SICUREZZA DIGITALE

Si irrobustisce la famiglia delle ISO/IEC 27000: aggiornata ed arricchita la Norma ISO/IEC 27013

In questi giorni è stata rilasciata la nuova versione della norma ISO/IEC 27013:2021 dal titolo “Information security, cybersecurity and privacy protection - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1”, vediamone alcune peculiarità.

Iniziamo con il fare una breve panoramica, partendo dalla ISO/IEC 27001:2013. Come noto, la sicurezza delle informazioni è indirizzata nella UNI EN ISO/IEC 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” che chiameremo per brevità ISO/IEC 27001. Dalla stessa norma o come sua integrazione, ne sono derivate numerose altre; non a caso si parla di “famiglia delle ISO/IEC 27000”. Ma andiamo per gradi. Innanzitutto, grazie allo standard ISO/IEC 27001, sono stabiliti i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (cd SGI) volto a proteggere per l’appunto le informazioni (e le relative attività e mezzi di trattamento).

Si tratta di uno standard “generale” nel senso che può applicarsi a quasi tutte le Organizzazioni, a prescindere dall’ambito operativo prettamente ICT. Teniamo ancora conto che l’attuazione di un SGI migliora sì la sicurezza generale, ma ancor prima assicura e mantiene: i) la confidenzialità o meglio riservatezza; ii) la disponibilità; iii) l’integrità delle informazioni. Tale standard viene citato spesso in materia di data protection, tanto all’interno del GDPR quanto in diversi strumenti messi a disposizione dell’Autorità garante (come, ad esempio, lo strumento di gestione dei rischi di ENISA).

Passiamo poi alla ISO/IEC 27000-1:2018, sub specie la norma ISO/IEC 20000 “Tecnologie informatiche – Gestione del servizio – Parte 1: Requisiti per un sistema di gestione del servizio” che rappresenta invece il primo standard internazionale sviluppato segnatamente per la gestione dei servizi IT (IT Service Management). Si tratta di una norma abbastanza recente, le cui origini si ravvisano nella pubblicazione della DISC PD0005:1998 da parte del British Standards Institution (BSI), successivamente evoluta nella BS15000:2000 prima e quindi BS15000:2002. Attraverso una procedura accelerata di standardizzazione (“fast track”) nel dicembre del (lontano) 2005, anticipa – tanto per struttura quanto per contenuti – la ISO/IEC 20000 promossa a standard internazionale. Importante segnalare che lo standard è in (perfetta) linea con l’approccio stabilito all’interno dell’Information Technology Infrastructure Library (meglio noto come ITIL) formalizzate dall’OGC (Office of Government Commerce, britannico). Ancora, è bene sapere che lo standard ISO 20000-1, tramite le sue varie evoluzioni ha acquisito nel tempo una migliore armonizzazione, inglobando anche il Plan-Do-Check-Act (PDCA) teorizzato dal noto William Edwards Deming, tipico dei sistemi di gestione. Lo standard rappresenta comunque uno strumento di riferimento per le Organizzazioni specie quelle che erogano servizi informatici e di telecomunicazioni, alla ricerca di un miglioramento dei servizi ICT, attraverso il raggiungimento di obiettivi di qualità e, perchè no…, di contenimento dei costi.

E così che arriviamo alla ISO/IEC 27013:2021 che per esteso intitolata ISO/IEC 27013:2021 “Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1” che guida all’implementazione integrata dei due sistemi. Orbene, la connessione tra la gestione della sicurezza delle informazioni e quella dei servizi ICT è spesso correlata, al punto che molte Organizzazioni adottano le due norme di riferimento, seppure non integrandole.  Soprattutto per chi eroga servizi, garantire la protezione delle informazioni e quindi anche dei nostri tanto cari “dati personali”, nell’intero ciclo di vita del servizio stesso, è senza dubbio un enorme vantaggio; vieppiù oggi quando termini come “Cybersecurity” e “Privacy Protection” (o Data Protection) sono sempre più in voga e sempre più importanti. Col che, detta norma offre una preziosa guida all’integrazione, a tutto vantaggio della semplificazione del cd sistema di gestione il quale, nella sua accezione “integrata” offre semplificazioni e sinergie molto importanti.

