nuovi-controlli-ISO-7.4

Il nuovo controllo A.7.4 della ISO 27001:2022 ha come obiettivo quello di porre l’accento sul monitoraggio di tutti i locali dell’Organizzazione che contengono informazioni.

Lo scopo è quello di impedire l’accesso ai luoghi a soggetti non autorizzati e di rilevare, con adeguati strumenti, tali accessi.

Il locali fisici che contengono informazioni (tipicamente e sicuramente i CED ed i data center, ma anche locali di uffici, archivi ed altro che contengono informazioni cartacee) devono essere protetti con una serie di strumenti atti a permettere l’accesso solo al personale autorizzato.

Tali strumenti possono essere scelti, ad esempio, in ordine crescente di complessità in funzione dell’importanza dei dati da proteggere:

  • Chiusura a chiave dei locali (magari anche porte blindate)
  • Accesso ai locali con registri di accesso
  • Accesso ai locali con badge e registrazione dei log relativi
  • Allarmi antintrusione
  • Sensori di movimento
  • Servizi di guardianeria
  • Telecamere a circuito chiuso

Ovviamente tali servizi possono essere gestiti dall’Organizzazione con personale interno e con propri sistemi/software oppure possono essere appaltati ad un soggetto esterno. In questo caso il fornitore deve essere selezionato in base a prerequisiti ben definiti e il contratto deve riportare in modo preciso i servizi offerti, eventuali report che il fornitore deve fornite e modalità di controllo e verifica delle attività del fornitore.

Misure specifiche antintrusione

Tra le misure che possono essere implementate, soprattutto per difendere informazioni particolarmente critiche, vi sono quelle relative alla videosorveglianza. Tali sistemi sono idonei a registrare l’accesso alle aree critiche (esempio: sale con armadi rack) e monitorare le aree circostanti (si pensi agli spazi attorno al datacenter e/o all’azienda).

Come ulteriore misura di sicurezza come sistemi di allarme si può pensare a :

  • Rilevatori di movimento atti a rilevare movimenti all’interno dei locali;
  • Sensori di contatto su porte e finestre atti a rilevare un’intrusione;
  • Sensori di pressione nelle aree critiche

Tutti i sistemi sopra indicati dovrebbero essere collegati a sistemi di monitoraggio e controllo in grado di attivare i relativi allarmi, non solo sonori ma anche con collegamenti a personale interno e/o a forze di polizia pubblica e/o a servizi di sicurezza privati.

In ottica certificazione ISO 27001, l’Organizzazione si deve anche preoccupare di garantire la sicurezza di tali sistemi di monitoraggio, con particolare riferimento ai canali di trasferimento delle informazioni.

L’organizzazione deve inoltre verificare che i sistemi di monitoraggio installati siano in linea con le norme e le leggi, con particolare riferimento alla normativa GDPR sulla videosorveglianza e alle norme sulla privacy ed allo statuto dei lavoratori.

ISO 27001: Threat Intelligence

ISO 27001: Information security per cloud service

ISO 27001: business continuity

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!