ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Sicurezza ICT per la continuità aziendale - controllo 5.30 in ISO 27001

Hans-Jürgen Fengler

Esperto DQS per la gestione della continuità operativa
ago 11 , 2023
# Sicurezza delle informazioni e gestione dei rischi

Il buon funzionamento delle tecnologie dell'informazione e della comunicazione (ICT) è essenziale per mantenere i processi aziendali nel contesto della digitalizzazione. Anche le interruzioni più brevi sono spesso accompagnate da gravi perdite finanziarie. Gli hacker sfruttano questo potenziale di danno quando criptano dati e sistemi in sofisticati attacchi ransomware e li rilasciano solo dopo il pagamento di riscatti elevati.

Gli aggiornamenti degli standard internazionali per la sicurezza delle informazioni, ISO 27001 e ISO 27002, mirano ora a porre fine a questo sviluppo: La misura di sicurezza (controllo) 5.30 "Prontezza delle TIC per la continuità operativa" nell'allegato A obbliga le aziende a garantire la disponibilità delle TIC anche in caso di interruzione. La nuova ISO 27001:2022 lancia un segnale forte in questo senso con i controlli e aiuta le aziende ad armare le loro strutture organizzative e le architetture di sicurezza contro gli scenari di minaccia in modo tempestivo. Leggete il seguente blog post per scoprire cosa significa il controllo 5.30 per il vostro sistema di gestione della sicurezza delle informazioni e come influenzerà i futuri audit.

CONTENUTO

La sicurezza ICT nell'organizzazione e la sua rilevanza per i processi aziendali di oggi

Strumenti di collaborazione come Microsoft Teams, applicazioni cloud sulle piattaforme dei principali hyperscaler, l'uso di servizi cloud e la produzione in rete (Industria 4.0) sono entrati a far parte della vita quotidiana delle aziende moderne, e non solo dopo la pandemia di coronavirus. Le moderne tecnologie dell'informazione e della comunicazione consentono flussi di lavoro rapidi ed efficienti e sono diventate strumenti insostituibili per il mantenimento dei processi aziendali in tutti i settori.

Per contro, ciò significa che la sicurezza e la disponibilità delle TIC sono molto importanti e devono essere sistematicamente monitorate e protette dalle interruzioni con misure e processi adeguati, al fine di garantire processi fluidi e ridurre al minimo i danni potenziali. Questo aspetto sta diventando sempre più importante, soprattutto in tempi in cui le minacce informatiche sono sempre più forti e alimentate da conflitti geopolitici. Le aziende hanno a disposizione una serie di strumenti a questo scopo, che vengono illustrati in termini generali qui di seguito e poi considerati nel contesto del controllo 5.30 della ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Domande e risposte sulla ISO 27001:2022

Cosa c'è da sapere sui "nuovi controlli" per la sicurezza delle informazioni: 38 risposte dei nostri esperti a 38 domande degli utenti.

  • In cosa consistono i nuovi controlli?
  • Quando è necessario passare al nuovo standard?
  • Dove posso trovare un elenco di corrispondenze vecchie e nuove?
  • ... e altre 35 domande!
Download the FAQ for the new ISO 27001 now and profit from our experts' expertise

Gestione della continuità operativa

Lagestione della continuità operativa (BCM), ad esempio in conformità alla norma ISO 22301, è un processo di gestione che assicura che le funzioni aziendali critiche non vengano interrotte a lungo durante e dopo un'interruzione o che possano essere riavviate il più rapidamente possibile attraverso la creazione, l'attuazione e la revisione di piani e strategie (di emergenza).

Lo standard descrive le precauzioni preventive in termini di organizzazione della preparazione alle (emergenze) e di pianificazione delle emergenze, al fine di aumentare l'affidabilità dei processi aziendali. Inoltre, le misure reattive (disaster recovery) sono pianificate e adottate come parte dell'organizzazione di risposta (all'emergenza) per consentire una risposta rapida e mirata in caso di interruzione dei processi IT e per ridurre i tempi di inattività, ad esempio attraverso un'elevata sicurezza ICT in azienda.

