domanda per la certificazione, è necessario assicurarsi che il proprio ISMS sia pienamente maturo e copra tutte le potenziali aree di rischio tecnologico.
Il processo di certificazione ISO 27001 è tipicamente suddiviso in tre fasi:
- Lorganizzazione assume un ente di certificazione che quindi conduce una revisione di base dellISMS per cercare le principali forme di documentazione.
- Lente di certificazione esegue un audit più approfondito in cui i singoli componenti della ISO 27001 vengono verificati rispetto allSGSI dellorganizzazione. Occorre dimostrare che le politiche e le procedure vengono seguite in modo appropriato. Il lead auditor è responsabile di determinare se la certificazione è stata ottenuta o meno.
- Sono programmati audit di follow-up tra lente di certificazione e lorganizzazione per garantire che la conformità sia tenuta sotto controllo.
Cosa sono gli standard ISO 27001?
Prima di intraprendere un tentativo di certificazione ISO 27001, tutti i principali stakeholder allinterno di unorganizzazione dovrebbero acquisire familiarità con il modo in cui lo standard è organizzato e utilizzato. ISO 27001 è suddiviso in 12 sezioni separate:
- Introduzione: descrive cosè la sicurezza delle informazioni e perché unorganizzazione dovrebbe gestire i rischi.
- Ambito: copre i requisiti di alto livello per un ISMS da applicare a tutti i tipi o organizzazioni.
- Riferimenti normativi: spiega la relazione tra gli standard ISO 27000 e 27001.
- Termini e definizioni – copre la terminologia complessa utilizzata allinterno dello standard .
- Contesto dellorganizzazione – spiega quali parti interessate dovrebbero essere coinvolte nella creazione e nel mantenimento dellISMS.
- Leadership – descrive come i leader allinterno dellorganizzazione dovrebbero impegnarsi nelle politiche e procedure dellSGSI .
- Pianificazione: fornisce una panoramica di come dovrebbe essere pianificata la gestione del rischio in tutta lorganizzazione.
- Supporto: descrive come aumentare la consapevolezza sulla sicurezza delle informazioni e assegnare responsabilità.
- Operation – illustra come i rischi dovrebbero essere gestiti e come la documentazione sh potrebbe essere eseguita per soddisfare gli standard di audit.
- Valutazione delle prestazioni: fornisce linee guida su come monitorare e misurare le prestazioni dellISMS.
- Miglioramento: spiega come lSSI deve essere continuamente aggiornato e migliorato, soprattutto a seguito degli audit.
- Obiettivi e controlli di controllo di riferimento: fornisce un allegato che descrive i singoli elementi di un audit.
Cosa sono i controlli di audit ISO 27001?
La documentazione per ISO 27001 suddivide le migliori pratiche in 14 controlli separati. Gli audit di certificazione copriranno i controlli di ciascuno durante i controlli di conformità. Di seguito è riportato un breve riepilogo di ogni parte dello standard e di come si tradurrà in un audit reale:
- Politiche di sicurezza delle informazioni: descrive come le politiche dovrebbero essere scritte nellISMS e riviste per la conformità . I revisori cercheranno di vedere come le vostre procedure vengono documentate e riviste su base regolare.
- Organizzazione della sicurezza delle informazioni: descrive quali parti di unorganizzazione dovrebbero essere responsabili di quali attività e azioni. I revisori si aspetteranno di vedere un chiaro organigramma con responsabilità di alto livello basate sul ruolo.
- Sicurezza delle risorse umane: copre il modo in cui i dipendenti devono essere informati sulla sicurezza informatica quando iniziano, lasciano o cambiano posizione. I revisori vorranno vedere procedure chiaramente definite per lonboarding e loffboarding quando si tratta di sicurezza delle informazioni.
- Asset Management: descrive i processi coinvolti nella gestione delle risorse di dati e come dovrebbero essere protetti e protetti. I revisori verificheranno come la tua organizzazione tiene traccia di hardware, software e database. Le prove dovrebbero includere qualsiasi strumento o metodo comune utilizzato per garantire lintegrità dei dati.
- Controllo dellaccesso: fornisce indicazioni su come limitare laccesso dei dipendenti a diversi tipi di dati. Ai revisori sarà necessario fornire una spiegazione dettagliata di come vengono impostati i privilegi di accesso e chi è responsabile del loro mantenimento.
- Crittografia: copre le migliori pratiche di crittografia. I revisori cercheranno parti del tuo sistema che gestiscono dati sensibili e il tipo di crittografia utilizzata, come DES, RSA o AES.
