
RATING DI CYBERSECURITY: IL SUO LEGAME CON LA CERTIFICAZIONE ISO 27001
14 Giugno 2022
In un mondo sempre più interconnesso e digitale, le aziende devono investire sempre di più per poter stare al passo con le nuove tecnologie e ridurre i danni derivanti dalle minacce cibernetiche.
I sistemi informatici e i nostri dati non sono sempre al sicuro. Risulta, quindi, doveroso agire proattivamente sui rischi cibernetici andando ad individuare gli ambiti interni all’organizzazione, che potrebbero essere obiettivo di attacco dei criminali.
Per permettere alle aziende di ridurre i rischi sia informatici che di violazione dei dati è possibile seguire un percorso di Certificazione ISO 27001 che può supportare le imprese nella difesa attiva e passiva da attacchi informatici ed altri tipi di violazione, unito al Rating di Cybersecurity, framework promosso da Mondo27001.
ISO 27001 e rating di cybersecurity: somiglianze
ISO 27001 e Rating di Cybersecurity si occupano entrambi di sicurezza delle informazioni per proteggere le risorse informative e informatiche, ma l’ambito e l’approccio per ciascuno variano.
La norma ISO 27001, nome completo “ISO / IEC 27001 – Tecnologia dell’informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” è uno standard internazionale che determina i requisiti per gestire la sicurezza delle informazioni adottando un Sistema di Gestione della Sicurezza delle Informazioni (ISMS/SGSI).
È necessario sottolineare che essendo uno standard volontario devono essere le aziende a richiedere di effettuare questo percorso di certificazione che permette di essere, agli occhi dei clienti e delle altre parti, più affidabili.
La ISO 27001 può essere applicata a tutte le organizzazioni, in quanto di carattere generale, per la valutazione ed il trattamento dei rischi relativi alla sicurezza delle informazioni, tenendo conto che l’obiettivo della stessa è quella di proteggere tre aspetti fondamentali: RISERVATEZZA, INTEGRITÀ E DISPONIBILITÀ delle informazioni, il cd RID.
Del resto, anche il Rating di Cybersecurity ideato da Mondo27001, basato sul Framework del National Institute of Standards and Technology (NIST) per la sicurezza informatica delle organizzazioni è volontario e, in linea con gli obiettivi della ISO 27001, avendo particolare attenzione all’identificazione, valutazione e gestione dei rischi accettabili per i sistemi informativi.
Attraverso la checklist del Rating di Cybersecurity, l’azienda riesce a mappare l’intera infrastruttura informatica e ad individuarne le criticità, mentre attraverso la ISO 27001 l’azienda si focalizza maggiormente sul flusso informativo e su come i dati potrebbero essere messi a rischio.
Inoltre, all’interno della checklist vi sono diversi richiami alla ISO 27001 nella parte inerente la sicurezza delle informazioni (ad esempio, per quanto riguarda l’accesso fisico alle risorse) ed all’individuazione di specifici ruoli (ad esempio, in ordine alla definizione e conoscenza dei ruoli e responsabilità inerenti al trattamento ed alla protezione dei dati personali per tutto il personale e per eventuali terze parti rilevanti).
Ovviamente per quanto possano essere simili, vi sono delle differenze a livello strutturale e formale.
ISO 27001 e rating di cybersecurity: differenze
Partendo dalla struttura, la norma ISO 27001 presenta 10 clausole delle quali le prime tre esaminano i riferimenti, i termini e altre informazioni essenziali coperte dal regolamento, mentre le successive – contesto dell’organizzazione, leadership e impegno, pianificazione, supporto, funzionamento, valutazioni delle prestazioni, miglioramento – guidano le aziende nella creazione e nella manutenzione del loro Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Parte integrante del Sistema di Gestione è l’ANNEX A, allegato presente nella ISO 27001, che prevede 114 controlli suddivisi in 14 aree (con la nuova ISO/IEC 27002:2022 i controlli sono scesi a 93 e la suddivisione sarà suddivisa in 4 gruppi da associare a 5 attributi).
La struttura del Rating di Cybersecurity prevede cinque funzioni generali – Proteggere, Identificare, Rilevare, Rispondere, Ripristino – che consentono alle aziende di personalizzare le loro misure di sicurezza informatica e soddisfare al meglio i loro obiettivi e sfide.
La checklist prevede 151 controlli che vengono suddivisi nelle 5 funzioni sopra citate, suddivise a loro volta in categorie e sottocategorie e alla quale sottocategoria viene assegnato, in base al livello di applicazione e la gestione del controllo, un valore da 1 a 5[1].
Per ogni categoria c’è una valutazione, che sommata a tutte le altre categorie, darà un valore matematico compreso tra 1 e 100, riguardante il livello di cybersecurity aziendale, dove il valore 60/100 corrisponde a una sufficienza di sicurezza informatica all’interno dell’azienda, sempre migliorabile.
La più grande differenza formale si riscontra nel caso in cui un potenziale cliente o partner richieda all’azienda una garanzia in ambito informatico e quindi qualcosa che certifichi le loro attività.
Per la norma ISO 27001, a conclusione del processo viene rilasciato un certificato all’azienda solo dopo aver svolto degli audit e un percorso con un consulente o in autonomia, con il quale un Ente di Certificazione indipendente certifica la conformità allo standard predetto.
A differenza dell’ISO 27001, il Rating di Cybersecurity non prevede un certificato di conformità (conforme/non conforme), ma una una valutazione che assegna un punteggio che va da 0 fino a 100. Il rating è ripetibile nel tempo non per mantenere una certificazione ma per monitorare il livello di incremento del punteggio finale a seguito delle attività di miglioramento implementate.
In questo modo, la valutazione di Rating di Cybersecurity è propedeutica alla certificazione ISO 27001, dal momento che un punteggio positivo segnala un’azienda come pronta alla certificazione, e di contro un’azienda certificata ISO 27001 può utilizzare il rating per verificare la presenza di eventuali aree di miglioramento, anche se molto probabilmente otterrà un buon punteggio finale.
Conclusione
L’unione tra Rating di Cybersecurity e standard ISO 27001 permette alle aziende di individuare gli ambiti informatici e non solo, che sono più a rischio all’interno della struttura stessa e di agire attivamente sul problema attraverso diverse misure di sicurezza, che colpiscono non solo il lato informatico ma anche le vulnerabilità umane. Questi due tools possono anche sovrapporsi permettendo di avere una visione generale dell’intera azienda.
ISO 27001 e Rating di Cybersecurity seppur strumenti volontari, permettono alle aziende di avere maggiore credibilità e affidabilità; fattori importanti che vengono garantiti nel caso della ISO attraverso la ri-certificazione e nel caso del Rating di Cybersecurity attraverso controlli ciclici per attestare sempre il continuo miglioramento dell’organizzazione.
Attraverso il legame tra questi aspetti, si avrà una
- Visione multidisciplinare legata ai diversi ambiti informatici e informativi;
- La possibilità di essere seguiti da consulenti del settore, che ponendo obiettivi, incentivano le aziende a disporre misure e procedure di sicurezza adeguate;
- Valutazioni oggettive e misurabili;
- Strumenti, che richiamando anche i principi del GDPR, permettono di rispondere correttamente al principio di Accountability, e quindi soddisfare altresì aspetti legali.
- Anna Pia Morelli -