ISO 27001: Threat Intelligence

Uno dei nuovi controlli inseriti nell’Annex A della nuova ISO 27001:2022 è il controllo 5.7 “Threat intelligence”, ovvero la comprensione delle minacce.

Tale controllo ha come obiettivo quello di spingere le Organizzazioni a raccogliere ogni informazione legata alle minacce che possono colpire l’Organizzazione stessa con lo scopo di analizzarle e di condividerle internamente.

L’idea è che, se la minaccia è conosciuta dalle persone che lavorano all’interno dell’Azienda, è più facile affrontarla. Se tutti i dipendenti delle singole realtà venissero formati ed informati sulla minaccia del phishing (con dovizia di particolari sulle tipologie di mail che potrebbero arrivare dagli attaccanti), difficilmente il fenomeno dei ransomware avrebbe la diffusione che si è verificata e continua a verificarsi negli ultimi anni

Ma per poter fare fronte alle minacce, sempre nuove e sempre diverse, come può agire un’organizzazione ?

E’ necessario che sia predisposta una procedura che prenda in considerazione almeno le seguenti fasi:

1. Strutturare una metodologia per raccogliere informazioni sulle minacce
2. Analizzare le minacce per il contesto di riferimento
3. Diffondere le informazioni sulle minacce all’interno dell’Organizzazione
4. Analizzare l’efficacia della diffusione

Vediamoli nel dettaglio.

1) Raccogliere informazioni sulle minacce

Per svolgere questa attività in linea con la richiesta della ISO 27001:2022, è necessario incaricare un soggetto (o un team a seconda delle dimensioni dell’Organizzazione) che sia  in grado di approvvigionarsi delle informazioni sulle minacce. Vi sono siti internet dedicati allo scopo, da quelli istituzionali, come quello dell’agenzia per la cybersicurezza nazionale, a quelli di organizzazioni private, come quelli dei vari vendor di prodotti e soluzioni di sicurezza informatica.

Su internet è possibile iscriversi a gruppi di discussione e/o a feeds inerenti la sicurezza informatica. Il tutto per rimanere costantemente aggiornati sul tema e ricevere tempestivamente le informazioni.

2) Analizzare le minacce per il contesto di riferimento

Le minacce che giornalmente vengono rilevate sono innumerevoli. Non tutte, però, sono applicabili in ogni contesto: magari vi è una minaccia legata ad una vulnerabilità di apparati che un’Organizzazione non possiede oppure a servizi che la stessa non utilizza o a software che non risultano installati sui propri device…

La ISO 27001:2022 non immagina di veicolare su tutti i dipendenti dell’Organizzazione le informazioni sulle minacce così come sono raccolte. E’ necessario che vi sia una scrematura ed una rielaborazione da parte di una soggetto/team di persone che svolgano la funzione di filtro intelligente, selezionando solo quelle minacce applicabili al contesto.

3) Diffondere le informazioni sulle minacce all’interno dell’organizzazione

Una volta individuate le minacce significative per il contesto di riferimento, le stesse devono essere diffuse all’interno dell’Organizzazione. In che modo ? Diversi sono i modi per svolgere tali attività: si parte da veri e propri corsi di formazione sui principali gruppi di minacce (corsi in aula, webinar o e-learning) per arrivare alla generazione di una serie di attività continuative e periodiche di security awareness, così come consigliato dalla ISO 27001:2022.

Queste ultime possono essere mail periodiche (settimanali ?) sulla sicurezza informatica, siti intranet di wiki sui temi di sicurezza informatica, veloci momenti di incontro e di aggiornamento, …

E’ necessario che questo punto sia presidiato non solo da persone con background tecnico, ma anche da persone che siano esperte di comunicazione, ovvero che sappiano divulgare argomenti a volte molto specifici in modo semplificato, efficace e di facile comprensione per tutti.

4) Analizzare l’efficacia della diffusione

Qualsiasi sforzo risulta inutile se non viene poi misurata la sua efficacia. Lo spirito della ISO 27001:2022 richiede la misurazione di ogni attività. E’, pertanto, necessario misurare l’effettiva conoscenza e comprensione delle minacce all’interno dell’Organizzazione.

In tal senso risultano molto utili di valutazione delle conoscenze e/o attività pratiche periodiche (es. simulazione di phishing) che possono aiutare a comprendere il livello di attenzione di un’Azienda rispetto alle varie minacce.