Il crimine informatico rappresenta una seria minaccia per le aziende di tutte le industrie e dimensioni - questo è ampiamente noto. Il repertorio va dallo spionaggio, al sabotaggio, al ricatto. Tuttavia, il pericolo non viene solo da Internet. Anche i vostri dipendenti possono essere un serio fattore di rischio. Soprattutto se la vostra azienda non ha adottato misure adeguate - date un'occhiata all'allegato A.7 della ISO 27001.

Loading...

Un sistema di gestione della sicurezza delle informazioni (ISMS) ben strutturato secondo la norma ISO 27001 costituisce la base per l'attuazione efficace di una strategia olistica di sicurezza delle informazioni. L'approccio sistematico aiuta a proteggere i dati aziendali confidenziali da perdite e abusi e ad identificare in modo affidabile i potenziali rischi per l'azienda, analizzarli e renderli controllabili attraverso misure appropriate. Questo coinvolge molto di più degli aspetti della sicurezza informatica. L'attuazione delle misure dell'allegato A della norma è particolarmente preziosa per la pratica.

ISO/IEC 27001:2013: - Tecnologia dell'informazione - Procedure di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti.

Allegato A della norma ISO 27001: rilevante nella pratica

Oltre alla sezione dei requisiti orientati al sistema di gestione (capitoli da 4 a 10), l'allegato A della versione del 2017 della norma ISO contiene un ampio elenco di 35 obiettivi di misura (controlli) con 114 misure concrete su una vasta gamma di aspetti della sicurezza in 14 capitoli.

Loading...

Conoscenza preziosa: la guida DQS all'audit

La nostra Guida ISO 27001 - Annex A è stata creata da esperti di primo piano come aiuto pratico all'implementazione e alla migliore comprensione dei requisisti dello standard selezionato. La Guida non si riferisce ancora alla versione revisionata della norma ISO 9001, prevista per la fine del 2022.

Nota: Le dichiarazioni indicate come "misure" nell'allegato A sono in realtà obiettivi individuali (controlli). Descrivono come dovrebbe essere un risultato conforme alla norma di misure (individuali) adeguate.

Le aziende dovrebbero utilizzare questi controlli come base per una strutturazione individuale e più approfondita della loro politica di sicurezza dell'informazione. Per quanto riguarda il tema del personale, è particolarmente interessante l'obiettivo di misura "Sicurezza del personale" nell'appendice A.7.

"Le misure non si basano sulla sfiducia dei collaboratori, ma su processi del personale chiaramente strutturati".

I processi del personale assicurano in tutte le fasi del rapporto di lavoro che le responsabilità e i doveri in materia di sicurezza dell'informazione siano assegnati e che il loro rispetto sia controllato. Le violazioni della politica di sicurezza dell'informazione - intenzionali o meno - non sono quindi impossibili, ma sono rese molto più difficili. E nel caso peggiore, un ISMS efficace fornisce all'organizzazione meccanismi appropriati per affrontare la violazione.

La sicurezza delle informazioni non è sfiducia

Non è affatto una questione di sfiducia se un'azienda emette linee guida appropriate per rendere più difficile l'accesso non autorizzato dall'interno o, meglio ancora, per impedirlo del tutto. Dopo tutto, una cosa è chiara: se il licenziamento di un dipendente è imminente o è già stato annunciato, la sua insoddisfazione può portare a un furto di dati mirato. Questo accade soprattutto quando il dipendente licenziato crede di avere diritti di proprietà sui dati del progetto. Al contrario, una candidatura per un particolare lavoro può già essere fatta con l'intento di commettere un atto criminale.

Altri scenari indicano un comportamento gravemente negligente o semplicemente imprudente, che può avere conseguenze altrettanto gravi. Succede, per esempio, che interi dipartimenti IT non si attengano alle proprie regole - troppo ingombranti, troppo lunghe. In ufficio, è la gestione incauta delle password o degli smartphone non protetti. Ma anche il collegamento incauto di chiavette USB, documenti aperti sullo schermo, documenti segreti in uffici vuoti - la lista delle possibili omissioni è lunga.

 

Allegato A.7 di ISO 27001 - Sicurezza del personale

Le aziende che hanno implementato un sistema di gestione della sicurezza delle informazioni (ISMS) secondo la norma ISO 27001 si trovano in una posizione migliore. Conoscono i requisiti e l'allegato A.7 della norma riconosciuta a livello internazionale. La norma ISO 27001 ha molto da offrire: anche se le misure di riferimento si riferiscono direttamente ai requisiti della norma, sono sempre rivolte alla pratica aziendale diretta.

Le aziende con un ISMS efficace conoscono gli obiettivi specificati in A.7, che devono essere implementati nell'ottica della sicurezza del personale per il pieno rispetto della norma - in tutte le fasi di lavoro.

 

Cosa dice la norma ISO 27001 nell'allegato A.7?

Misure prima dell'assunzione

L'organizzazione deve assicurarsi che un nuovo dipendente comprenda le sue future responsabilità e sia adatto al suo ruolo prima di assumerlo - secondo l'allegato A.7.1. Nella sezione dei requisiti (capitolo 7.2), la norma parla di "competenza".

