nuovi-controlli-ISO-27001--5-23-

ISO 27001: Information security per cloud service

29 Maggio 2023

Uno dei nuovi controlli inseriti nel annex A della nuova ISO 27001:2022 è il controllo 5.23 “Information security per l’uso dei cloud service”.

Tale controllo della ISO 27001:2022 ha come obiettivo quello di spingere le Organizzazioni a raccogliere ogni informazione legata ai fornitori di sistemi cloud prima di affidare agli stessi le informazioni aziendali. Tale controllo, senza arrivare a dettagliare quanto richiesto dalle norme ISO 27017 e ISO 27018, invita l’organizzazione a dotarsi di una specifica procedura volta alla selezione dei servizi in cloud. Detta procedura dovrebbe portare l’organizzazione ad effettuare alcune valutazioni sul ciclo di vita del servizio in cloud offerto dal fornitore.

Come selezionare un fornitore in linea con la ISO27001

Nel momento in cui si procede alla scelta del fornitore del servizio in cloud, secondo la ISO 27001:2022 sarebbe necessario valutare alcuni punti, come ad esempio:

  1. Quali debbano essere i pertinenti requisiti di sicurezza delle informazioni associati all’utilizzo dei servizi cloud.
    Tali requisiti possono variare da contesto a contesto, ad esempio per le Pubbliche Amministrazioni vi sono vincoli specifici dati dall’AGID che non sono previsti per le aziende private. Ancora, un ambiente che tratta dati sanitari ha delle necessità diverse da un ambiente con dati commerciali. Informazioni protette da brevetto o appartenenti a terzi potrebbero richiedere misure di sicurezza aggiuntive previste da contratti o NDA
  2. Valutare la possibilità di selezionare solamente cloud service provider certificati ISO 27001:2022, dando priorità a soggetti certificati anche ISO 27017 e 27018.
    Sicuramente questa scelta porta con sé un bel vantaggio, ovvero il fatto che vi sia stato un ente di certificazione che ha già svolto audit sul fornitore e che lo verifica annualmente. Sebbene l’esperienza ci dica che la certificazione ISO 27001:2022, anche con le sue estensioni 27017 e 27018, sia condizione necessaria ma non sufficiente per garantire il fornitore del servizio in cloud, la presenza della stessa risulta comunque più rassicurante che la sua assenza.
  3. Assicurarsi che nel contratto con i fornitori del servizio in cloud siano presenti:
    • un adeguato accordo di riservatezza (NDA)
    • la nomina a Responsabile del trattamento ex art. 28
    • altra documentazione privacy correlata in caso di trattamento di dati personali.
  4. Assicurarsi che i contratti con il Cloud Service Provider riportino in modo specifico quali controlli di sicurezza delle informazioni sono gestiti dal Cloud Service Provider e quali rimangono in capo all’organizzazione.
    La ISO 27001:2022 prevede, infatti, la necessità di effettuare numerosi controlli (patch management, gestione dei log, controllo della capacità dei sistemi, backup, disaster recovery, test sui sistemi, antimalware,…). Quali di questi sono presi in carico dal Cloud service Provider? Quali vengono affidati all’esterno, e nel caso a  chi? E’ necessario definire una lista con questi aspetti e riportarli puntualmente nei contratti. Non esiste, infatti, sicurezza che siano svolti dal fornitore di servizi in Cloud.
  5. Conoscere quali servizi di monitoraggio dei sistemi in cloud sono offerti dal Cloud Service Provider e come possono essere utilizzati dall’Organizzazione.
    I sistemi non devono essere semplicemente attivati, ma devono essere gestiti nel tempo. Quali consolle di monitoraggio vengono fornite alla nostra Organizzazione ? Su quali Dashboard potremo contare ? Quali dati ci saranno forniti in real time e quali con rapporti settimanali/mensili/trimestrali … ?
  6. Conoscere quali garanzie (ad esempio attraverso report) vengono fornite all’Organizzazione relativamente ai controlli di sicurezza effettuati dal Cloud Service Provider.
    La situazione ottimale sarebbe quella in cui  il Cloud Service Provider si impegnasse a fornire dei report sui controlli da lui svolti;
  7. Affidare i servizi cloud ad un responsabile interno che ne gestisca le interfacce, i controlli e le eventuali modifiche nonché il monitoraggio, la revisione e una periodica valutazione.
    E’ necessario che ci sia una figura competente, interna all’Organizzazione, che controlli il servizio e lo sappia comprendere e utilizzare al meglio;
  8. È necessario predisporre e testare una procedura aziendale da seguire in caso di eventi negativi o di incidenti della sicurezza.
    Anche se il sistema è in cloud, è necessario gestire gli eventi negativi o gli incidenti. Non bisogna pensare che, poiché il sistema è in cloud, si possa escludere la gestione degli incidenti;
  9. Definire come gestire modifiche/cambiamenti e/o la dismissione dei servizi in cloud inclusa la exit strategy da tale servizio.
    E’ molto importante che, fin dal contratto iniziale, l’Organizzazione sappia cosa dovrà fare se vorrà cambiare il fornitore e che fine faranno i suoi dati una volta che sarà chiuso i contratto.

