Misure tecniche per la sicurezza delle informazioni

Contenuto

• Le informazioni aziendali come obiettivo ambito di attacco
• Tre nuove misure per una maggiore sicurezza delle informazioni
• Cancellazione delle informazioni
• Mascheramento dei dati
• Prevenzione delle fughe di dati
• Misure tecniche per la sicurezza delle informazioni - una conclusione
• Cosa significa l'aggiornamento per la vostra certificazione?
• DQS: Il vostro partner competente per la sicurezza informatica certificata

Le informazioni aziendali sono un ambito obiettivo di attacco

Lo studio"Wirtschaftsschutz 2022"(Protezione delle imprese 2022) dell'associazione industriale tedesca Bitkom conferma che gli hacker sono molto consapevoli del valore economico delle informazioni e dei dati nel mondo degli affari di oggi: il 36% delle aziende intervistate è già stato colpito dal furto di dati sensibili e informazioni digitali. Gli obiettivi più gettonati sono i dati sulle comunicazioni (68%) e i dati dei clienti (45%).

I danni causati da ricatti, violazioni di brevetti e perdite di fatturato direttamente attribuibili al furto di dati si aggirano intorno a diversi miliardi di euro all'anno.

Le aziende e le organizzazioni devono rafforzare ulteriormente la protezione quando elaborano i loro dati critici. Ulteriori linee guida aiutano a migliorare ulteriormente il concetto di sicurezza generale e a ridurre la superficie di attacco.

Tre nuove misure tecniche per una maggiore sicurezza delle informazioni

Le 93 misure dell'Allegato A della nuova ISO/IEC 27001:2022 sono state riorganizzate in quattro argomenti:

• Misure organizzative
• Misure personali
• Misure fisiche
• Misure tecniche

Le tre nuove misure per la protezione delle informazioni che analizzeremo in dettaglio di seguito appartengono all'area tematica "Misure tecniche":

• 8.10 Cancellazione delle informazioni
• 8.11 Mascheramento dei dati
• 8.12 Prevenzione delle fughe di dati

Cancellazione delle informazioni

Il controllo 8.10 della ISO 27001 affronta i rischi posti dalle informazioni non più necessarie ma ancora presenti nei sistemi informativi, nei dispositivi o in altri supporti di memorizzazione. L'eliminazione di questi dati non più necessari ne impedisce la divulgazione, garantendo la conformità ai requisiti legali, statutari, normativi e contrattuali per l'eliminazione dei dati.

Nel fare ciò, le aziende e le organizzazioni dovrebbero considerare i seguenti punti:

• Scelta di un metodo di cancellazione appropriato alla luce dell'ambiente aziendale e legale, come la sovrascrittura elettronica o la cancellazione crittografica.
• Documentazione dei risultati
• Fornire prove quando si ricorre a fornitori di servizi per la cancellazione delle informazioni.

Se terzi si occupano dell'archiviazione dei dati per conto della vostra azienda, i requisiti per la cancellazione dovrebbero essere scritti nel contratto per farli rispettare durante e anche dopo la cessazione di questi servizi.

Per garantire la rimozione affidabile delle informazioni sensibili - assicurando al contempo la conformità alle politiche di conservazione dei dati e alle leggi e ai regolamenti applicabili - il nuovo standard prevede le seguenti procedure, servizi e tecnologie:

• Creazione di sistemi dedicati che consentano la distruzione sicura delle informazioni, ad esempio in base alle politiche di conservazione o su richiesta delle persone interessate.
• Cancellazione di versioni obsolete, copie o file temporanei su tutti i supporti di memorizzazione.
• Utilizzo esclusivamente di software di cancellazione approvati e sicuri per rimuovere in modo permanente e definitivo le informazioni
• Cancellazione tramite fornitori di servizi di smaltimento sicuro approvati e certificati.
• Utilizzo di metodi di smaltimento appropriati per il particolare supporto di memorizzazione da smaltire, come la smagnetizzazione dei dischi rigidi.

Quando si utilizzano servizi cloud, è importante verificare l'ammissibilità delle procedure di cancellazione offerte. Se questa viene concessa, l'organizzazione deve utilizzare la procedura di cancellazione o richiedere al fornitore del cloud di cancellare le informazioni. Se possibile, questi processi di cancellazione dovrebbero essere automatizzati come parte delle linee guida specifiche per ogni soggetto.

Per evitare la divulgazione involontaria di informazioni sensibili, tutta la memoria dei dispositivi restituiti ai fornitori deve essere rimossa prima della restituzione. Su alcuni dispositivi, come gli smartphone, la rimozione dei dati è possibile solo attraverso la distruzione o le funzioni interne (ad esempio, il ripristino delle impostazioni di fabbrica). A seconda della classificazione delle informazioni, è importante scegliere una procedura adeguata.