Come misura di riferimento orientata all'obiettivo, i candidati per un lavoro ricevono prima un controllo di sicurezza che rispetta i principi etici e le leggi applicabili. Questo controllo deve essere appropriato in relazione alle esigenze aziendali, alla classificazione delle informazioni da ottenere ed ai possibili rischi (A.7.1.1). Per poter raggiungere questo obiettivo, si deve, tra l'altro, avere in atto, assicurare o verificare quanto segue:

  • Una procedura per ottenere informazioni (come e a quali condizioni)
  • Una lista di criteri legali ed etici da osservare
  • Il controllo di sicurezza deve essere appropriato, in relazione ai rischi e alle necessità dell'azienda
  • La plausibilità e l'autenticità di C.V., bilanci e altri documenti
  • L'affidabilità e la competenza del candidato per la posizione prevista

Accordi contrattuali

Il passo successivo riguarda l'occupazione ed i termini contrattuali. Quindi, questa misura di riferimento nell'allegato A della ISO/IEC 27001 consiste nell'accordo contrattuale su quali responsabilità hanno i dipendenti verso l'azienda e viceversa (A.7.1.2). Il successo dell'implementazione di questo requisito include, tra l'altro, l'adempimento di questi punti:

  • La firma di un accordo di riservatezza da parte del dipendente (contraente) con accesso ad informazioni riservate
  • Un obbligo contrattuale da parte del dipendente (contraente) di rispettare, per esempio, le questioni di copyright o di protezione dei dati
  • Una disposizione contrattuale sulla responsabilità dei dipendenti (appaltatori) quando trattano informazioni esterne

Durante l'impiego - Le responsabilità dell'Alta direzione.

I dipendenti devono essere consapevoli delle loro responsabilità in materia di sicurezza delle informazioni. Questo è l'obiettivo di A.7.2 e, cosa più importante, gli impiegati devono essere all'altezza di queste responsabilità.

La prima misura (A.7.2.1) riguarda l'obbligo della direzione di incoraggiare i suoi impiegati ad attuare la sicurezza delle informazioni in conformità alle politiche ed alle procedure stabilite. A tal fine, i seguenti punti devono essere regolati:

  • In che modo la direzione incoraggia i dipendenti ad implementare? Dove sono i rischi?
  • Come si assicura che i dipendenti siano a conoscenza delle linee guida implementate per trattare la sicurezza dell'informazione?
  • Come controlla che i collaboratori rispettino le linee guida per il trattamento della sicurezza dell'informazione?
  • Come motivano i dipendenti a implementare le politiche e le procedure e ad applicarle in modo sicuro?

Creare la consapevolezza

Nel capitolo 7.3 "Consapevolezza", la ISO 27001 richiede che le persone che svolgono attività rilevanti siano a conoscenza

  • della politica di sicurezza delle informazioni dell'organizzazione
  • del contributo che danno all'efficacia del sistema di gestione della sicurezza delle informazioni (ISMS)
  • dei benefici di una migliore performance di sicurezza delle informazioni
  • delle conseguenze del mancato rispetto dei requisiti dell'ISMS

Soprattutto, i nuovi dipendenti hanno bisogno di informazioni regolari sull'argomento, per esempio via e-mail o via intranet, oltre al briefing obbligatorio sui temi della sicurezza delle informazioni. La formazione concreta (in particolare sui piani di emergenza e sulle esercitazioni), i workshop specifici e le campagne di sensibilizzazione (ad esempio tramite manifesti) rafforzano la consapevolezza del sistema di gestione della sicurezza delle informazioni.

Ad esempio, la misura di riferimento A.7.2.1 dell'allegato A della norma ISO 27001 serve anche a creare un'adeguata consapevolezza della sicurezza delle informazioni. Le organizzazioni devono formare ed educare i loro dipendenti e, se del caso, i loro appaltatori su argomenti professionalmente rilevanti. Le politiche e le procedure corrispondenti devono essere aggiornate regolarmente. I seguenti aspetti, tra gli altri, devono essere presi in considerazione:

  • Il modo in cui l'alta direzione, da parte sua, si impegna per la sicurezza dell'informazione
  • La natura dell'istruzione e della formazione professionale
  • La frequenza con cui le politiche e le procedure vengono riviste e aggiornate
  • Altri strumenti utilizzati
  • Misure concrete per familiarizzare i dipendenti con le politiche e le procedure interne di sicurezza dell'informazione

CONSIGLIO: assicurare una comunicazione ben funzionante con più canali per il trasferimento delle conoscenze. Questo perché la consapevolezza dell'ISMS e dei relativi aspetti richiesti dalla norma è strettamente legata al trasferimento delle conoscenze.

Processo di rimprovero

Allegato 7.2.3: questa misura specifica il modo in cui l'organizzazione gestirà i richiami in caso di violazioni della sicurezza delle informazioni. La base è un processo di azione correttiva. Deve essere formalmente definito, stabilito e annunciato. Si deve garantire quanto segue:

  • devono esistere criteri in base ai quali viene classificata la gravità di una violazione della politica di sicurezza delle informazioni
  • Il processo disciplinare non deve violare le leggi applicabili
  • Il processo disciplinare deve contenere misure che motivino i dipendenti a cambiare il loro comportamento in modo positivo a lungo termine

Fine del rapporto di lavoro - Responsabilità

L'allegato A.7.3 della ISO 27001 specifica come obiettivo un processo di cessazione o di cambiamento efficace per proteggere gli interessi dell'organizzazione. Questo obiettivo si concentra sulle responsabilità per la cessazione o il cambiamento del rapporto di lavoro. Di conseguenza, le responsabilità e gli obblighi relativi alla sicurezza delle informazioni che rimangono dopo la cessazione o il cambiamento di impiego devono essere definiti, comunicati e fatti rispettare. Ha senso considerare questi aspetti:

  • Accordi nei contratti di lavoro su come i dipendenti devono affrontare le responsabilità e i doveri continui relativi alla sicurezza delle informazioni dopo la cessazione del rapporto di lavoro
  • Meccanismi di monitoraggio per assicurare la conformità con questi accordi
  • Procedure per imporre il rispetto delle responsabilità e dei doveri continui

 

Sicurezza informatica attraverso la sicurezza sistematica del personale

La minaccia dall'interno è reale - e la maggior parte delle aziende ne è consapevole. Secondo uno studio sulla sicurezza (Balabit 2018), i dipendenti che hanno diritti di accesso ad ampio raggio sono particolarmente vulnerabili agli attacchi. E con i dipendenti coinvolti nel 50% di tutte le violazioni della sicurezza, il 69% dei professionisti IT che hanno risposto considera una violazione dei dati interni come il rischio maggiore. Eppure si fa poco al riguardo. In pratica, è spesso difficile accusare il personale interno. Soprattutto nelle piccole e medie imprese (PMI), dove le persone si conoscono, si ripone spesso una certa fiducia in loro - a volte con conseguenze spiacevoli. Una gestione ben strutturata della sicurezza delle informazioni costituisce la base per garantire la sicurezza delle informazioni che richiedono protezione.

Conclusione: ISO 27001 in pratica - Allegato A

Nell'allegato A.7, la ISO/IEC 27001:2017 fornisce le misure di riferimento per la sicurezza del personale che devono essere implementate come parte dell'introduzione della norma. Le aziende dovrebbero usare questi controlli come base per la progettazione individuale e più approfondita della loro politica di sicurezza delle informazioni. Le misure non si basano sulla sfiducia dei dipendenti, ma su processi del personale chiaramente strutturati.

La guida alla ISO 27002 definisce un ampio catalogo di misure di sicurezza generali per supportare le organizzazioni nell'implementazione dei requisiti che si ricavano dall'Annex A della ISO 27001. All'inizio del 2022, la guida è stata rivista e aggiornata dettagliatamente. La nuova edizione fornisce fornisce ai responsabili della sicurezza delle informazioni una visione precisa dei cambiamenti che ci si possono aspettare della revisione della ISO 27001.

 

Competenza e fiducia

Le aziende certificate apprezzano i sistemi di gestione come strumenti per l'Alta direzione che creano trasparenza, riducono la complessità e forniscono sicurezza. Tuttavia, i sistemi di gestione fanno ancora di più: valutati e certificati da una terza parte neutrale ed indipendente come DQS, creano fiducia con le parti interessate nella performance della vostra azienda.

Molte organizzazioni vivono ancora la certificazione come un controllo di conformità. I nostri clienti, invece, la vedono come un'opportunità per concentrarsi sui fattori critici di successo e sui risultati del loro sistema di gestione. Perché le nostre competenze principali risiedono nell'esecuzione di audit e valutazioni di certificazione. Questo ci rende uno dei fornitori leader a livello mondiale con la pretesa di stabilire sempre nuove norme di affidabilità, qualità ed orientamento al cliente.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certificazione secondo la ISO 27001

Cosa dovete fare per ottenere la certificazione del vostro sistema di gestione della sicurezza delle informazioni secondo la norma ISO 27001? Scopritelo gratuitamente e senza impegno.

Attenzione: i nostri articoli sono scritti esclusivamente dai nostri esperti interni di sistemi di gestione e da auditor esperti. Se avete domande per i nostri autori sulla sicurezza delle informazioni (ISMS), contattateci. Non vediamo l'ora di parlare con voi.

Autore
André Saeckel

Responsabile di prodotto DQS per la gestione della sicurezza delle informazioni. Come esperto di norme per il settore della sicurezza delle informazioni e del catalogo di sicurezza IT (infrastrutture critiche), André Säckel è responsabile, tra l'altro, delle seguenti norme e standard specifici del settore: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (sicurezza delle informazioni nell'industria automobilistica). È anche membro del gruppo di lavoro ISO/IEC JTC 1/SC 27/WG 1 come delegato nazionale dell'Istituto tedesco di normazione DIN.

Loading...