ISO IEC 27001: cos’è e come ottenerlo

La norma ISO IEC 27001 è uno standard internazionale che definisce i requisiti di Information Security Management System che le aziende che voglio ottenere la certificazione devono soddisfare.

La gestione della sicurezza non riguarda solo la sicurezza informatica, ma anche la sicurezza logica, fisica e organizzativa.

La versione ISO IEC 27001:2005 è uno standard di sicurezza che può essere certificato da un ente indipendente, mentre la versione 2007 rappresenta solo un insieme di linee guida.

Le Best Practice per la gestione della sicurezza

La certificazione ISO IEC 27001 raccoglie le best practice per costruire un sistema di gestione delle risorse informative e prevede inoltre che vengano svolti dei controlli di sicurezza.

Si fa riferimento soprattutto alla cyber security perché oggi quasi tutte le aziende conservano informazioni di valore su supporti informatici. Pertanto sono tenute a adottare cautele per la gestione del rischio e garantire l’integrità e la disponibilità dei dati. Un’azienda certificata ISO è un’azienda che ha dimostrato a un organo valutatore di terza parte di essere in grado di rispondere a questi criteri.

Quali settori possono richiedere la certificazione ISO IEC 27001

La certificazione iso può essere richiesta da aziende e organizzazioni operanti in svariati settori:

• commercio
• industria
• finanza e banking
• telco
• assicurazioni
• mobilità
• enti governativi ecc.

Partire dalla gestione del rischio e dal miglioramento continuo

Come la ISO 9001:2015 (che è lo standard per certificare la qualità dei processi aziendali) anche la ISO IEC 27001 ha due pilastri fondamentali dai quali le aziende devono partire:

1. La gestione del rischio;
2. Il miglioramento continuo.

I rischi relativi alla sicurezza delle informazioni possono essere mappati, anche quando i dati sono ormai già finiti nel dark web o nel deep web. L’entità del rischio inoltre si valuta in base alla tipologia di dati trattati e dell’impatto che un furto o una perdita di essi può avere sulla sicurezza dell’azienda e delle persone.

Sono strumenti utili per svolgere un risk assessment:

• audit interni;
• hacking etico;
• penetration test;
• vulnerability assessment.

Per ottenere l’obiettivo del miglioramento continuo, occorre partire quindi dall’analisi del rischio, mitigarlo con soluzioni idonee e adeguate e monitorare la sicurezza in maniera costante.

Quali azioni mettere in campo per mitigare il rischio? Dipende dagli obiettivi di sicurezza che l’azienda si prefigge di raggiungere.

La documentazione

Per permettere al valutatore indipendente di giudicare se l’azienda è in linea con lo standard di sicurezza ISO IEC 27001, le attività intraprese devono essere documentate.

La documentazione deve essere ampia ed esaustiva e deve riguardare:

• l’analisi del rischio;
• il Sistema di Gestione della Sicurezza delle Informazioni (ISMS).

Nell’ambito del ISMS rientrano anche le attività di controllo e di autocontrollo da parte dell’azienda.

Quali controlli effettuare per ottenere la certificazione ISO

L’allegato A allo standard (Annex A) riporta una lista di controlli che l’azienda deve effettuare per poter ottenere la certificazione ISO IEC 27001. Si tratta di oltre 130 azioni, 133 per l’esattezza.

Tali controlli riguardano diversi ambiti di gestione delle risorse informative:

• politiche di sicurezza dei beni;
• sicurezza del capitale umano;
• sicurezza fisica e controllo degli accessi;
• sicurezza informatica;
• gestione degli incidenti di sicurezza informatica ecc;
• integrità e disponibilità dei dati;
• continuità operativa in caso di incidente;
• compliance alle norme di riferimento.

AlienVault® Unified Security Management® (USM) per ottenere la ISO IEC 27001

La scelta di un buon prodotto di sicurezza informatica può accelerare sensibilmente l’adozione dello standard e la certificazione dell’azienda.

Da un lato infatti rende più semplice la gestione della sicurezza delle informazioni, mentre dall’altro consente di dimostrare facilmente di aver eseguito le azioni richieste dallo standard ISO 27001.

AlienVault® Unified Security Management® (USM) è una piattaforma di AT&T che permette di gestire più funzionalità di sicurezza informatica contemporaneamente e che si sposa perfettamente con i criteri richiesti dallo standard globale ISO 27001.

Quali controlli ISO 27001 puoi svolgere con AlienVault USM

Nella fattispecie, con AlienVault USM puoi svolgere tutta una serie di controlli richiesti per ottenere la certificazione ISO. Tra questi:

• Asset Discovery automatizzata;
• Analisi delle vulnerabilità;
• Malware e intrusion detection;
• Monitoraggio dell’integrità dei file;
• Monitoraggio delle attività degli utenti;
• Log e storage degli eventi;
• SIEM;
• risposta automatizzata agli incidenti;
• Notifiche, report ecc.

I numerosi processi automatizzati sono un plus per ottenere la conformità alla norma ISO, ad esempio la raccolta dei log, la threat detection, la threat intelligence ecc. Uno dei vantaggi più consistenti in questo senso è che anche team IT o security di piccole dimensioni possono gestire tutti questi task e mantenere la compliance con lo standard ISO IEC 27001.

I template dedicati per la reportistica ISO IEC 200701

Dal momento che si tratta di un prodotto che si allinea perfettamente con le esigenze delle aziende che vogliono ottenere la certificazione ISO 200701, AlienVault USM include anche dei template già pronti dedicati ai report per la compliance.

I template rimandano direttamente ai criteri individuati nella norma rendendo più facile e veloce preparare la documentazione necessaria per un audit. Sono personalizzabili, possono essere salvati ed esportati. 

Altri template disponibili invece riguardano i report per le data sources, i firewall, gli eventi. Le aziende che non preferiscono i template già pronti, possono utilizzare AlienVault USM per ottenere insights personalizzati con grafici di dati e esportare i file per produrre report storici o presentare i trend di sicurezza alla dirigenza dell’azienda.

Per conoscere nei dettagli i vantaggi di AlienVault USM per ottenere la certificazione ISO IEC 27001