I processi di cancellazione dovrebbero essere documentati, a seconda della sensibilità, per poter dimostrare la rimozione dei dati in caso di dubbio.

Mascheramento dei dati

Per una serie di informazioni sensibili, come il trattamento dei dati personali, i requisiti aziendali, specifici del settore o normativi prevedono il mascheramento, la pseudonimizzazione o l'anonimizzazione delle informazioni. Una linea guida per queste misure è contenuta nel Controllo 8.11.

Le tecniche di pseudonimizzazione o anonimizzazione consentono di nascondere i dati personali, di oscurare i dati reali e di nascondere i collegamenti incrociati tra le informazioni. Per attuarle in modo efficace, è importante trattare adeguatamente tutti gli elementi rilevanti delle informazioni sensibili.

Mentre l'anonimizzazione modifica i dati in modo irrevocabile, nel caso della pseudonimizzazione è possibile trarre conclusioni sulla vera identità attraverso informazioni incrociate aggiuntive. Pertanto, le informazioni incrociate aggiuntive devono essere tenute separate e protette durante il processo di pseudonimizzazione.

Altre tecniche di mascheramento dei dati sono

• crittografia
• zeri o cancellazione di caratteri
• Numeri e date diverse
• Sostituzione - sostituzione di un valore con un altro per nascondere i dati sensibili
• Sostituzione dei valori con il loro hash

Quando si implementano queste Misure Tecniche per la Sicurezza delle Informazioni, è importante considerare una serie di aspetti:

• Gli utenti non devono avere accesso a tutti i dati, ma devono poter visualizzare solo quelli di cui hanno realmente bisogno.
• In alcuni casi, non tutti i dati di un insieme di dati devono essere visibili agli utenti. In questo caso, è necessario progettare e implementare procedure di offuscamento dei dati. Esempio: dati del paziente in una cartella clinica che non devono essere visibili a tutto il personale, ma solo ai dipendenti con ruoli specifici rilevanti per il trattamento.
• In alcuni casi, l'offuscamento dei dati non deve essere evidente a chi vi accede (offuscamento dell'offuscamento) se, ad esempio, è possibile trarre conclusioni sulla data effettiva attraverso la categoria di dati (gravidanza, analisi del sangue, ecc.).
• Requisiti legali o normativi, ad esempio l'obbligo di mascherare i dati delle carte di pagamento durante l'elaborazione o la conservazione.

In generale, il mascheramento dei dati, la pseudonimizzazione o l'anonimizzazione richiedono alcuni punti generali:

• La forza del mascheramento, della pseudonimizzazione o dell'anonimizzazione dei dati dipende in larga misura dall'uso dei dati elaborati.
• L'accesso ai dati elaborati deve essere garantito da meccanismi di protezione adeguati.
• Considerare accordi o restrizioni sull'uso dei dati elaborati.
• Divieto di abbinare i dati elaborati ad altre informazioni per identificare l'interessato.
• Tracciare e controllare in modo sicuro la fornitura e la ricezione dei dati elaborati.

Prevenzione della fuga di dati

Il controllo 8.12 è volto a prevenire la fuga di dati e formula misure specifiche da applicare a tutti i sistemi, le reti e gli altri dispositivi che elaborano, memorizzano o trasmettono informazioni sensibili. Per ridurre al minimo la fuga di dati sensibili, le organizzazioni devono considerare quanto segue:

• Identificare e classificare le informazioni, ad esempio i dati personali, i modelli di prezzo e il design dei prodotti.
• Monitoraggio dei canali attraverso i quali i dati possono trapelare, come e-mail, trasferimenti di file, dispositivi mobili e dispositivi di archiviazione mobili.
• Misure che prevengono la fuga di dati, ad esempio la messa in quarantena delle e-mail contenenti informazioni sensibili.

Per prevenire le fughe di dati nelle moderne e complesse strutture IT, caratterizzate da una moltitudine di dati diversi, le organizzazioni hanno bisogno di strumenti adeguati per

• identificare e monitorare le informazioni sensibili a rischio di divulgazione non autorizzata, ad esempio nei dati non strutturati presenti sul sistema di un utente
• Rilevare le divulgazioni di dati sensibili, ad esempio quando i dati vengono caricati su servizi cloud di terze parti non attendibili o inviati via e-mail
• Bloccare le azioni dell'utente o i trasferimenti di rete che espongono informazioni critiche, ad esempio impedendo la copia di voci di database in un foglio di calcolo.

Le organizzazioni devono interrogarsi criticamente sulla necessità di limitare le autorizzazioni degli utenti a copiare, incollare o caricare dati su servizi, dispositivi e supporti di memorizzazione esterni all'organizzazione. Se necessario, potrebbe essere necessario implementare strumenti adeguati per prevenire la fuga di dati o configurare in modo appropriato le tecnologie esistenti.