La norma, si rivolge in particolare a chi debba o voglia integrare la ISO/IEC 27001 e la ISO/IEC 20000-1, sia da esperto di uno o entrambi i sistemi, sia da “neofita”. A questo punto, prima di concludere, identifichiamo quelli che sono i vantaggi principali di una implementazione integrata della gestione della sicurezza delle informazioni e di quella dei servizi, vale a dire:

  1. un incremento della “credibilità” dell’Organizzazione nei confronti dei clienti, all’interno della stessa, e verso tutte le parti interessate, attraverso l’erogazione di servizi efficaci e sicuri;
  2. un minor costo di implementazione, mantenimento e verifica, del sistema di gestione integrato (rispetto a due sistemi gestiti separatamente);
  3. una riduzione dei tempi di implementazione, grazie allo sviluppo integrato dei processi di supporto;
  4. un efficientamento nelle comunicazioni, affidabilità ed efficienza operativa, ottenuta anche attraverso la mera eliminazione di inutili duplicazioni;
  5. una migliore comprensione tra il personale addetto alla sicurezza delle informazioni e quello addetto alla gestione dei servizi, attraverso la creazione di obiettivi comuni e sinergici, ed un unico sistema di gestione e governo;
  6. minori rischi di incidenti di sicurezza nei servizi (e trattamento di informazioni) che, come sappiamo, possono avere importanti risvolti privacy qualora interessino dati personali (come in caso di famigerato data breach).

Ancora, la norma include tre importanti allegati (“Annex”) che offrono nello specifico:

  • L’Annex A (allegato A) evidenza delle corrispondenze tra la ISO/IEC 27001:2013 clausole da 1 a 10, e la ISO/IEC 20000-1:2018 clausole da 1 a 10;
  • L’Annex B (allegato B) evidenza delle corrispondenze tra i controlli presenti nell’allegato A della ISO/IEC 27001:2013, ed i requisiti espressi nella ISO/IEC 20000-1:2018 clausole da 4 a 10;
  • L’Annex C (allegato C), una comparazione tra i termini e le definizioni utilizzati nelle norme ISO/IEC 27000:2018 and ISO/IEC 20000-1:2018.

Ma quindi quali sono le principali novità?

Intanto, già nel titolo balza subito agli occhi la dicitura “privacy protection”, evocativa di non poche novità non soltanto di carattere formale, ma anche e soprattutto sostanziale, rimarcando quel cambio di approccio che la materia, più generale, impone da anni.

Parimenti, il termine “cybersecurity” invoca concetti tanto attuali quanto interessanti, offrendo non solo una linea guida volte ad amalgamare i sistemi, ma consentendo di fatto il potenziamento (che non è poco!) grazie ora all’integrazione, ora all’introduzione di concetti innovativi.

Quindi, cosa dobbiamo attenderci per il futuro?

Senz’altro novità in arrivo, dal momento che siamo in attesa della revisione della ISO/IEC 27001 e ISO/IEC 27002; il che comporterà una revisione anche della “neonata” ISO/IEC 27013, offrendo più che un’ottima base di partenza per consentire un approccio di integrazione anche con il Modello Organizzativo Privacy cd MOP.

Vediamo quindi come la ISO/IEC 27013 sia assai utile, per non dire indispensabile, specie per tutte quelle aziende che operano nel settore dell’ICT avendo queste ogni giorno di più, la necessità di incrementare le proprie necessità di sicurezza, a 360°. Tutto ciò rafforzato dalla spinta alla digitalizzazione della PA (in particolare) ma di tutto il sistema produttivo del paese, che vede i servizi ICT in prima linea.

Articolo scritto in collaborazione con Renato CASTROREALE

Back to top button