Molti chiedono se la ISO/IEC 27001 impone l’implementazione di alcuni controlli, come fanno alcuni auditor. Chiedono, per esempio, se la ISO/IEC 27001 specifica che la distanza tra il data center primario e quello di disaster recovery deve essere di almeno 50 km, che le porte dei rack devono essere chiuse a chiave, che la procedura relativo allo sviluppo deve specificare lo strumento usato per tracciare le richieste di assistenza, che deve essere implementato un DLP.
In tutti i casi la risposta è no. La ISO/IEC 27001 richiede di determinare i controlli necessari sulla base dei risultati di una valutazione del rischio relativa alla sicurezza delle informazioni. Il confronto dei controlli determinati dall’organizzazione con quelli presenti nell’Appendice A della ISO/IEC 27001 è necessario solo per essere certi di averli considerati tutti.
L’importanza della valutazione del rischio
In pochissime parole, la valutazione del rischio richiede di identificare le minacce a cui è sottoposta l’organizzazione; valutarne la probabilità di accadimento e i potenziali impatti; determinare, sulla base di queste valutazioni, i controlli necessari per ridurre la probabilità di riuscita di una minaccia o gli impatti; infine, accettare il rischio residuo.
In definitiva, la valutazione del rischio serve a scegliere in modo adeguato i controlli di sicurezza. Richiedere l’implementazione di controlli perché sono presenti in un elenco (seppur autorevole) e senza considerare i risultati della valutazione del rischio, renderebbe inutile quest’ultima.
Notoriamente, non è possibile ridurre il rischio a zero, sia perché i controlli che prevengono incidenti o ne mitigano gli impatti hanno dei limiti, sia perché controlli più robusti o efficaci hanno costi eccessivi (in termini di costi diretti, di manutenzione o di accettazione all’interno dell’organizzazione), sia perché è possibile che non tutti i rischi siano stati identificati o correttamente valutati.
Stabilire se la valutazione del rischio è efficace o i controlli di sicurezza sono adeguati richiede di capire il perché sono state fatte determinate scelte e se sono state fatte in modo consapevole.
Come valutare i controlli di sicurezza delle informazioni
Valutare i controlli vuol dire valutarne due aspetti:
- come sono stati scelti;
- se sono implementati correttamente.
Per quanto riguarda la scelta, è sempre opportuno ricordare che non tutte le realtà sono uguali. Vanno quindi analizzati i risultati della valutazione del rischio.
La scelta dei controlli deve quindi basarsi sulla valutazione del rischio. Questa può anche portare l’organizzazione a decidere, consapevolmente, di non implementarne alcuni.
Facciamo l’esempio del data center di disaster recovery: se si parla di un’azienda di consulenza, dove ciascun consulente ha copie dei documenti sul proprio pc può essere più che sufficiente avere un backup settimanale del file server, conservato in un data center a pochi chilometri di distanza dal primario. Diverso è ovviamente il discorso per le applicazioni di tesoreria di una banca.
Altro esempio è quello delle chiavi dei rack: se i server sono in un data center dedicato, può non essere necessario chiudere ogni rack a chiave. Per data center condivisi, ovviamente, i ragionamenti devono essere diversi.
Anche per quanto riguarda l’implementazione, è necessario decidere caso per caso.
Per esempio, in piccole realtà, dove le persone addette alla gestione dei sistemi informatici sono poche e intercambiabili, l’implementazione di una soluzione di antimalware può non richiedere una procedura dettagliata per la sua manutenzione. Similmente, se i visitatori sono sempre accompagnati, non è sempre necessario registrare le persone che accedono alla sede o al data center (tanto più nei casi in cui la registrazione può essere facilmente elusa).
Influenza della normativa e delle richieste dei clienti sui controlli
Non sempre i controlli vanno determinati dalla valutazione del rischio, ma anche dalla normativa vigente (la privacy o, nel caso di alcune organizzazioni, la NIS 2) o dai clienti.
Norme come la ISO/IEC 27001 permettono, a rigore, di accettare il rischio relativo al mancato rispetto della normativa vigente o delle richieste dei clienti senza che questi ne siano informativi.
È però vero che il certificato deve rappresentare una garanzia per il mercato e per tutte le parti interessate, che si aspettano il rispetto della normativa e dei requisiti contrattuali.
L’accettazione del rischio: una scelta consapevole
Le norme non stabiliscono quali sono i rischi accettabili o non accettabili. Richiedono di stabilire i criteri di accettabilità dei rischi e questi non necessariamente richiedono che il livello di rischio sia basso.
D’altra parte, il trattamento di dati critici porta sempre rischi elevati che non possono essere ridotti entro un certo livello.
In fase di verifica, gli auditor devono valutare la coerenza delle analisi e se le scelte di accettazione sono state fatte consapevolmente, non imporre i propri criteri di accettazione del rischio.
Per esempio, se il reparto commerciale richiede di non sperimentare indisponibilità del sistema gestionale più lunghe di 4 ore per non perdere opportunità commerciali, ma il costo per una soluzione di DR che rispetti questo limite è molto elevato e la Direzione accetta il rischio, questa decisione deve essere a sua volta accettata (anche perché non ha impatti sui clienti).
Conclusioni
Molti standard propongono check list di controlli di sicurezza. Non per questo vanno implementati tutti. Tra l’altro, come dimostrano anche molti casi di cronaca (non ultimo quello di Avast), le soluzioni di sicurezza possono anche introdurre rischi.
I controlli di sicurezza vanno sempre determinati da una valutazione del rischio. Lo stesso GDPR ha introdotto in Italia il concetto di responsabilizzazione e ha stabilito che non esistono liste di controlli di sicurezza validi per tutti (come l’esperienza di molti con Allegato B del D. Lgs. 196 del 2003 ha dimostrato).
È quindi necessario cambiare punto di vista, soprattutto in occasione degli audit, e cominciare a interrogarsi e interrogare sulle motivazioni che hanno portato alle scelte di trattamento del rischio.
L’uso dell’Annex A dell’ISO/IEC 27001 in questo senso è supportato anche dagli stessi partecipanti alla sua scrittura, come riportato in alcuni articoli presenti nel SC 27 Journal Volume 3, Issue 4 Oct 2023 – Auditing Practice Articles (https://committee.iso.org/sites/jtc1sc27/home/wg2.html).