- Sicurezza fisica e ambientale: descrive i processi per la protezione degli edifici e delle apparecchiature interne. I revisori verificheranno eventuali vulnerabilità sul sito fisico, incluso il modo in cui è consentito laccesso agli uffici e ai data center.
- Sicurezza delle operazioni: fornisce indicazioni su come raccogliere e archiviare i dati in modo sicuro, un processo che ha assunto nuove urgenza grazie al passaggio del Regolamento generale sulla protezione dei dati (GDPR) nel 2018. I revisori chiederanno di vedere prove dei flussi di dati e spiegazioni su dove sono archiviate le informazioni.
- Sicurezza delle comunicazioni – copre la sicurezza di tutte le trasmissioni allinterno rete di unorganizzazione. I revisori si aspetteranno di vedere una panoramica dei sistemi di comunicazione utilizzati, come la posta elettronica o le videoconferenze, e come i loro dati vengono tenuti al sicuro.
- Acquisizione, sviluppo e manutenzione del sistema: descrive in dettaglio i processi per la gestione dei sistemi in un ambiente sicuro. I revisori vorranno la prova che tutti i nuovi sistemi introdotti nellorganizzazione sono mantenuti a standard elevati di sicurezza.
- Relazioni con i fornitori: copre il modo in cui unorganizzazione dovrebbe interagire con terze parti garantendo la sicurezza. I revisori esamineranno eventuali contratti con entità esterne che potrebbero avere accesso a dati sensibili.
- Gestione degli incidenti di sicurezza delle informazioni: descrive le migliori pratiche su come rispondere ai problemi di sicurezza. Gli auditor possono chiedere di eseguire unesercitazione antincendio per vedere come viene gestita la gestione degli incidenti allinterno dellorganizzazione. È qui che è utile disporre di software come SIEM per rilevare e classificare il comportamento anomalo del sistema.
- Aspetti della sicurezza delle informazioni della gestione della continuità aziendale: copre come gestire le interruzioni dellattività e i cambiamenti importanti. I revisori possono porre una serie di interruzioni teoriche e si aspetteranno che lSGSI copra i passaggi necessari per risolverli.
- Conformità: identifica quali regolamenti governativi o di settore sono rilevanti per lorganizzazione, come ITAR. Gli auditor vorranno vedere le prove della piena conformità per qualsiasi area in cui opera lazienda.
Un errore commesso da molte organizzazioni è quello di affidare tutte le responsabilità per la certificazione ISO al team IT locale. Sebbene la tecnologia dellinformazione sia al centro della ISO 27001, i processi e le procedure devono essere condivisi da tutte le parti dellorganizzazione. Questo concetto è alla base dellidea di passare da devops a devsecops.
Quando ti prepari per un audit di certificazione ISO 27001, si consiglia di cercare assistenza da un gruppo esterno con esperienza di conformità. Ad esempio, il gruppo Varonis ha ottenuto la certificazione ISO 27001 completa e può aiutare i candidati a preparare le prove richieste da utilizzare durante gli audit. Varonis offre anche soluzioni software come Datalert per aiutare a mettere in pratica lISMS di unorganizzazione.
Suggerimenti per mantenere la conformità ISO 27001
Ottenere una certificazione ISO 27001 iniziale è solo il primo passo per essere pienamente conformi. Mantenere gli standard elevati e le migliori pratiche è spesso una sfida per le organizzazioni, poiché i dipendenti tendono a perdere la loro diligenza dopo che un audit è stato completato. È responsabilità della leadership assicurarsi che ciò non accada.
Considerata la frequenza con cui i nuovi dipendenti entrano a far parte di unazienda, lorganizzazione dovrebbe tenere sessioni di formazione trimestrali in modo che tutti i membri comprendano lSGSI e come viene utilizzato. Ai dipendenti esistenti dovrebbe inoltre essere richiesto di superare un test annuale che rafforzi gli obiettivi fondamentali della ISO 27001.
Per rimanere conformi, le organizzazioni devono condurre i propri audit interni ISO 27001 una volta ogni tre anni. Gli esperti di sicurezza informatica consigliano di farlo ogni anno in modo da rafforzare le pratiche di gestione del rischio e cercare eventuali lacune o carenze. Prodotti come Datadvantage di Varonis possono aiutare a semplificare il processo di audit dal punto di vista dei dati.
Una task force ISO 27001 dovrebbe essere formata con le parti interessate di tutta lorganizzazione. Questo gruppo dovrebbe incontrarsi mensilmente per esaminare eventuali problemi aperti e considerare gli aggiornamenti alla documentazione ISMS. Un risultato di questa task force dovrebbe essere una lista di controllo della conformità come quella delineata qui:
- Ottenere il supporto della direzione per tutte le attività ISO 27001.
