Il nuovo standard prevede nuovi controlli di sicurezza e una diversa struttura gerarchica.
Prepariamoci. Lo dico per due motivi. Il primo è di carattere normativo. Il 15 febbraio 2022 è stata pubblicata la nuova edizione della norma ISO/IEC 27002, Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza. Dal momento che la norma in questione è strettamente legata alla ISO 27001, i cambiamenti della prima influiranno su quest’ultima. Non subito, ma lo faranno. Quindi è bene studiarne a fondo il contenuto e le implicazioni.
Chi mi segue lo sa: i Pensamenti non sono articoli tecnici, ma strumenti per capire meglio il contesto e per scoprire il perché delle cose.
PMI e attacchi informatici: numeri in aumento
Il perché sia fondamentale lo studio della nuova norma ISO, lo fornice in modo chiaro e ineluttabile lo stato in cui le PMI italiane affrontano il tema della cyber security: «Nell’arco di un anno, dice l’ultimo report Yarix, divisione di Var Group, si sono registrati oltre 57 mila attacchi da parte di hacker ad aziende italiane (+157%). Di questi, quasi 16 mila si sono evoluti in incidenti di sicurezza, tali da pregiudicare l’utilizzo di asset aziendali, violare disposizioni aziendali o di legge, causare la perdita o la diffusione di dati: un aumento del +225% in un anno».
Ecco, quando leggiamo questi numeri non dobbiamo immaginare grandi aziende che gestiscono dati degni di film di controspionaggio. Perché gli attacchi riguardano anche attività come pagine Facebook e e-commerce, quindi molto, molto comuni.
«Secondo la classifica stilata da Check Point Research – riporta BusinessPeople.it – l’Italia è il secondo Paese più colpito dai cyber attacchi nell’Unione Europea, alle spalle della Spagna».
Il vero pericolo: rinunciare in partenza
La minaccia è quindi dietro l’angolo. Ma c’è una minaccia a cui bisogna prestare massima attenzione. È quella che ci fa dire: «Non capisco nulla di informatica». Questo atteggiamento, invece di farci correre ai ripari, produce l’effetto contrario e contribuisce a farci rinunciare in partenza.
È un grave errore, perché molte volte non serve conoscere l’informatica, ma è sufficiente avere un po’ di cultura informatica. Quindi non sono richieste le competenze di un hacker, ma semplice buon senso. Ad esempio: mai usare la propria chiavetta usb con uno dei computer aziendali, usare sempre una autenticazione a due fattori per l’accesso ai Social Network e mai salvare le password tramite i browser di navigazione.
LEGGI ANCHE ISO 27001: Cos’è e perché non puoi farne a meno
Sono tutte buone pratiche che si possono acquisire studiando le norme ISO 27001 e ISO 27002. Ovviamente serve dell’altro, ma se pensiamo che buona parte degli attacchi riesce proprio a causa della mancanza di una cultura informatica di base, capisci bene quanto sia importante migliorare questi aspetti.
Ed ora qualche considerazione un po’ più tecnica sulla nuova norma. Mi riservo di approfondire questi aspetti nelle prossime settimane, quando tutti avremo più chiari determinati sviluppi.
ISO 27002: cosa fare se già certificati?
Ma al momento è importante sapere che: la ISO 27001 si rifà alla 27002 nell’uso dei controlli, ma con una differenza: trasforma i suggerimenti in disposizioni. Questo pone un problema: almeno fino a maggio non avremo l’adeguamento della ISO 27001. Ciò vuol dire che l’attuale Annex A della 27001, nella parte in cui affronta gli obiettivi di controllo e quelli di riferimento, non è allineata con la nuova 27002. Ne consegue che i controlli da applicare si riferiscono ancora ai capitoli che vanno dal 5 al 18 della vecchia 27002 del 2013.
Questa situazione ha un doppio risvolto. Il primo riguarda chi è già certificato ISO 27001, il secondo si riferisce a chi ancora si deve certificare.
Chi è già certificato non dovrà modificare nulla, almeno per il momento. In attesa anche delle eventuali indicazioni di Accredia.
A chi, invece, si deve ancora certificare ISO 27001, consiglio lo studio della nuova norma ISO 27002, ma con l’ausilio dell’Annex B. Quest’ultimo, infatti, contiene i nuovi controlli della norma.
Insomma, come ho detto all’inizio: prepariamoci.
