.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

La gestione delle vulnerabilità nel contesto della ISO 27001

André Saeckel

Esperto DQS per la sicurezza delle informazioni
mag 23 , 2023
# Sicurezza delle informazioni e gestione dei rischi

La ISO 27001 si concentra sulle informazioni sensibili e preziose di un'organizzazione: La sua protezione, la sua riservatezza, la sua integrità e la sua disponibilità. La ISO 27001 è uno standard internazionale per la sicurezza delle informazioni nelle organizzazioni private, pubbliche o no-profit. Lo standard descrive i requisiti per la creazione, l'implementazione, il funzionamento e l'ottimizzazione di un sistema di gestione della sicurezza delle informazioni (ISMS) documentato. L'obiettivo principale del sistema di gestione è l'identificazione, la gestione e il trattamento dei rischi.

CONTENUTO

Quali sono le minacce e i rischi per la sicurezza delle informazioni?

La gestione delle vulnerabilità nel contesto di ISO 27001 si riferisce alle vulnerabilità tecniche. Queste possono costituire una minaccia per la sicurezza informatica di aziende e organizzazioni. Queste includono:

  • Ransomware, un software di estorsione che può portare alla crittografia dei supporti di dati e all'ottenimento di informazioni compromettenti
  • Trojan di accesso remoto (RAT), che può consentire l'accesso remoto alla rete
  • Phishing e SPAM, che possono portare alla perdita di controllo tramite e-mail. In questo caso, una porta d'accesso particolarmente popolare è il Regolamento generale sulla protezione dei dati (GDPR) e la richiesta in un'e-mail di controllare i dati dei clienti facendo clic su un link. Spesso i mittenti sembrano essere banche o addirittura PayPal.
  • DDoS/botnet, che possono compromettere la disponibilità e l'integrità dei sistemi a causa di enormi pacchetti di dati.
  • Terroristi informatici sponsorizzati dallo Stato, attivisti, criminali e criminali interni che portano un'ampia varietà di minacce.
  • Processi inadeguati o mancanti

L'identificazione delle vulnerabilità e delle lacune di sicurezza che derivano da queste minacce richiede una valutazione delle esigenze di protezione con la norma ISO 27001, perché ciò si traduce in una gestione sistematica delle vulnerabilità per proteggere l'infrastruttura IT con una valutazione continua delle vulnerabilità.

ISO/IEC 27001:2022 - Sicurezza delle informazioni, sicurezza informatica e tutela della privacy - Sistemi di gestione della sicurezza delle informazioni - Requisiti.
Lo standard ISO è stato rivisto e ripubblicato il 25 ottobre 2022.

Processi difettosi: una minaccia per la sicurezza delle informazioni?

Senza un processo di analisi dei log di sistema e dei dati di log, una conoscenza delle vulnerabilità tecniche e un esame più approfondito dei sistemi IT, non è possibile effettuare una valutazione realistica dei rischi. La mancanza di un processo o un processo errato non consente nemmeno di stabilire i criteri di accettazione del rischio o di determinare i livelli di rischio, come richiesto dalla norma ISO 27001.

Ne consegue che il rischio per la sicurezza informatica, e quindi per la sicurezza delle informazioni di un'azienda, non può essere determinato e deve essere assunto come il massimo rischio possibile per l'azienda stessa.

La gestione delle vulnerabilità nel contesto della ISO 27001: proteggere in modo ottimale l'infrastruttura

Una possibile misura adeguata per la sicurezza dell'infrastruttura IT è la gestione delle potenziali vulnerabilità e delle lacune di sicurezza. Ciò comporta una scansione regolare, sistematica e controllata dalla rete e test di penetrazione di tutti i sistemi per individuare le vulnerabilità tecniche. Tutte le vulnerabilità individuate vengono registrate nel sistema di gestione della sicurezza delle informazioni (ISMS) in conformità alla norma ISO 27001.

È altrettanto importante definire le minacce alla sicurezza informatica, oltre che alla sicurezza generale delle informazioni. In questo contesto, le vulnerabilità tecniche devono essere classificate in base alla gravità (CVSS) e infine eliminate. Anche la valutazione del rischio residuo derivante dalle vulnerabilità tecniche rimanenti e, in ultima analisi, l'accettazione del rischio fanno parte della gestione delle vulnerabilità secondo la norma ISO 27001.

Per valutare la gravità di una vulnerabilità, si può utilizzare lo standard industriale"CVSS - Common Vulnerability Scoring System". Un punteggio complessivo da 0 a 10 è determinato dalle Metriche di punteggio di base, che rispondono, tra l'altro, a queste domande: Quanto "vicino" deve arrivare l'attaccante al sistema vulnerabile (vettore di attacco)? Quanto facilmente l'attaccante raggiunge l'obiettivo (Complessità dell'attacco)? Quali diritti di accesso sono necessari per sfruttare la vulnerabilità (Privilegi richiesti)? Sono necessari degli aiutanti, ad esempio un utente che deve prima seguire un link (User Interaction)? La riservatezza è compromessa (Confidentiality Impact)?


Un calcolatore CVSS è disponibile sulle pagine del National Institute of Standards and Technology (NIST) degli Stati Uniti.

Come può un'azienda proteggersi dalle vulnerabilità tecniche?

Ad esempio, un'azienda può proteggersi preventivamente dalle minacce informatiche introducendo e implementando misure di rilevamento, prevenzione e sicurezza dei dati insieme a un'adeguata sensibilizzazione degli utenti. In dettaglio, ciò significa Per prevenire lo sfruttamento di una vulnerabilità tecnica nel contesto della gestione delle vulnerabilità della ISO 27001, è necessario:

  • Ottenere informazioni tempestive sulle vulnerabilità tecniche dei sistemi informativi utilizzati.
  • Valutare la loro vulnerabilità 
  • Adottare misure appropriate

Ciò può essere fatto installando patch di sicurezza (gestione delle patch), isolando i sistemi IT vulnerabili o, in ultima analisi, chiudendo il sistema. Inoltre, devono essere definite e implementate regole per l'installazione di software da parte degli utenti.

Domande importanti sulla gestione delle vulnerabilità e sul concetto di sicurezza ISO 20071

Le seguenti domande potrebbero essere poste durante un audit, quindi è opportuno affrontarle in anticipo:

  • Avete definito ruoli e responsabilità per affrontare e monitorare le vulnerabilità tecniche?
  • Siete venuti a conoscenza delle fonti di informazione che possono essere utilizzate per identificare le vulnerabilità tecniche?
  • Esiste una scadenza per rispondere con un'azione quando viene notificata e scoperta una vulnerabilità?
  • Avete condotto una valutazione del rischio delle vulnerabilità in relazione agli asset aziendali, tra le altre cose?
  • Conoscete le vostre vulnerabilità tecniche?

Se desiderate avere una panoramica completa e fondata delle minacce tedesche nello spazio cibernetico, potete trovare il "Situation Report on IT Security 2019" in inglese dell'Ufficio federale tedesco per la sicurezza informatica (BSI) all'indirizzo https://www.bsi.bund.de.

Conclusione

La gestione delle vulnerabilità nel contesto della ISO 27001 è un processo continuo che deve essere eseguito regolarmente. Secondo la ISO 27001, i risultati devono essere "validi". Ciò significa che una scansione delle vulnerabilità e una valutazione dei rischi effettuate una sola volta per l'implementazione o la certificazione non sono più valide in un momento successivo, ad esempio durante la ricertificazione.

Una scansione delle vulnerabilità è valida solo nel momento esatto in cui viene eseguita. Ma se in seguito vengono effettuati aggiornamenti del software o modifiche alla topologia, queste possono portare a nuove vulnerabilità.

Pertanto, è importante per qualsiasi organizzazione tracciare, verificare e ripetere continuamente i processi di gestione delle vulnerabilità e inserire le informazioni pertinenti nel sistema di gestione della sicurezza delle informazioni.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Certificazione ISO 27001

Quali sono gli sforzi da fare per ottenere la certificazione del vostro SGSI secondo la norma ISO 27001? Informatevi gratuitamente e senza impegno.

Saremo lieti di parlare con voi.

Invia una richiesta

DQS. Fare semplicemente leva sulla Qualità.

Ci consideriamo partner importanti dei nostri clienti, con i quali lavoriamo a livello visivo per ottenere un valore aggiunto sostenibile. Il nostro obiettivo è dare alle organizzazioni importanti impulsi di valore aggiunto per il loro successo imprenditoriale attraverso i processi più semplici e il massimo rispetto delle scadenze e dell'affidabilità.

Le nostre competenze principali consistono nell'esecuzione di audit e valutazioni di certificazione. Questo ci rende uno dei fornitori leader a livello mondiale, con la pretesa di stabilire sempre nuovi parametri di riferimento in termini di affidabilità, qualità e orientamento al cliente.

Autore
André Saeckel

Responsabile di prodotto DQS per la gestione della sicurezza delle informazioni. Come esperto di norme per il settore della sicurezza delle informazioni e del catalogo di sicurezza IT (infrastrutture critiche), André Säckel è responsabile, tra l'altro, delle seguenti norme e standard specifici del settore: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (sicurezza delle informazioni nell'industria automobilistica). È anche membro del gruppo di lavoro ISO/IEC JTC 1/SC 27/WG 1 come delegato nazionale dell'Istituto tedesco di normazione DIN.

Hai delle domande?

Siamo qui per te.
Contattaci