- Trattare la conformità ISO 27001 come progetto.
- Definisci lambito di applicazione della ISO 27001 alle diverse parti della tua organizzazione.
- Scrivi e aggiorna la politica ISMS, che delinea la tua strategia di sicurezza informatica ad alto livello.
- Definire la metodologia di valutazione del rischio per acquisire il modo in cui i problemi verranno identificati e gestiti.
- Eseguire regolarmente la valutazione e il trattamento del rischio una volta scoperti i problemi.
- Scrivi una dichiarazione di applicabilità per determinare quali controlli ISO 27001 sono applicabili.
- Scrivi un piano di trattamento dei rischi in modo che tutte le parti interessate sappiano come vengono mitigate le minacce. Lutilizzo della modellazione delle minacce può aiutare a raggiungere questo compito.
- Definisci la misurazione dei controlli per capire come si stanno comportando le migliori pratiche ISO 27001.
- Implementa tutti i controlli e le procedure obbligatorie come indicato nellISO 27001 standard.
- Implementa programmi di formazione e sensibilizzazione per tutte le persone allinterno della tua organizzazione che hanno accesso a risorse fisiche o digitali.
- Utilizza lISMS come parte della routine quotidiana della tua organizzazione.
- Monitora lISMS per capire se viene utilizzato in modo efficace.
- Esegui audit interni per valutare la tua conformità continua.
- Rivedi i risultati dellaudit con la direzione.
- Imposta azioni correttive o preventive quando necessario.
Guida rapida ISO 27001: domande frequenti
Il processo e lambito della certificazione ISO 27001 possono essere piuttosto scoraggianti, quindi copriamo alcune domande frequenti.
D: Quali sono i requisiti ISO 27001?
R: Per ottenere una certificazione ISO 27001, unorganizzazione deve mantenere un SGSI che copra tutti gli aspetti dello standard. Successivamente, possono richiedere un audit completo a un ente di certificazione.
D: Cosa significa essere certificati ISO 27001?
R: Essere certificati ISO 27001 significa che il tuo lorganizzazione ha superato con successo laudit esterno e soddisfatto tutti i criteri di conformità. Ciò significa che ora puoi pubblicizzare la tua conformità per aumentare la tua reputazione in materia di sicurezza informatica.
D: Qual è lultimo standard ISO 27001?
R: Lo standard più recente è noto ufficialmente come ISO / IEC 27001: 2013. È stato pubblicato nel 2013 come seconda edizione ufficiale della ISO 27001. Lo standard è stato rivisto e confermato lultima volta nel 2019, il che significa che non sono state richieste modifiche.
D: ISO 27001 è conforme al GDPR?
A: Poiché ISO 27001 è principalmente un framework per lo sviluppo di un ISMS, non coprirà tutte le regole specifiche del Regolamento generale sulla protezione dei dati (GDPR) istituito dallUnione Europea. Tuttavia, se accoppiato con ISO 27701, che copre listituzione di un sistema di privacy dei dati, le organizzazioni saranno in grado di soddisfare pienamente i requisiti specificati nel GDPR.
D: Quali sono le principali somiglianze o differenze tra SOX e ISO 27001?
R: Sebbene la ISO 27001 copra la gestione generale di informazioni e dati, il Sarbanes – Oxley Act (SOX) è specifico per il modo in cui le informazioni finanziarie vengono divulgate negli Stati Uniti. Fortunatamente per le aziende che hanno un ampio ambito di gestione dei dati, ottenere la certificazione ISO 27001 aiuterà anche a dimostrare la conformità agli standard SOX.
D: Qual è lo scopo di altri ISO?
R: LISO mantiene una serie completa di standard che si trovano sotto la ISO 27001. Tutti questi prendono concetti dal framework e si immergono in linee guida più specifiche su come istituire le migliori pratiche allinterno di unorganizzazione.
Risorse
- Libro verde su come la ISO 27001 può ridurre il rischio informatico
- Webinar su come garantire un audit ISO 27001 di successo
- Casi di studio sulla conformità alla ISO 27001
Indipendentemente dalle dimensioni della tua azienda o dal settore in cui lavori, ottenere la certificazione ISO 27001 può essere una grande vittoria. Tuttavia, è un compito impegnativo, quindi è importante far leva su altre parti interessate e risorse durante un progetto di conformità. Con strumenti come Varonis Edge, puoi fermare gli attacchi informatici prima che raggiungano la tua rete, mostrando anche prove della tua conformità ISO 27001.