La BCM, come parte della pianificazione strategica, comprende l'identificazione dei rischi potenziali e delle vulnerabilità, la valutazione della criticità dei processi aziendali, lo sviluppo di piani di risposta alle interruzioni e la verifica di questi piani attraverso esercitazioni e simulazioni regolari. L'obiettivo della gestione della continuità operativa è quello di garantire che un'azienda sia in grado di rispondere in modo rapido ed efficace a un'interruzione e che la fiducia dei suoi stakeholder nella sua capacità di fornire e operare sia migliorata.

Analisi dell'impatto aziendale

L'analisi dell'impatto sul business (BIA) è il metodo utilizzato nella gestione della continuità operativa per registrare i processi e le funzioni aziendali critiche all'interno di un'organizzazione e per identificare le interdipendenze tra questi e le risorse sottostanti. Si tratta quindi di un processo strategico che aiuta a identificare e valutare l'impatto delle interruzioni delle attività aziendali. La BIA costituisce la base per determinare i tempi di riavvio necessari.

La BIA comporta tipicamente la valutazione della criticità dei processi aziendali, l'identificazione delle risorse necessarie per supportare tali processi e la determinazione dell'impatto delle interruzioni su tali processi e risorse. L'analisi aiuta le aziende a comprendere le potenziali conseguenze delle interruzioni e a stabilire le priorità degli sforzi di risposta e ripristino.

I risultati di una BIA possono informare lo sviluppo di un piano di continuità operativa (BCP) e di altre strategie di gestione del rischio per garantire che l'azienda sia meglio preparata a gestire gli eventi imprevisti e a minimizzarne l'impatto attraverso l'alta disponibilità di sistemi e strutture.

Ulteriori raccomandazioni per la conduzione di un'analisi dell'impatto sul business (BIA) sono contenute nelle linee guida della norma ISO/TS 22317.

 

La ISO 27001:2022 è la spina dorsale della continuità aziendale

Le tecnologie dell'informazione e della comunicazione (ICT) hanno un impatto significativo sulla continuità operativa di un'azienda. Le interruzioni possono avere un impatto significativo, soprattutto nell'area delle infrastrutture critiche (KRITIS), ad esempio. Per questo motivo, il controllo 5.30 " Prontezza delle TIC per la continuità operativa" nell'Allegato A della nuova ISO/IEC 27001:2022 è di grande importanza.

Lo scopo della misura è garantire un elevato livello di disponibilità del sistema ICT critico sulla base degli obiettivi di continuità operativa e dei requisiti di continuità ICT derivati, implementati e verificati da questi. Ciò include la definizione dei tipi di impatto e dei criteri di impatto all'interno del processo di BIA.

Le attività operative prioritarie vengono identificate su questa base e viene loro assegnato un obiettivo di tempo di ripristino (RTO). La BIA determina quindi le risorse necessarie per queste attività prioritarie e assegna loro un RTO. Un sottoinsieme di queste risorse includerà i servizi ICT. Inoltre, per le risorse ICT prioritarie devono essere definiti anche i punti di ripristino (RPO = Recovery Point Objective) e le relative distanze.

Sulla base dei risultati di tutti questi processi, le organizzazioni devono identificare e selezionare strategie di continuità ICT che considerino le opzioni per prima, durante e dopo un'interruzione. Su questa base, i piani di continuità (comprese le procedure di risposta e di recupero) vengono sviluppati, implementati e testati per soddisfare la prontezza ICT richiesta.

In questo contesto, è opportuno fare riferimento anche alla norma ISO/IEC 27031, una guida alla preparazione delle TIC per la continuità operativa, che fornisce alle aziende raccomandazioni per garantire la disponibilità dei sistemi TIC.