Ad esempio, gli utenti possono essere autorizzati a visualizzare e modificare i dati in remoto, ma non a copiarli e incollarli al di fuori del controllo dell'organizzazione. Se l'esportazione dei dati è comunque necessaria, il proprietario dei dati può approvarla caso per caso e, se necessario, ritenere gli utenti responsabili delle attività indesiderate.

La prevenzione delle fughe di dati si applica esplicitamente anche alla protezione delle informazioni riservate o dei segreti commerciali che possono essere utilizzati in modo improprio a fini di spionaggio o che possono essere di importanza vitale per la comunità. In questo caso, le misure dovrebbero essere progettate anche per confondere gli aggressori, ad esempio sostituendoli con informazioni false, con l'ingegneria sociale inversa o utilizzando vasi di miele per attirare gli aggressori.

Le fughe di dati possono essere supportate da controlli di sicurezza standard, ad esempio attraverso politiche specifiche per argomento per il controllo degli accessi e la gestione sicura dei documenti (vedere anche Misure/Controlli 5.12 e 5.15).

Importante quando si utilizzano gli strumenti di monitoraggio

Per proteggere le proprie informazioni, molti strumenti monitorano inevitabilmente anche le comunicazioni e le attività online dei dipendenti e i messaggi di terzi. Questo monitoraggio solleva diverse questioni legali che devono essere prese in considerazione prima di utilizzare gli strumenti di monitoraggio appropriati. È necessario bilanciare il livello di monitoraggio con una serie di leggi in materia di privacy, protezione dei dati, occupazione, intercettazione dei dati e telecomunicazioni.

Misure tecniche per la sicurezza delle informazioni - una conclusione.

Nel contesto generale degli obiettivi di protezione della sicurezza delle informazioni, ovvero riservatezza, integrità e disponibilità, le procedure di trattamento dei dati qui descritte svolgono un ruolo fondamentale nella maggiore protezione dei dati sensibili.

Grazie al monitoraggio continuo del flusso di dati e informazioni, al mascheramento delle informazioni sensibili e a rigorose politiche di cancellazione dei dati, le aziende possono migliorare in modo sostenibile la loro protezione contro la fuga di dati e la perdita di dati, contrastando la pubblicazione involontaria di informazioni critiche. Inoltre, le procedure contribuiscono in modo decisivo alla sicurezza informatica dell'azienda e riducono al minimo la superficie di attacco per gli hacker e lo spionaggio industriale.

Per le aziende e le organizzazioni, si tratta ora di stabilire le procedure e gli strumenti necessari in modo appropriato e di integrarli nei loro processi aziendali, al fine di dimostrare l'implementazione conforme allo standard dei requisiti nei futuri audit di certificazione.

Grazie alla professionalità dei nostri auditor esperti e alla nostra esperienza di certificazione di oltre 35 anni, ci proponiamo come interlocutore per i temi della sicurezza delle informazioni e della certificazione secondo la norma ISO 27001.

Cosa significa l'aggiornamento per la vostra certificazione?

La norma ISO/IEC 27001:2022 è stata pubblicata il 25 ottobre 2022. Ciò comporta le seguenti scadenze e periodi di transizione per gli utenti:

Data ultima per gli audit iniziali e di ricertificazione secondo la "vecchia" ISO 27001:2013.

• Dopo il 30 aprile 2024, DQS condurrà solo audit iniziali e di ricertificazione secondo il nuovo standard ISO/IEC 27001:2022.

Conversione di tutti i certificati esistenti secondo la "vecchia" ISO/IEC 27001:2013 alla nuova ISO/IEC 27001:2022

• È previsto un periodo di transizione di tre anni a partire dal 31 ottobre 2022.
• I certificati rilasciati secondo la ISO/IEC 27001:2013 o la EN ISO/IEC 27001:2017 sono validi fino al 31 ottobre 2025 al massimo o devono essere ritirati a tale data.

DQS: Il vostro partner competente in materia di sicurezza informatica certificata

Grazie ai periodi di transizione, le aziende hanno tempo a sufficienza per adattare la gestione della sicurezza delle informazioni ai nuovi requisiti e ottenere la certificazione. Tuttavia, la durata e l'impegno dell'intero processo di cambiamento non devono essere sottovalutati, soprattutto se non si dispone di sufficiente personale specializzato. Se volete andare sul sicuro, dovreste affrontare il problema prima possibile e, se necessario, ricorrere a specialisti esperti.

In qualità di esperti di audit e certificazione con oltre 35 anni di esperienza, saremo lieti di supportarvi durante un audit delta. Informatevi presso i nostri numerosi auditor esperti sui cambiamenti più importanti e sulla loro rilevanza per la vostra organizzazione. Saremo lieti di ascoltarvi.

Fiducia e competenza

I nostri testi sono scritti esclusivamente dai nostri esperti di sistemi di gestione interni e da auditor di lunga data. Se avete domande da porre all'autore, non esitate a contattarci.