La nuova ISO/IEC 27001:2022: cosa cambia nella sicurezza delle informazioni

11 Aprile 2024 in Information & Cyber Security

Ad Ottobre 2022, è stata pubblicata una nuova versione della norma ISO/IEC 27001:2022. La revisione applicata alla norma, senz’altro significativa, si è resa necessaria per allineare lo standard ISO/IEC 27001 alle mutevoli esigenze del panorama tecnologico ed alle nuove minacce alla sicurezza, nonché alle novità normative intercorse sul tema della sicurezza dei dati.

Di seguito, si andranno ad esplorare le modifiche chiave della nuova versione, le implicazioni per le imprese e le strategie ottimali per una transizione efficace ai nuovi requisiti previsti dalle norme ISO.

Le novità introdotte dalla ISO/IEC 27001:2022

La ISO/IEC 27001:2022 introduce una serie di aggiornamenti e nuove best practice che riflettono le moderne sfide della sicurezza delle informazioni:

• Focus sulle minacce alla sicurezza derivanti dalle tecnologie emergenti: l’aggiornamento dello standard, infatti, riconosce la crescente importanza delle nuove tecnologie come l’Intelligenza Artificiale (IA) e l’Internet of Things (IoT), rimarcando la necessità di gestire i rischi di sicurezza ad esse correlati;
• Maggiore enfasi sulla gestione del rischio: si sottolinea l’importanza di una valutazione e gestione del rischio più strutturate e dettagliate per permettere alle organizzazioni di identificare, valutare e mitigare i rischi in modo più efficace. Fondamentale è anche l’integrazione delle tecnologie di sicurezza dei sistemi su tutte le aree operative aziendali;
• Aggiornamenti alle definizioni e ai termini: per garantire maggiore chiarezza e coerenza con i nuovi parametri normativi esistenti, la norma ha rivisto alcune definizioni e terminologie, adattandole ai cambiamenti nel panorama della sicurezza delle informazioni.

Le modifiche più significative riguardano l’Annex A dello standard (la ISO/IEC 27002:2022), all’interno del quale sono elencati i controlli da applicarsi su un sistema per la sicurezza delle informazioni efficace, raggruppati in quattro categorie, rispetto alle originali 14:

• Controlli Organizzativi;
• Risorse Umane;
• Controlli Fisici;
• Controlli Tecnologici.

ISO/IEC 27001:2022: i controlli previsti dalla norma

I controlli che la nuova versione della norma prevede (93, rispetto ai precedenti 114) risultano meglio strutturati e classificati, senza che detta semplificazione porti però ad una riduzione degli standard qualitativi di sicurezza.

Nell’ottica di semplificare il processo di implementazione dei requisiti di sicurezza delle informazioni, la nuova ISO/IEC 27001:2022 classifica i controlli secondo logiche differenti.

I 93 controlli previsti, infatti, sono classificati sia in base alla tipologia (preventivo, investigativo, correttivo) che in base alla caratteristica dell’informazione che quello specifico controllo si prefigge di tutelare (riservatezza, integrità, disponibilità).

Particolare rilevanza viene data alla continuità operativa ed alla capacità di resilienza dei sistemi, da verificarsi mediante l’attuazione di un’analisi di impatto aziendale.

Si tratta di un’analisi che permette alle organizzazioni di comprovare la propria capacità di gestire in sicurezza le informazioni tramite procedure, sia tecniche che organizzative, che le consentano di reagire tempestivamente agli eventi avversi.

Un sistema resiliente, non solo dal punto di vista tecnologico, apporterà all’azienda numerosi vantaggi:

• identificazione preventiva dei rischi e pianificazione delle strategie di risposta;
• tutela degli asset informativi anche in eventi di crisi;
• preservazione della continuità aziendale e riduzione dei danni derivanti da eventuali interruzioni di servizio.

ISO/IEC 27001:2022 : le implicazioni per le imprese

Le organizzazioni certificate secondo la versione precedente della ISO/IEC 27001 dovranno adattarsi a questi cambiamenti per mantenere la conformità ai nuovi standard. Questo richiederà un approccio metodico, strutturato su tre livelli:

1. Revisione dei processi esistenti: sarà necessario esaminare e, ove necessario, aggiornare le procedure interne per garantire che siano allineate ai nuovi requisiti;
2. Formazione e sensibilizzazione del personale: il personale dovrà essere formato e reso consapevole dei nuovi aspetti della norma, e dei rischi connessi all’utilizzo delle nuove tecnologie disponibili sul mercato;
3. Investimento in nuove tecnologie o strumenti: alcune organizzazioni potrebbero aver bisogno di investire in nuove tecnologie o in strumenti più avanzati per il trattamento delle informazioni per soddisfare i nuovi requisiti ISO, in particolare per quanto riguarda la gestione dei rischi legati alle nuove tecnologie.

Le strategie per una transizione efficace alla ISO/IEC 27001:2022

Per garantire una transizione agevole alla nuova versione della ISO/IEC 27001:2022, le organizzazioni dovrebbero considerare di attuare i seguenti passaggi:

1. Svolgere un’analisi dettagliata dei nuovi requisiti, per capire come questi ultimi impattano sui processi aziendali esistenti, e in che modo la struttura esistente si pone in conflitto con le novità introdotte dalla ISO/IEC 27001:2022;
2. Ricorrere all’ausilio di consulenti esperti in materia di ISO/IEC 27001, per attuare una transizione efficace, e per pianificare un action plan coerente con le richieste della norma e con la struttura organizzativa e informatica societaria;
3. Sviluppare un piano strategico di intervento fortemente personalizzato sulle specifiche caratteristiche e necessità aziendali, che includa scadenze, responsabilità e risorse necessarie;
4. Condurre audit interni regolari, per identificare aree di non conformità e necessità di miglioramento ulteriori;
5. Formare periodicamente il personale, per mantenere un alto livello di consapevolezza e competenza sulla sicurezza delle informazioni.

In un mondo sempre più digitalizzato e interconnesso, aderire a standard di sicurezza delle informazioni all’avanguardia non è solo una questione di conformità, ma una componente essenziale per garantire la sostenibilità e il successo aziendale a lungo termine. La transizione alla nuova ISO/IEC 27001:2022 rappresenta quindi un’opportunità significativa per le organizzazioni di rafforzare la loro gestione della sicurezza delle informazioni, snellire il carico organizzativo interno, trarre vantaggio da una gestione del rischio più efficace che generi nei clienti e nelle parti interessate una maggior fiducia verso l’azienda ed i servizi che essa offre.