LO STANDARD

ISO 27013: leva strategica per un processo di gestione del cyber risk integrato

Le organizzazioni devono sempre più confrontarsi con la gestione dei rischi cyber: l’implementazione della ISO 27013:2021, appena aggiornata, può quindi convertirsi in una leva strategica in quanto evidenzia come il cyber risk deve essere gestito in modo integrato con un approccio “risk & resilience-based”

03 Gen 2022
L
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

Recentemente è stato pubblicato l’aggiornamento della ISO 27013:2021 – “Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1”: l’obiettivo è quello di fornire alle organizzazioni di qualsiasi settore e dimensioni utili linee guida per la corretta gestione dei rischi cyber.

Analizziamone le principali novità e le best practice per una corretta implementazione.

La ISO 27013 per la sicurezza delle informazioni

È bene ricordare che tutti i sistemi di gestione basati su standard ISO hanno in comune il ciclo di PDCA (Plan, Do, Check, and Act), che può rendere più facile l’integrazione degli standard ISO all’interno di un’organizzazione.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Questo approccio semplificato si riflette anche nel framework ISO/IEC 27013:2021, creato per fornire indicazioni alle organizzazioni su come integrare i requisiti del sistema di sicurezza delle informazioni e di gestione dei servizi.

Di fatto, si tratta di una guida per l’implementazione integrata dell’ISO/IEC 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” e ISO/IEC 20000 – 1 “Tecnologie informatiche – Gestione del servizio – Parte 1: Requisiti per un sistema di gestione del servizio”.

Lo standard aggiornato si rivolge a coloro che devono o vogliono integrare le due ISO in un’ottica di miglioramento dell’organizzazione e di conseguimento della conformità con i requisiti specificati.

Inoltre, come si evince nella parte introduttiva della ISO 27013:2021, si possono conseguire vantaggi indipendentemente dal fatto che una delle due ISO sia implementata prima dell’altra o che siano implementate contemporaneamente.

Di fatto, i processi gestionali e organizzativi possono beneficiare sia dei concetti e delle somiglianze che rafforzano reciprocamente questi standard internazionali e sia dei loro obiettivi comuni.

In particolare:

  • ISO/IEC 27001. È uno standard che può essere applicato a qualsiasi organizzazione, a prescindere dall’ambito operativo prettamente ICT. Esso stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni atto a proteggere le informazioni unitamente alle relative attività e mezzi di trattamento. Tra i principali benefici scaturiti dall’implementazione risultano: migliore sicurezza generale; riservatezza, disponibilità ed integrità delle informazioni.
  • ISO/IEC 20000-1. È lo standard riferito alla gestione dei servizi IT e fornisce supporto soprattutto a quelle organizzazioni che erogano servizi informatici e di telecomunicazioni al fine di migliorare tali servizi attraverso il raggiungimento di obiettivi di qualità.
  • ISO 27013: 2021. È lo standard che fornisce la guida all’implementazione integrata delle due ISO sopra indicate dal momento che la gestione della sicurezza delle informazioni e quella dei servizi ICT è spesso correlata soprattutto in quelle organizzazioni che erogano servizi e che devono garantire la protezione delle informazioni e dei dati personali.

I vantaggi dell’implementazione della ISO 27013

Di seguito alcuni dei principali vantaggi che scaturiscono dall’implementazione dell’aggiornata ISO e, precisamente:

  1. maggiore credibilità da parte dei clienti interni ed esterni e degli altri stakeholder dell’organizzazione in termini di servizi efficaci e sicuri;
  2. minori costi di implementazione, di manutenzione e di auditing a fronte di un sistema di gestione integrato, efficace ed efficiente in termini sia di servizi sia di sicurezza delle informazioni quale componente importante della strategia aziendale;
  3. minori tempi di implementazione a fronte dello sviluppo integrato di processi a supporto sia della gestione dei servizi sia della gestione della sicurezza delle informazioni, creando obiettivi comuni e sinergici in un unico sistema di gestione e di governo;
  4. minore incidenza di rischi di incidenti di sicurezza nei servizi e nel trattamento di informazioni che possono generare impatti in termini di privacy;
  5. migliore livello di comunicazione, maggiore affidabilità e maggiore efficienza operativa evitando inutili duplicazioni;
  6. maggiore comprensione dei reciprochi punti di vista da parte del personale addetto alla gestione dei servizi e alla sicurezza delle informazioni.

Inoltre, all’interno della aggiornata ISO sono presenti tre “Allegati”, quali

  • Allegato A – Corrispondenze tra la ISO/IEC 27001:2013 clausole da 1 a 10, e la ISO/IEC 20000-1:2018, clausole da 1 a 10;
  • Allegato B – Corrispondenze tra i controlli presenti nell’allegato A della ISO/IEC 27001:2013, ed i requisiti contenuti nella ISO/IEC 20000-1:2018, clausole da 4 a 10;
  • Allegato C – Comparazione tra i termini e le definizioni contenuti nella ISO/IEC 27000:2018 e nella ISO/IEC 20000-1:2018;

rispetto alla versione precedente che riportava solo:

  • Allegato A – Corrispondenza tra ISO/IEC 27001:2005 e ISO/IEC 20000-1:2011;
  • Allegato B – Confronto dei termini ISO/IEC 27000:2009 e ISO/IEC 20000-1:2011.

Come ulteriore novità, è da segnalare l’introduzione di termini come “privacy protection” e “cybersecurity”, a recepimento delle normative vigenti in materia e scaturiti dall’integrazione dei sistemi.

Conclusioni

Le organizzazioni di qualsiasi settore e dimensioni devono sempre più confrontarsi con la gestione dei rischi cyber. L’implementazione della ISO 27013:2021, appena aggiornata, può convertirsi in una leva strategica in quanto evidenzia come il cyber risk deve essere gestito in modo integrato con un approccio risk & resilience-based.

Ricordiamoci che, oggigiorno, la cyber security deve essere trasversale a tutte le funzioni.

Pertanto, è quanto mai importante diffondere all’interno delle organizzazioni una cultura di cybersecurity rispettosa e attenta sia alle normative sia alla protezione di tutti gli asset, oltre a garantire un adeguato sviluppo delle competenze digitali del personale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3