ISO/IEC 27002: nuovi controlli di sicurezza pensati per la Digital Transformation

  • Tempo di lettura: 7 minuti
iso iec 27002 e digital transformation

Nell’ambito della sicurezza delle informazioni e della cybersecurity, lo standard globalmente riconosciuto di certificazione è certamente quello pubblicato per la prima volta nel 2005 dall’International Organization for Standardization (ISO) con la sigla ISO/IEC 27001, la cui ultima versione - eccezion fatta per due piccoli aggiornamenti nel 2014 e nel 2015 - risale al 2013.
A questo si affianca un secondo documento, lo standard ISO/IEC 27002dedicato a dettagliare i controlli di sicurezza richiamati nel primo standard.

Questa compresenza è spesso motivo di confusione: pur essendo entrambe normela ISO/IEC 27001 è il documento di riferimento per la costruzione di un Sistema di Gestione della Sicurezza delle Informazioni certificabile da un ente dipendente, mentre la ISO/IEC 27002 rimane una raccolta di best practices da adottare per soddisfare i requisiti della 27001.

Ne consegue che la nuova versione dello standard ISO/IEC 27002 pubblicata il 15 febbraio 2022 non deve rappresentare un pensiero, ma solo un'opportunità per adottare pratiche che migliorino i già presenti standard di sicurezza certificati dalla ISO/IEC 27001. 

La nuova versione presenta notevoli aggiornamenti, a partire da una significativa variazione del titolo, che da "Information Technology - Security Techniques - Code of Practice for Information Security Controls” a "Information security, cybersecurity and privacy protection - Information security controls", andando così a sottolinerare il collegamento con la commissione tecnica che ha prodotto il documento (il JTC 1/SC27 che per l’appunto si chiama "Information security, cybersecurity and privacy protection") e la volontà di raccogliere in unico documento le indicazioni sui controlli di sicurezza da mettere in atto sia in ambito sicurezza delle informazioni, che in ambito cybersecurity e privacy protection. 

L'aggiornamento, quindi, va incontro all'esigenza delle organizzazioni pubbliche e private di disporre in un unico testo tutti i controlli da mettere in atto in tre diverse aree di rischio: sicurezza delle informazioniprotezione dei dati personali e cybersecurity

In questo senso, ISO/IEC 27022:2022 è lo strumento di riferimento per far fronte alle criticità imposte dalla trasformazione digitale delle aziende, dall’aumento degli attacchi cyber e dalla necessità di conformarsi alle nuove normative in tema privacy e sicurezza dei sistemi informatici. 

Che impatto avrà la ISO/IEC 27002 sulle aziende certificate ISO/IEC 27001? 

Questa nuova versione standard ISO/IEC 27002:2022 è importante perché ridefinisce le best practices da attuare per il mantenimento della certificazione ISO/IEC 27001:2013.

Per le 1600 aziende certificate in Italia (dato Accredia ottobre 2021) sarà l’occasione di rivedere e mantenere la congruenza tra lo standard di certificazione (in particolare per l’allegato A, che elenca i controlli da implementare) e le novità della ISO/IEC 27002, che ne dettaglia l’applicazione.

Inoltre, la nuova versione ISO/IEC 27002:2022 è funzionale a garantire che non vengano trascurati i necessari controlli di sicurezza in attesa della nuova struttura dell’Annex A della ISO/IEC 27001:2013 che vedrà la luce oltre il mese di maggio 2022.

La nuova ISO/IEC 27002 avrà degli impatti, seppur minori, anche su altri standard a lei correlati come, ad esempio, la ISO/IEC 27017 e la ISO/IEC 27018 per i servizi Cloud, la ISO/IEC 27701 per la Privacy, ISO/IEC 27019 per l’Energia, ISO/IEC 27011 per le organizzazioni di Telecomunicazioni e la ISO/IEC 27799 per la Salute.

Le novità della nuova versione 

L'aggiornamento introduce diverse novità, che ridefiniscono in maniera sostanziale i controlli di sicurezza precedentemente elencati nella ISO/IEC 27001:2013.

Nello specifico, ecco un quadro di sintesi delle novità introdotte nella nuova versione della ISO/IEC 27002:2022:

  • I controlli di sicurezza precedentemente elencati nella ISO/IEC 27001:2013, Annex A, sono stati aggiornati. I controlli sono ora organizzati in quattro "temi", termine introdotto in questa versione della norma: controlli organizzativi, sulle persone, controlli fisici e, infine, controlli tecnologici rispetto alle quattordici precedenti.
  • Il numero di controlli è diminuito da 114 a 93 (37 organizzativi, 34 tecnologici, 14 fisici, 8 sulle persone).
  • Sono stati definiti undici nuovi controlli e alcuni controlli sono stati accorpati.

I nuovi attributi dei controlli di sicurezza 

Un'altra importante novità introdotta dalla nuova versione è la definizione di "attributi" per ciascun controllo di sicurezza, che fornisce un metodo agile per ordinare e filtrare i controlli in base a criteri diversi. Ad ogni controllo sono ora associati cinque importanti attributi, ai quali sono associati specifici valori:

  • Tipo di controllo:
    • Preventivo (il controllo inteso a prevenire il verificarsi di un incidente di sicurezza delle informazioni).
    • Detettivo (il controllo agisce quando si verifica un incidente di sicurezza delle informazioni).
    • Correttivo (il controllo agisce dopo che si verifica un incidente di sicurezza delle informazioni).
  • Proprietà di sicurezza delle informazioni:
    • Riservatezza.
    • Integrità.
    • Disponibilità.
  • Concetti di Cybersecurity:
    • Identificare.
    • Proteggere.
    • Rilevare.
    • Rispondere.
    • Ripristinare.
  • Capacità operative:
    • Governo.
    • Gestione degli asset.
    • Protezione delle informazioni.
    • Sicurezza nelle risorse umane.
    • Sicurezza fisica.
    • Sicurezza di reti e sistemi.
    • Sicurezza delle applicazioni.
    • Configurazione sicura.
    • Gestione delle identità e degli accessi.
    • Gestione di minacce e vulnerabilità.
    • Continuità.
    • Sicurezza nelle relazioni con fornitori.
    • Legale e Conformità.
    • Gestione degli eventi di sicurezza delle informazioni.
    • Garantire la sicurezza delle informazioni.
  • Domini di sicurezza:
    • Governo e Ecosistema.
    • Protezione.
    • Difesa e Resilienza.

Infine, è importante menzionare che la nuova versione include anche due allegati molto utili: 

  • Allegato A, spiega come un'organizzazione può utilizzare gli attributi per creare delle proprie viste basate sugli attributi stessi, definiti nella ISO/IEC 27002 o di propria introduzione.
  • Allegato B, che crea una corrispondenza tra vecchi e nuovi controlli.

Alla luce delle molte modificazioni introdotte, è necessario programmare l’aggiornamento del proprio Sistema di gestione per la sicurezza delle informazioni (SGSI), con un’attenzione particolare ai nuovi 11 controlli  (Threat intelligence, Sicurezza delle informazioni per l'uso di servizi cloud, predisposizione ICT per la continuità aziendale, monitoraggio della sicurezza fisica, gestione delle configurazioni, cancellazione delle informazioni, data masking, data leakage prevention, attività di monitoraggio, web filtering e codifica sicura).

banner cybersecurity

Cybersecurity

Garantire la sicurezza informatica della tua azienda.