Sicurezza delle informazioni: pubblicato il nuovo standard ISO/IEC 27005:2018

È stato pubblicato il nuovo standard ISO/IEC 27005:2018 (Information technology – Security techniques – Information security risk management).

Mai come in questo momento, in un mondo così iperconnesso,  è importante proteggere la sicurezza delle informazioni di una società, sia che si tratti di dati commercialmente sensibili, sia che si tratti di dati personali dei propri clienti.

Lo standard ISO/IEC 27005:2018 fornisce alle Organizzazioni le linee guida per la valutazione e la gestione efficace ed efficiente dei rischi relativi alla sicurezza delle informazioni, al fine di proteggere le proprie informazioni e quelle dei propri clienti.

Il nuovo standard supporta i concetti generali specificati nello standard ISO/IEC 27001, con il quale si integra, con l’obiettivo di aiutare le organizzazioni nella tutela della sicurezza delle informazioni mediante un corretto approccio alla gestione del rischio. L’ISO 27005 fornisce linee guida per l’implementazione di un processo di risk assessment basato sugli aspetti di sicurezza delle informazioni.

Le novità della nuova norma ISO/IEC 27005:2018 

La nuova edizione della norma, è stata revisionata proprio per rispondere alle problematiche attuali di violazione della privacy e di attacchi informatici che minacciano tali Organizzazioni:

• la norma non contiene le linee guida dirette per l’implementazione dei requisiti di un Sistema di Gestione per la Sicurezza delle informazioni, che sono specificate invece nello standard ISO/IEC 27001;
• la norma e le sue novità sono importanti per costruire un processo di gestione del rischio all’interno di un sistema di gestione ISO 27001.

Certificazioni ISO/IEC 27001 e la ISO/IEC 27005:2018

La certificazione secondo lo standard ISO/IEC 27001 dimostra e garantisce la presenza di un efficiente Sistema di Gestione per la sicurezza delle informazioni, questo assume ancora più rilevanza in un contesto come quello attuale, sempre più tecnologico e sempre più soggetto a rischio di violazioni.

Condurre un risk assessment per valutare il rischio di violazione della sicurezza diventa fondamentale per garantire una gestione efficace dei rischi legati alle informazioni all’interno di una Organizzazione. L’ISO 27005 si concentra specificatamente sulla valutazione del rischio, per identificare, analizzare e valutare i rischi che possono influire sulla sicurezza delle informazioni.

Quindi possiamo dire che conoscere e applicare la norma ISO/IEC 27005:2018 è necessario per condurre una valutazione dei rischi all’interno di un sistema ISO 27001 e per ottenere quindi la certificazione.

Processo di valutazione del rischio descritto nella ISO 27005:2018

Il processo di risk assessment prevede diversi passaggi, tra cui:

1. identificazione dei beni delle informazioni: identificazione di tutti i beni delle informazioni critici per l’Organizzazione, come dati, sistemi, infrastrutture e risorse;
2. identificazione delle minacce: interne o esterne, includendo potenziali eventi o azioni che possono causare danni o interruzioni ai beni delle informazioni;
3. vulnerability assessment: valutazione delle vulnerabilità, dei punti deboli che possono essere sfruttati dalle minacce per danneggiare le informazioni;
4. analisi del rischio: considerando le probabilità che una minaccia possa sfruttare una vulnerabilità specifica e l’impatto che tale evento potrebbe avere sulla sicurezza informatica delle informazioni;
5. trattamento del rischio: identificare e implementare misure di mitigazione per ridurre il rischio, per esempio aumentando i controlli di sicurezza tecnici, organizzativi o procedurali, con percorsi di formazione adeguati.

La valutazione del rischio dovrà essere poi documentata.