LA GUIDA PRATICA

ISMS: cos’è, a cosa serve e come strutturare un Information Security Management System

Un ISMS (Information Security Management System o sistema di gestione della sicurezza delle informazioni) aiuta le aziende a individuare le misure tecnologiche e organizzative che consentono di proteggere il patrimonio informativo da qualsiasi minaccia. Ecco come implementarlo correttamente

21 Gen 2020
F
Cristian Fornaciari

Security architect


L’Information Security Management System (ISMS), o ISO/IEC 27001, è una norma volontaria per la gestione della sicurezza dei dati e dei sistemi informatici riconosciuta a livello internazionale applicabile a organizzazioni di differenti dimensioni e operanti in qualsiasi settore.

I benefici più evidenti di un modello di ISMS sono i seguenti:

  • consentono di avere una visione complessiva e centrale della sicurezza aziendale che spazia oltre il perimetro della sicurezza IT includendo anche persone e processi secondo un approccio olistico;
  • è un modello adattativo che si adegua all’evoluzione temporale delle minacce e quindi ai rapidi cambiamenti tipici degli odierni sistemi informativi;
  • restituisce una corretta visione sullo stato della security e diventa quindi lo strumento fondamentale per l’ottimizzazione dell’allocazione del budget indirizzandolo verso le iniziative che restituiscono un maggior ritorno in termini di riduzione del rischio;
  • implementare questo modello di controlli permette in molti casi di rispondere anche a vincoli normativi esterni che normalmente richiedono una serie di misure che altro non sono che un sottoinsieme dei possibili controlli del framework.

Di fatto, l’applicazione dei controlli consente un’efficace strumento per il governo della sicurezza aziendale e l’ISO/IEC 27001 è senza dubbio uno degli standard più completi, composto da un’innumerevole raccolta di indicazioni e controlli che devono essere accuratamente selezionati e declinati scegliendo le misure rilevanti e realmente attuabili da parte dell’organizzazione.

Standard ISO 27001: cos’è e quali requisiti stabilisce

L’Annex A dell’ISO/IEC 27001 contiene gli obiettivi ed i controlli ovvero le aree tematiche considerate e i controlli da applicare (le 14 aree tematiche che sono poi scomposte in controlli più di basso livello, più specifici nella ISO/IEC27002). Le aree dell’intero ISO/IEC 27001 sono le seguenti 14:

  • A.5: information security policy
  • A.6: organization of information security
  • A.7: human resource security
  • A.8: assett management
  • A.9: access control
  • A.10: cryptography
  • A.11: physical and environmental security
  • A.12: operation security
  • A.13: communications security
  • A.14: system acquisition, developement and maintenance
  • A.15: supplier relationships
  • A.16: information security incident management
  • A.17: information security aspects of business continuity management
  • A.18: compliance

Ognuna di queste sezioni contiene poi delle sotto-aree che forniscono delle direttive senza però arrivare a delle specifiche stringenti sulle misure di sicurezza che dovranno essere scelte e ritagliate nel caso specifico.

Come strutturare un sistema di gestione della sicurezza delle informazioni

Per quanto detto in precedenza l’impatto dell’ISMS (sistema di gestione della sicurezza delle informazioni) è trasversale e capillare sull’intera organizzazione per cui per avviare il progetto il supporto del top management è un prerequisito fondamentale.

Detto questo è possibile scomporre il progetto in diverse fasi. Analizziamole in dettaglio.

Strutturare un ISMS: obiettivo e stima del progetto

È il primo step di progetto in cui è necessario stimare lo scope del progetto e calcolare i costi di realizzazione e maintenance.

In questo caso dimensione e maturità dell’azienda determinano approcci molto differenti tra loro: si può passare da un perimetro che includa l’intera organizzazione e scope limitati, magari partendo dai sistemi a maggior rischio e considerare di allargare progressivamente in wave successive di progetto.

Altre variabili da considerare sono il supporto da parte di altre strutture e uffici dell’azienda che non si limitano agli uffici di sicurezza, come si evince dalla lista dei controlli che prende in esame anche persone e processi toccando quindi molte aree aziendali incluse ufficio risorse umane, legale, acquisti eccetera.

Avere il giusto commitment da parte di tutti gli attori coinvolti e del management sarà essenziale per la riuscita del progetto.

Un altro aspetto riguarda le modalità di miglioramento continuo che non sono direttamente esplicitate nello standard: si potrà quindi scegliere una delle possibili metodologie iterative tra cui quella del PDCA (Plan-Do-Check-Act) che è una delle più comuni.

Il PDCA consiste in un’attuazione continuativa orientata al miglioramento costante per una gestione efficace e adattativa che segue l’evoluzione del sistema informativo. Le quattro fasi del PDCA consistono in:

  • Plan: stabilire il piano di ISMS definendone il perimetro e gli obiettivi, si effettua il risk assessment, si stabilisce il piano e le procedure per il trattamento dei rischi;
  • Do: attuazione del piano di ISMS, si rende operativa la procedura;
  • Check: fase di monitoraggio e correzione del piano di ISMS che viene eseguito tramite audit interni e i risultati vengono riportati all’alta direzione;
  • Act: Mantenere e migliorare il piano attraverso azioni correttive.

Di fatto è molto importante adottare il ciclo sopra descritto perché rispecchia la natura evolutiva delle minacce che quindi richiedono una continua rivalutazione e adattamento.

Vale poi la pena notare la natura basata sul rischio che di fatto è il driver fondamentale per la valutazione: il fine ultimo della sicurezza di un’organizzazione è sempre quello di garantire un adeguato contenimento del rischio che deve attestarsi al di sotto della soglia di rischio stabilito dal board che può essere diversa secondo il risk appetite aziendale.

Strutturare un ISMS: creazione del team

È la fase di progetto in cui stimato l’effort necessario si predispone il team responsabile alla gestione del progetto.

Un ISMS richiede una forte conoscenza ed esperienza del framework per cui è pensabile avvalersi di professionisti esterni che abbiano pregressi su progetti di questo tipo e al contempo serviranno senior manager con un autorità sufficiente a orchestrare tutte le risorse e strutture coinvolte.

Strutturare un ISMS: sviluppo del progetto e selezione dei controlli

Per prima cosa bisogna individuare controlli, processi e procedure che già regolano l’ambito entro il quale si vuole implementare l’ISO27001 e tutti gli asset ed attori coinvolti: i clienti, i dati, i partner, gli uffici e via dicendo.

Identificate queste entità si dovranno selezionare i controlli da attuare e tutte le metriche necessarie che serviranno a scopo di monitoraggio.

La selezione dei controlli e la loro declinazione nel caso specifico non possono essere generalizzati perché dipendono dal settore entro cui opera l’azienda, dalle sue dimensioni, dalle tecnologie che utilizza e dalle risorse che l’azienda ha per implementare e gestire questi controlli.

Bisogna infatti porre molta attenzione a quanti controlli utilizzare per non pregiudicare la “psicological acceptability” degli utenti e non sovraccaricare i processi operativi. Lo stesso ramo retroattivo del PDCA descritto sopra deve servire anche per affinare e nel caso prendere in considerazione di eliminare controlli poco efficaci o che nel tempo perdano di significato.

Strutturare un ISMS: sviluppo del progetto e impianto documentale

Una volta stabiliti ambito e controlli si dovrà calare la gestione dell’ISMS nei processi aziendali e quindi ritagliare su misura il processo di gestione della qualità PDCA formalizzandolo seguendo un impianto documentale abbastanza snello che includa almeno una policy, uno standard e una guida operativa.

Strutturare un ISMS: sviluppo del progetto e analisi dei rischi

Al cuore dell’ISMS c’è il processo di analisi e valutazione dei rischi che consente di valutare la rischiosità delle minacce e quindi di stabilire le possibili contromisure.

In questo caso, il suggerimento è quello di adottare un approccio già utilizzato in azienda, se presente, oppure di crearne uno nuovo abbastanza semplice in modo da non rendere eccessivamente complicato il progetto.

Riuscire a identificare le minacce rilevanti e pesarle in modo preciso è un aspetto molto difficile e che tipicamente richiede un lavoro coordinato tra figure specialistiche di sicurezza.

Senza entrare in dettagli eccessivi a livello macro le fasi di risk analysis dovranno essere le seguenti:

  • identificazione del rischio: è la fase in cui devono emergere i possibili rischi che se si materializzassero condurrebbero ad una compromissione in termini di integrità, riservatezza o disponibilità dei dati;
  • misurazione del rischio: una volta identificati i possibili rischi questi devono essere soppesati in funzioni dell’impatto che questi avrebbero sull’organizzazione: essi possono essere sia impatti monetari quantificabili (di solito nel caso di perdite materiali) che immateriali come nel caso di perdite reputazionali;
  • ponderazione del rischio: in questo step si confrontano i risultati della fase precedente con i criteri di rischio stabiliti per stabilire le priorità e modalità di trattamento del rischio.

In ultima istanza quindi si decide in che modo intervenire sul rischio riscontrato e decidendo come sia procedere nei confronti del rischio considerato e quindi se:

  • accettare il rischio se non si ritiene che esso incida in modo sostanziale nel rischio complessivo;
  • trasferire il rischio, laddove possibile, se per esempio risultasse più semplice che doverlo compensare con azioni di mitigazione;
  • annullare il rischio per esempio dismettendo un servizio qualora il costo per la correzione del rischio sia eccessiva rispetto all’effettivo beneficio che tale servizio comporta;
  • mitigare il rischio ovvero implementare uno o più controlli in modo da riportare il rischio ad un valore che si ritiene accettabile.

Strutturare un ISMS: assessment

Con cadenze periodiche è importante schedulare delle fasi di review e monitoraggio dell’ISMS per valutarne l’efficacia e l’aderenza dei controlli rispetto al contesto di minacce attuali che potrebbe essere modificato in modo significativo nel corso del tempo.

Da questo punto di vista la qualità con cui viene condotto l’audit e delle metriche scelte diventano il punto chiave per la valutazione del progetto. In particolare, tanto più le metriche saranno una misura oggettiva e significativa del controllo in esame e tanto più sarà veritiera e semplice l’analisi da effettuare.

Conclusioni

L’ISMS costituisce un benchmark nell’implementazione di un framework di controlli di sicurezza aziendale e può diventare uni dei pilastri fondamentali garantendo un approccio strutturato, su base continuativa e orientato ai rischi di ampio respiro su tutta l’organizzazione aziendale.

Pesare in modo corretto perimetro di applicabilità, risorse e skill necessarie e forte supporto del senior management sono gli elementi cardine per la riuscita dell’ISMS.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3