Nel nostro mondo di dati mercificati, gli standard di sicurezza informatica devono essere altissimi e precisissimi. La maggior parte delle aziende, anche se non immediatamente legate alla tecnologia, alla fine si imbatterà nella necessità di cingersi dall'interno.
Più di dieci anni fa, l'International Organization of Standards ha adottato una specifica chiamata ISO 27001. Quindi cos'è esattamente? Cosa può dirci un audit ISO 27001 sulle macchinazioni interne di un'organizzazione? E come decidete se la vostra azienda debba essere sottoposta a audit?
Che cos'è un sistema di gestione della sicurezza delle informazioni (ISMS)?
Un sistema di gestione della sicurezza delle informazioni (ISMS) è la principale linea di difesa di un'organizzazione contro violazioni dei dati e altri tipi di minacce informatiche da fuori.
Un ISMS efficace garantisce che le informazioni da proteggere rimangano riservate e sicure, fedeli alla fonte e accessibili alle persone che hanno l'autorizzazione a lavorarci.
Un errore comune è presumere che un ISMS non sia altro che un firewall o altri mezzi tecnici di protezione. Invece, un ISMS completamente integrato è altrettanto presente nella cultura dell'azienda e in ogni dipendente, ingegnere e non. Va ben oltre il reparto IT.
Oltre alla semplice politica e procedura ufficiale, l'ambito di questo sistema include anche la capacità del team di gestire e perfezionare il sistema. L'esecuzione e il modo in cui il protocollo viene effettivamente applicato sono di primaria importanza.
Ciò comporta l'adozione di un approccio a lungo termine alla gestione e alla mitigazione del rischio. I dirigenti di un'azienda devono avere una profonda familiarità con tutti i rischi associati al settore in cui lavorano in modo specifico. Armati di questa intuizione, saranno in grado di costruire di conseguenza i muri intorno a sé stessi.
Che cos'è esattamente la ISO 27001?
Nel 2005, l'Organizzazione internazionale per la standardizzazione (ISO) e l'International Electrotechnical La Commissione (IEC) ha rinnovato BS 7799, uno standard di gestione della sicurezza stabilito per la prima volta dal Gruppo BSI 10 anni in precedenza.
Ora ufficialmente noto come ISO/IEC 27001:2005, ISO 27001 è uno standard internazionale di conformità assegnato alle aziende esemplari nella gestione della sicurezza delle informazioni.
In sostanza, è una rigorosa raccolta di standard rispetto ai quali il sistema di gestione della sicurezza delle informazioni di un'azienda può essere confrontato. Questo quadro consente ai revisori di valutare quindi la tenacia del sistema nel suo insieme. Le aziende possono scegliere di sottoporsi a un audit quando vogliono rassicurare i propri clienti e clienti che i loro dati sono al sicuro all'interno delle loro mura.
Sono incluse in questa raccolta di disposizioni: specifiche relative alla politica di sicurezza, asset classificazione, sicurezza ambientale, gestione della rete, manutenzione del sistema e continuità operativa pianificazione.
L'ISO ha condensato tutte queste sfaccettature dalla carta originale di BSI, distillandole nella versione che riconosciamo oggi.
Approfondire la politica
Cosa viene valutato esattamente quando un'azienda viene sottoposta a un audit ISO 27001?
Lo scopo dello standard è quello di formalizzare una politica dell'informazione efficace e sicura a livello internazionale. Incentiva un atteggiamento proattivo, che cerca di evitare problemi prima che accadano.
L'ISO sottolinea tre aspetti importanti di un ISMS sicuro:
1. Analisi costante e riconoscimento del rischio: include sia i rischi attuali sia i rischi che potrebbero presentarsi in futuro.
2. Un sistema robusto e sicuro: include il sistema così com'è esistente in senso tecnico, nonché eventuali controlli di sicurezza che l'organizzazione utilizza per proteggersi dai suddetti rischi. Questi avranno un aspetto molto diverso, a seconda dell'azienda e del settore.
