La riservatezza nella ISO 27001

La norma ISO 27001 si fonda su tre principi fondamentali:

1. – Riservatezza (Confidentiality);
2. – Integrità (Integrity);
3. – Disponibilità (Availability).

Questi principi, se ben coordinati tra loro, realizzano l’obiettivo imposta dalla norma 27001 della Sicurezza delle Informazioni.

L’importanza della riservatezza nella ISO 27001

Il tema della Riservatezza nella ISO 27001 è molto ampio e ricco di sfaccettature.

In modo particolare, quando si parla di riservatezza si fa riferimento a dati e informazioni memorizzate che devono essere protette da letture non autorizzate, ovvero devono risultare accessibili solo agli utenti e ai processi che ne hanno diritto, in base alle policy definite nel sistema.

La riservatezza, nota anche come segretezza o confidenzialità, si attua mediante differenti tecniche.

Possiamo trovare, diverse interpretazioni del tema partendo proprio dai 114 controlli della ISO 27001, in effetti è proprio la norma a dirci come tutelare le informazioni dal punto di vista della Riservatezza.

Innanzi tutto al controllo 8.2 troviamo la seguente dicitura: “Le informazioni devono essere classificate in base al loro valore, ai requisti cogenti ed alla criticità in caso di divulgazione o modifica non autorizzate”. Qual è, dunque, l’obbiettivo di questo controllo? Dal punto di vista della Riservatezza, si vogliono tutelare le informazioni soprattutto quelle più delicate, la norma ci sta suggerendo, su questo punto specifico, di impostare una policy di etichettatura delle informazioni e vale a dire una suddivisione netta tra documenti che possono essere:

• Pubbliche (open): Informazioni che possono essere distribuite a chiunque senza causare danno all’organizzazione, ai dipendenti o agli stakeholders. La Direzione deve approvare l’attribuzione di questa classificazione su un insieme di informazioni. I documenti in questa categoria possono essere comunicati al pubblico o a persone esterne all’organizzazione. (ad es: Materiale del Marketing predisposto per la comunicazione al pubblico o per spot, brochures, rendicontazioni annuali, internet, annunci di lavoro, etc.);
• Informazioni ad accesso ristretto: Informazioni che possono essere divulgate ad un gruppo ristretto di soggetti esterni all’azienda;
• Informazioni confidenziali: Informazioni aziendali, confidenziali o di valore, sia personali che sotto brevetto. Non devono assolutamente essere divulgate all’esterno dell’organizzazione senza l’esplicito permesso della Direzione;

Quello sopra riportato è un esempio tipico di etichettatura delle informazioni, spetta sempre all’azienda stabilire quale sia il suo livello di riservatezza e come distribuirla nella classificazione delle informazioni.

La classificazione delle informazioni, non deve essere effettuata solamente a livello documentale, i punti di controllo seguenti all’8.2 ci fanno percepire come la riservatezza vada tutelata anche nella gestione delle utenze; in effetti non è necessario che tutti gli utenti interni abbiano accesso, per esempio, a qualsiasi cartella; ogni utente deve poter accedere solamente alle informazioni ad esso utili senza andare oltre. Ancora, la Riservatezza viene tutelata grazie all’utilizzo di misure puramente tecniche come per esempio la criptazione dei dati; essa garantisce l’impossibilità di accesso dall’esterno ed è un’ottima misura di sicurezza.

Come potete notare il tema della Riservatezza si allaccia facilmente alle misure di sicurezza legate alla Privacy, con la sola differenza che in ambito 27001 l’obbiettivo sarà sempre tutelare la totalità delle informazioni e non solo quelle che possano contenere dati suscettibili nel campo della normativa Privacy cogente (679/2016).