Personalizzare gli accordi predefiniti

Per quanto gli accordi con i fornitori di servizi cloud siano spesso predefiniti e non negoziabili, l’Organizzazione deve verificare tali accordi al fine di riscontrare la presenza di requisiti di Riservatezza, Integrità, Disponibilità prevista dalla ISO 27001:2022.

L’Organizzazione deve altresì verificare che tali contratti siano in linea con il livello di sicurezza richiesto dal contesto, implementando eventualmente valutazioni specifiche per identificare i rischi associati all’utilizzo del servizio cloud. Eventuali rischi residui devono essere accettati formalmente dalla Direzione.

L’organizzazione deve verificare che nei contratti dei servizi in cloud siano presenti i seguenti servizi:

  1. Fornitura di soluzioni basate su standard accettati dal settore per l’architettura e l’infrastruttura;
  2. Gestione dei controlli di accesso al servizio cloud che soddisfino il livello di sicurezza dell’Organizzazione;
  3. Implementazione di soluzioni di monitoraggio e protezione da malware;
  4. Elaborazione ed archiviazione delle informazioni dell’Organizzazione all’interno di paesi della comunità europea (conformità al GDPR);
  5. Fornitura di supporto dedicato in caso di incidente di sicurezza delle informazioni dell’ambiente in cloud;
  6. Garanzia che i requisiti di sicurezza delle informazioni dell’organizzazione siano soddisfatti nel caso in cui i servizi cloud coinvolgano ulteriori subappaltatori (che devono essere noti ed autorizzati anche ai sensi dell’art. 28 del GDPR con la modulistica relativa)
  7. Garanzia di supporto nella raccolta di prove digitali e/o di qualsiasi attività di computer forensic possa essere richiesta dall’Organizzazione;
  8. Fornitura di supporto adeguato e disponibilità di servizi per un periodo di tempo appropriato qualora l’Organizzazione volesse uscire dal servizio cloud (exit strategy);
  9. Fornitura e gestione in modo sicuro dei backup, in base alle capacità del fornitore cloud e del servizio cloud utilizzato dall’organizzazione;
  10. Garanzia che sia restituito o cancellato ogni file di configurazione, dato e codice sorgente appartenente all’Organizzazione quando richiesto, sia durante la fornitura del servizio cloud sia al termine del servizio;

inoltre il contratto dovrebbe fornire garanzie di informazione preventiva in caso di:

  1. modifiche dell’infrastruttura tecnica che possano influenzare o modificare il servizio cloud;
  2. modifiche della posizione geografica del servizio in cloud;
  3. modifiche nell’elenco dei fornitori in subappalto utilizzati

ISO 27001: Threat Intelligence

- Gianluca Lombardi -

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci