Recentemente è stato pubblicato l’aggiornamento della ISO 27013:2021 – “Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1”: l’obiettivo è quello di fornire alle organizzazioni di qualsiasi settore e dimensioni utili linee guida per la corretta gestione dei rischi cyber.
Analizziamone le principali novità e le best practice per una corretta implementazione.
Indice degli argomenti
La ISO 27013 per la sicurezza delle informazioni
È bene ricordare che tutti i sistemi di gestione basati su standard ISO hanno in comune il ciclo di PDCA (Plan, Do, Check, and Act), che può rendere più facile l’integrazione degli standard ISO all’interno di un’organizzazione.
Questo approccio semplificato si riflette anche nel framework ISO/IEC 27013:2021, creato per fornire indicazioni alle organizzazioni su come integrare i requisiti del sistema di sicurezza delle informazioni e di gestione dei servizi.
Di fatto, si tratta di una guida per l’implementazione integrata dell’ISO/IEC 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” e ISO/IEC 20000 – 1 “Tecnologie informatiche – Gestione del servizio – Parte 1: Requisiti per un sistema di gestione del servizio”.
Lo standard aggiornato si rivolge a coloro che devono o vogliono integrare le due ISO in un’ottica di miglioramento dell’organizzazione e di conseguimento della conformità con i requisiti specificati.
Inoltre, come si evince nella parte introduttiva della ISO 27013:2021, si possono conseguire vantaggi indipendentemente dal fatto che una delle due ISO sia implementata prima dell’altra o che siano implementate contemporaneamente.
Di fatto, i processi gestionali e organizzativi possono beneficiare sia dei concetti e delle somiglianze che rafforzano reciprocamente questi standard internazionali e sia dei loro obiettivi comuni.
In particolare:
- ISO/IEC 27001. È uno standard che può essere applicato a qualsiasi organizzazione, a prescindere dall’ambito operativo prettamente ICT. Esso stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni atto a proteggere le informazioni unitamente alle relative attività e mezzi di trattamento. Tra i principali benefici scaturiti dall’implementazione risultano: migliore sicurezza generale; riservatezza, disponibilità ed integrità delle informazioni.
- ISO/IEC 20000-1. È lo standard riferito alla gestione dei servizi IT e fornisce supporto soprattutto a quelle organizzazioni che erogano servizi informatici e di telecomunicazioni al fine di migliorare tali servizi attraverso il raggiungimento di obiettivi di qualità.
- ISO 27013: 2021. È lo standard che fornisce la guida all’implementazione integrata delle due ISO sopra indicate dal momento che la gestione della sicurezza delle informazioni e quella dei servizi ICT è spesso correlata soprattutto in quelle organizzazioni che erogano servizi e che devono garantire la protezione delle informazioni e dei dati personali.
I vantaggi dell’implementazione della ISO 27013
Di seguito alcuni dei principali vantaggi che scaturiscono dall’implementazione dell’aggiornata ISO e, precisamente:
- maggiore credibilità da parte dei clienti interni ed esterni e degli altri stakeholder dell’organizzazione in termini di servizi efficaci e sicuri;
- minori costi di implementazione, di manutenzione e di auditing a fronte di un sistema di gestione integrato, efficace ed efficiente in termini sia di servizi sia di sicurezza delle informazioni quale componente importante della strategia aziendale;
- minori tempi di implementazione a fronte dello sviluppo integrato di processi a supporto sia della gestione dei servizi sia della gestione della sicurezza delle informazioni, creando obiettivi comuni e sinergici in un unico sistema di gestione e di governo;
- minore incidenza di rischi di incidenti di sicurezza nei servizi e nel trattamento di informazioni che possono generare impatti in termini di privacy;
- migliore livello di comunicazione, maggiore affidabilità e maggiore efficienza operativa evitando inutili duplicazioni;
- maggiore comprensione dei reciprochi punti di vista da parte del personale addetto alla gestione dei servizi e alla sicurezza delle informazioni.
Inoltre, all’interno della aggiornata ISO sono presenti tre “Allegati”, quali
- Allegato A – Corrispondenze tra la ISO/IEC 27001:2013 clausole da 1 a 10, e la ISO/IEC 20000-1:2018, clausole da 1 a 10;
- Allegato B – Corrispondenze tra i controlli presenti nell’allegato A della ISO/IEC 27001:2013, ed i requisiti contenuti nella ISO/IEC 20000-1:2018, clausole da 4 a 10;
- Allegato C – Comparazione tra i termini e le definizioni contenuti nella ISO/IEC 27000:2018 e nella ISO/IEC 20000-1:2018;
rispetto alla versione precedente che riportava solo:
- Allegato A – Corrispondenza tra ISO/IEC 27001:2005 e ISO/IEC 20000-1:2011;
- Allegato B – Confronto dei termini ISO/IEC 27000:2009 e ISO/IEC 20000-1:2011.
Come ulteriore novità, è da segnalare l’introduzione di termini come “privacy protection” e “cybersecurity”, a recepimento delle normative vigenti in materia e scaturiti dall’integrazione dei sistemi.
Conclusioni
Le organizzazioni di qualsiasi settore e dimensioni devono sempre più confrontarsi con la gestione dei rischi cyber. L’implementazione della ISO 27013:2021, appena aggiornata, può convertirsi in una leva strategica in quanto evidenzia come il cyber risk deve essere gestito in modo integrato con un approccio risk & resilience-based.
Ricordiamoci che, oggigiorno, la cyber security deve essere trasversale a tutte le funzioni.
Pertanto, è quanto mai importante diffondere all’interno delle organizzazioni una cultura di cybersecurity rispettosa e attenta sia alle normative sia alla protezione di tutti gli asset, oltre a garantire un adeguato sviluppo delle competenze digitali del personale.