Il panorama della sicurezza informatica continua a evolvere, caratterizzato da una spietata corsa agli armamenti. Da una parte ci sono coloro che lavorano instancabilmente per costruire le difese più efficienti, dall’altra ci sono i malintenzionati, sempre più ingegnosi, che cercano di superare gli ostacoli per perpetrarsi nel sistema. In questo contesto, l’immobilismo equivale a una retrocessione in un campo in cui il progresso è fondamentale.

L’ultima revisione dello standard globale di sicurezza, la ISO/IEC 27001:2022, si propone come una nuova e aggiornata guida strategica in questa competizione. Non si tratta solo di un semplice restyling, ma di una revisione sostanziale della struttura difensiva, concepita per affrontare la varietà delle minacce moderne in modo efficace.

Una delle innovazioni più rilevanti riguarda la riorganizzazione dei controlli di sicurezza previsti nell’Allegato A, che ora è composto da quattro aree tematiche distinte.

La prima area, chiamata **Controlli Organizzativi**, è focalizzata sulla creazione delle politiche e delle procedure che governano la sicurezza stessa. Ciò include le linee guida per la sicurezza delle informazioni, la definizione di ruoli e responsabilità, e l’implementazione di pratiche di governance efficaci.

La seconda area, **Controlli sulle Persone**, si concentra sul fattore umano, che rappresenta spesso il punto più vulnerabile della catena di sicurezza. Questa sezione comprende azioni quali il screening dei dipendenti, la formazione per aumentare la consapevolezza sulla sicurezza e la gestione dei processi che riguardano il termine del rapporto di lavoro.

La terza area, **Controlli Fisici**, si occupa della protezione delle infrastrutture materiali. Ciò comprende misure atte a garantire la sicurezza dei data center, il monitoraggio degli accessi alle zone delicate e la salvaguardia delle apparecchiature tecnologiche da potenziali intrusi.

Infine, la quarta area, **Controlli Tecnologici**, racchiude gli aspetti fondanti della difesa nel cyberspazio. Questi controlli includono la gestione degli accessi, l’uso della crittografia per proteggere i dati sensibili, la protezione contro il malware e le misure di sicurezza adottate per le reti.

Questa nuova suddivisione non deve essere vista come un semplice esercizio formale, ma come una reazione logica e pragmatica alle attuali dinamiche degli attacchi informatici. Oggi un assalto al sistema raramente si limita a sfruttare una sola vulnerabilità. Un’intrusione può iniziare con un attacco di phishing indirizzato a un dipendente (la persona), approfittare di una falla software non corretta (la tecnologia) e culminare nell’esfiltrazione di dati a causa di politiche di accesso inadeguate (l’organizzazione). Pertanto, un approccio efficace alla sicurezza necessita di essere globale e stratificato.

Oltre alla riorganizzazione dei controlli preesistenti, sono stati introdotti ben 11 nuovi controlli in risposta alle tendenze emergenti e alle nuove minacce. Tra queste novità, si annoverano il controllo di “Threat intelligence”, ovvero la raccolta e l’analisi delle informazioni relative alle minacce, la protezione delle informazioni in uso nei servizi cloud e la pratica del “Data masking”, che consiste nell’offuscare i dati sensibili per prevenirne l’abuso.

Adottare e certificare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) secondo i dettami della nuova norma significa allestire una difesa moderna, che rispecchi le migliori pratiche a livello globale e sia pensata per garantire resilienza. Non si tratta di erigere un muro invalicabile, poiché in nessun sistema è possibile garantire una totale invulnerabilità, ma di creare un apparato che sia in grado di prevenire, rilevare, rispondere e ripristinare le operazioni in caso di un incidente.

Per le aziende e i professionisti che si avvicinano a questa normativa, la transizione non rappresenta soltanto un obbligo per mantenere la certificazione, ma si configura anche come un’importante opportunità per riconsiderare e rivedere criticamente la propria postura di sicurezza. In un contesto in continua evoluzione e sempre più pericoloso, rafforzare le proprie difese diventa imprescindibile.

Invitiamo tutti a seguire i nostri profili social per rimanere aggiornati