Impatto del controllo 5.30 sulla certificazione

Per essere certificate secondo lo standard ISO 27001:2022 rivisto, le organizzazioni devono ...

  • disporre di una struttura organizzativa adeguata per prepararsi, contenere e rispondere a un incidente. Ciò richiede anche personale con la necessaria responsabilità, autorità e competenza.
  • avere sviluppato piani di continuità ICT vincolanti, comprese le procedure di risposta e di ripristino, che descrivano in dettaglio come l'organizzazione intende affrontare un'interruzione dei servizi ICT. Questi piani devono essere approvati dal senior management e valutati regolarmente attraverso esercitazioni e test.
  • includono le seguenti informazioni nei loro piani di continuità:
    - Specifiche di prestazioni e capacità per soddisfare i requisiti e gli obiettivi di continuità operativa definiti nella BIA
    - RTO di ogni servizio ICT prioritario e le procedure per il ripristino di questi componenti
    - RPO delle risorse ICT prioritarie definite come informazioni e procedure per il ripristino delle informazioni

Certificazione ISO 27001

Quale impegno dovete aspettarvi per la certificazione? Scopritelo ora. Senza impegno e gratuitamente.

More about ISO 27001 certification

Sicurezza ICT per la continuità aziendale - conclusione

L'esempio lampante dell'hacking amministrativo di Anhalt-Bitterfeld, a seguito del quale alcuni servizi comunali non sono stati disponibili per settimane o mesi, dimostra la grande rilevanza delle tecnologie dell'informazione e della comunicazione nel mondo di oggi. Tuttavia, l'esempio dimostra anche quanto siano importanti la continuità e i piani di emergenza stabiliti.

Il controllo della misura di sicurezza 5.30 "Prontezza delle TIC per la continuità operativa" è quindi un aspetto importante degli standard di sicurezza delle informazioni rivisti ISO/IEC 27001:2022 e ISO/IEC 27002:2022, al fine di rafforzare la resilienza delle aziende.

Tuttavia, a volte le organizzazioni hanno difficoltà a valutare la criticità delle tecnologie dell'informazione e della comunicazione utilizzate e il loro potenziale di rischio durante l'implementazione, il che a sua volta ha un impatto diretto sulla catena delle priorità. La BIA e l'analisi dei rischi sono, per così dire, la spina dorsale della gestione della continuità operativa. Nel periodo che precede la certificazione, vale quindi la pena di rivedere e ottimizzare i propri sforzi per la continuità operativa e la disponibilità di soluzioni ICT con specialisti esperti.

DQS: Sfruttare semplicemente la sicurezza.

Grazie ai periodi di transizione, le aziende hanno tempo sufficiente per adattare la loro gestione della sicurezza delle informazioni ai nuovi requisiti e certificarla. Tuttavia, la durata e l'impegno dell'intero processo di cambiamento non devono essere sottovalutati. Se si vuole andare sul sicuro, è meglio affrontare i nuovi requisiti e la transizione al nuovo standard il prima possibile.

Siamo lieti di rispondere alle vostre domande

Per saperne di più su ... senza impegno e gratuitamente.

We are here for you. Please contact us.

In qualità di esperti di audit e certificazione con quasi 40 anni di esperienza, siamo lieti di supportarvi nella valutazione del vostro stato attuale, ad esempio nell'ambito di un audit delta. Scoprite dai nostri esperti i cambiamenti più importanti e la loro rilevanza per la vostra organizzazione.

Fiducia e competenza

I nostri testi sono scritti esclusivamente dai nostri esperti interni di sistemi di gestione e da auditor di lunga data. Se avete domande da porre all'autore, contattateci.

Autore
Hans-Jürgen Fengler

Hans-Jürgen Fengler è esperto e product manager per i sistemi di gestione della continuità operativa (ISO 22301), specialista per la BSI-Kritisverordnung tedesca (BSI-KritisV) e auditor per le normative nel campo della sicurezza delle informazioni.

Hai delle domande?

Siamo qui per te.
Contattaci