3. Un team devoto di leader: saranno queste le persone che effettivamente metteranno in atto i controlli a difesa dell'organizzazione. Il sistema è efficace quanto quelli che lavorano al timone.
L'analisi di questi tre fattori chiave aiuta il revisore a tracciare un quadro più completo della capacità di una determinata azienda di operare in sicurezza. La sostenibilità è favorita rispetto a un ISMS che si basa solo sulla forza tecnica bruta.
Relazionato: Come impedire ai dipendenti di rubare i dati dell'azienda quando se ne vanno
C'è un elemento umano importante che deve essere presente. Il modo in cui le persone all'interno dell'azienda esercitano il controllo sui propri dati e sul proprio ISMS è al di sopra di ogni altra cosa. Questi controlli sono ciò che effettivamente mantiene i dati al sicuro.
Che cos'è l'allegato A della ISO 27001?
Esempi specifici di "controlli" dipendono dal settore. L'allegato A della ISO 27001 offre alle aziende 114 mezzi di controllo ufficialmente riconosciuti sulla sicurezza delle loro operazioni.
Questi controlli rientrano in una delle quattordici classificazioni:
A.5—Informazioni e politiche di sicurezza: le politiche e le procedure istituzionalizzate che un'azienda segue.
A.6—Organizzazione della sicurezza delle informazioni: l'attribuzione di responsabilità all'interno dell'organizzazione per quanto riguarda il quadro del SGSI e la sua attuazione. Incluso qui, stranamente, è anche la politica che disciplina il telelavoro e il and utilizzo dei dispositivi all'interno dell'azienda.
A.7—Sicurezza delle risorse umane: riguarda l'onboarding, l'offboarding e i dipendenti che cambiano ruolo all'interno dell'organizzazione. Anche gli standard di screening e le migliori pratiche in materia di istruzione e formazione sono delineati qui.
A.8—Gestione delle risorse: comporta il trattamento dei dati. Le risorse devono essere inventariate, mantenute e mantenute private, in alcuni casi anche attraverso le linee dipartimentali. La proprietà di ciascun bene deve essere stabilita chiaramente; questa clausola raccomanda alle aziende di redigere una "Politica di utilizzo accettabile" specifica per la loro linea di attività.
A.9—Controllo di accesso: chi è autorizzato a gestire i tuoi dati e come limiterai l'accesso ai soli dipendenti autorizzati? Ciò può includere l'impostazione dell'autorizzazione condizionale in senso tecnico o l'accesso a edifici chiusi nel campus della tua azienda.
A.10—Crittografia: si occupa principalmente della crittografia e di altre modalità di protezione dei dati in transito. Queste misure preventive devono essere gestite attivamente; l'ISO scoraggia le organizzazioni dal considerare la crittografia come una soluzione universale per tutte le sfide complesse associate alla sicurezza dei dati.
A.11—Sicurezza fisica e ambientale: valuta la sicurezza fisica del luogo in cui si trovano i dati sensibili, sia in un vero e proprio edificio per uffici sia in una piccola stanza climatizzata e piena di server.
A.12—Sicurezza delle operazioni: quali sono le vostre regole di sicurezza interne quando si tratta del funzionamento della vostra azienda? La documentazione che spiega queste procedure dovrebbe essere conservata e rivista frequentemente per soddisfare le nuove esigenze aziendali emergenti.
La gestione del cambiamento, la gestione delle capacità e la separazione dei diversi reparti rientrano tutti in questa rubrica.
A.13—Gestione della sicurezza di rete: le reti che collegano ogni impianto all'interno della tua azienda devono essere ermetiche e curate con attenzione.
Le soluzioni catch-all come i firewall sono rese ancora più efficaci se integrate con elementi come checkpoint di verifica frequenti, politiche di trasferimento formalizzate o vietare l'uso delle reti pubbliche durante la gestione dei dati della tua azienda, ad esempio.
A.14—Acquisizione, sviluppo e manutenzione del sistema: se la tua azienda non dispone già di un ISMS, questa clausola spiega cosa porta in tavola un sistema ideale. Ti aiuta a garantire che l'ambito dell'ISMS copra ogni aspetto del ciclo di vita della tua produzione.
Una politica interna di sviluppo sicuro offre ai tuoi ingegneri il contesto di cui hanno bisogno per creare un prodotto conforme dal giorno in cui inizia il loro lavoro.
A.15—Politica di sicurezza del fornitore: quando si fanno affari con fornitori terzi esterni alla propria azienda, quali precauzioni vengono prese per prevenire fughe o violazioni dei dati condivisi con loro?
A.16—Gestione degli incidenti di sicurezza delle informazioni: quando le cose vanno male, la tua azienda probabilmente fornisce un quadro su come il problema dovrebbe essere segnalato, affrontato e prevenuto in futuro.
L'ISO ricerca sistemi di ritorsione che consentano alle figure di autorità all'interno dell'azienda di agire rapidamente e con grande pregiudizio dopo che è stata rilevata una minaccia.
A.17—Aspetti di sicurezza delle informazioni della gestione della continuità aziendale: in caso di disastro o qualche altro incidente improbabile che interrompa irrevocabilmente le tue operazioni, un piano dovranno essere in atto per preservare il benessere dell'azienda e dei suoi dati fino alla ripresa dell'attività come normale.
L'idea è che un'organizzazione abbia bisogno di un modo per preservare la continuità della sicurezza in tempi come questi.
A.18—Conformità: veniamo infine al vero e proprio contratto di accordi che un'azienda deve sottoscrivere per soddisfare i requisiti per la certificazione ISO 27001. I tuoi obblighi sono esposti davanti a te. Non ti resta che firmare sulla linea tratteggiata.
L'ISO non richiede più che le aziende conformi utilizzino solo controlli che rientrano nelle categorie sopra elencate. Tuttavia, l'elenco è un ottimo punto di partenza se stai appena iniziando a gettare le basi dell'ISMS della tua azienda.
Relazionato: Come migliorare la tua consapevolezza con buone pratiche di sicurezza
La mia azienda dovrebbe essere controllata?
Dipende. Se sei una start-up molto piccola che lavora in un campo non sensibile o ad alto rischio, probabilmente puoi aspettare fino a quando i tuoi piani per il futuro non saranno più certi.
Successivamente, man mano che la tua squadra cresce, potresti ritrovarti in una delle seguenti categorie:
- Potresti lavorare con un cliente importante che chiede di valutare la tua azienda per assicurarsi che sia al sicuro con te.
- Potresti voler passare a un'IPO in futuro.
- Sei già stato vittima di una violazione e devi ripensare al modo in cui gestisci e proteggi i dati della tua azienda.
Fare previsioni per il futuro potrebbe non essere sempre facile. Anche se non ti vedi in nessuno degli scenari di cui sopra, non fa male essere proattivi e iniziare a incorporare alcune delle pratiche raccomandate dall'ISO nel tuo regime.
Il potere è nelle tue mani
Preparare il tuo ISMS per un audit è semplice come prendere la dovuta diligenza, anche se lavori oggi. La documentazione dovrebbe essere sempre conservata e archiviata, fornendo le prove di cui avrai bisogno per sostenere le tue affermazioni di competenza.
È proprio come alle medie: fai i compiti e prendi il voto. I clienti sono sani e salvi e il tuo capo è molto contento di te. Queste sono semplici abitudini da imparare e mantenere. Ti ringrazierai più tardi quando l'uomo con gli appunti arriverà finalmente a chiamare.
Ecco gli attacchi informatici da tenere d'occhio nel 2021 e come evitare di esserne vittime.
Leggi Avanti
- Sicurezza
- Sicurezza del computer
- La sicurezza dei dati
Emma Garofalo è una scrittrice che attualmente vive a Pittsburgh, in Pennsylvania. Quando non lavora alla sua scrivania in cerca di un domani migliore, di solito si trova dietro la macchina da presa o in cucina.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per consigli tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.