Le minacce informatiche sono, oggi, uno dei rischi più gravi per le aziende e avere a disposizione un sistema di gestione della sicurezza delle informazioni (ISMS) è, infatti, una parte essenziale della difesa di un’organizzazione moderna contro gli attacchi informatici e le violazioni dei dati. La norma ISO/IEC 27001, a seguito della revisione avvenuta a fine 2022, contiene ora nuove misure volte a migliorare la sicurezza informatica e la protezione dei dati.
Lo standard ISO/IEC 27001 è il principale standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS), e della cybersecurity in generale. A seguito della revisione dell’ottobre 2022, la nuova ISO/IEC 27001:2022 ha sostituito la precedente ISO/IEC 27001:2013. La nuova versione contiene modifiche attese da tempo relativamente alle misure di sicurezza informatica, alla protezione dei dati e alle misure concrete di sicurezza del cloud.
“Un sistema di gestione della sicurezza delle informazioni (ISMS) può aiutare le aziende di qualsiasi dimensione a proteggersi efficacemente dai cyberattacchi e da altre forme di manipolazione dolosa dei dati”, afferma Alexander Häußler, Global Product Performance Manager IT e Lead Auditor di TÜV SÜD. “La certificazione ISO/IEC 27001 consente alle aziende di rafforzare la protezione contro gli attacchi informatici e di prevenire la perdita di informazioni sensibili“.
Per fare chiarezza, informare e illustrare bene tutte le novità, TÜV SÜD ha realizzato un White Paper, che fornisce una panoramica aggiornata della norma ISO/IEC 27001, del suo sviluppo e dei passi concreti da compiere per ottenere la nuova certificazione.
“La nuova norma 27001:2022 è stata progettata per essere calata in maniera sartoriale su aziende di ogni settore, che si trovano ad affrontare un ambiente mutevole e imprevedibile, in continuo cambiamento a livello di tecnologia e di infrastrutture; un contesto di questo tipo porta inevitabilmente alla nascita di nuove vulnerabilità e minacce”, afferma Antonio Bagiolini, Business Line Manager ICT, Coordinatore Tecnico 27001 e Lead Auditor di TÜV SÜD.
Nuovi controlli
I principali cambiamenti della nuova ISO/IEC 27001:2022 rispetto alla precedente, riguardano i controlli definiti nell’Allegato A, che sono stati ridotti da 114 a 93 e riclassificati in quattro gruppi:
- Controlli organizzativi (37 controlli)
- Controlli sulle persone (8 controlli)
- Controlli fisici (14 controlli)
- Controlli tecnologici (34 controlli).
- Sono stati aggiunti 11 nuovi controlli, che affrontano questioni come il mascheramento dei dati (un metodo per rendere i dati inutilizzabili per gli hacker), le attività di monitoraggio (per rilevare attività informatiche insolite) e la sicurezza delle informazioni per l’uso di servizi cloud.
Il periodo di transizione termina nell’autunno del 2025
Dalla pubblicazione del nuovo standard si applica un periodo di transizione di 36 mesi; ciò significa che i certificati esistenti devono essere convertiti al nuovo standard ISO/IEC 27001:2022 entro l’autunno del 2025. Le aziende già in possesso della certificazione ISO/IEC 27001:2013 hanno quindi circa tre anni per completare la transizione dei loro certificati. Tuttavia, TÜV SÜD consiglia alle aziende di iniziare prima possibile ad affrontare le modifiche del nuovo standard, data l’importanza cruciale per la sicurezza delle informazioni.
“Un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) certificato” – continua Antonio Bagiolini di TÜV SÜD – “è costituito da processi, tecnologie e persone che aiutano a proteggere e governare tutte le risorse informative ed informatiche dell’organizzazione, attraverso un approccio efficace alla gestione del rischio e ai controlli. Con la nuova edizione della norma ISO IEC 27001 un’organizzazione può dimostrare un forte impegno rivolto alla sicurezza delle informazioni proprie e dei propri partner e aumentare così la fiducia dei propri clienti”.
Il nuovo White Paper di TÜV SÜD chiarisce e approfondisce tutti i nuovi elementi.