Evoluzione e confusione nella famiglia delle norme ISO/IEC 27xxx
L’evoluzione delle normative ISO è sempre in fermento e il ciclo di revisione delle varie norme prosegue sempre coi vari tavoli tecnici.
È notizia delle ultime settimane la prossima uscita della nuova ISO/IEC 27002 entro la fine dell’anno o a inizio 2022 (ad oggi in versione DIS già disponibile sullo store di iso.org[1]).
Questa notizia ha provocato in molte aziende preoccupazione e soprattutto tanta confusione. La ISO/IEC 27002 è infatti la “Code of practice for information security controls” che fornisce una linea guida sulle modalità di applicazione dei controlli presenti all’interno dell’allegato A dello standard ISO/IEC 27001. Proprio questo forte legame tra le due norme sta generando confusione generale. È allo studio del gruppo ISO/IEC pertinente (l’ISO/IEC JTC 1 SC 27 WG 1) un aggiornamento “parziale” della ISO/IEC 27001 per adeguare i controlli dell’Annex A con quanto previsto dalla nuova ISO/IEC 27002. Si tratterebbe di un “amendment” e quindi non verrà nemmeno cambiato l’anno di riferimento dalla normativa mantenendo l’attuale 2013. Questo aspetto, insieme ad altri che vedremo in seguito, lascia piuttosto perplessi, in quanto l’anno di una norma è la sua caratterizzazione univoca, una sorta di “cognome” della norma. Per cui se quanto ad oggi solo previsto si concretizzasse avremmo la stessa versione della norma ma con due allegati A diversi… da lì ci sarà da chiedersi…quale usare? Sicuramente usciranno circolari e altre linee guida puntuali, ma per i non addetti ai lavori la confusione sarà certa (considerando che nel 2017 in una esperienza di audit mi sono ritrovato una organizzazione che usava la versione 2005 ormai ritirata da 2 anni con 2 norme dallo stesso nome con parte dei contenuti diversi ci sarà sicuramente da ridere).
Ma è davvero necessario questo cambiamento “parziale” e sono stati valutati realmente bene tutti i risvolti che tale cambiamento avrebbe all’interno delle aziende?
La questione relativa ai controlli dell’Annex A è sempre spinosa e nella maggior parte dei casi si perde il senso dello stesso così come previsto all’interno della norma ISO/IEC 27001. Proviamo quindi a fare un’analisi puntuale dei requisiti richiesti dallo standard ISO/IEC 27001. Il classico approccio “errato” nell’istaurazione di un Sistema di Gestione per la Sicurezza delle Informazioni visto in tanti anni di consulenza e audit è quello di partire analizzando i 114 controlli non tenendo conto che tali controlli dovrebbero essere “solo” un aiuto per le organizzazioni in fase di creazione del piano di trattamento del rischio “cfr ISO/IEC 27001 – 6.1.3c confrontare i controlli determinati per attuare le opzioni selezionate per il trattamento del rischio relativo alla sicurezza delle informazioni con quelli nell’Allegato A e verificare che non siano stati omessi controlli necessari”. Inoltre la nota 2 ci dice che “La lista di obiettivi di controllo e di controlli riportati nell’Allegato A non è esaustiva, e ulteriori obiettivi di controllo e controlli potrebbero essere necessari.” Proprio questa nota mi rende estremamente dubbioso sulla necessità / opportunità di fare un aggiornamento “parziale” dello standard ISO/IEC 27001.
Proprio analizzando quanto presente all’interno della nota viene da chiedersi. Ma è davvero così necessario aggiornare la ISO/IEC 27001?
Se le due norme non fossero all’interno di un ecosistema molto più complesso e vasto la risposta sarebbe sicuramente SI. L’aggiornamento rientrerebbe nel normale ciclo di vita e sarebbe solo opinabile l’anno di revisione della norma per quanto detto prima.
Purtroppo però le implicazioni nella modifica di quanto previsto dall’Annex A della ISO/IEC 27001 ha dei risvolti estremamente più ampi a causa del “proliferare” delle linee guida 27xxx che nel corso degli ultimi anni hanno avuto un’esplosione piuttosto pesante. Basti pensare ad esempio che i Cloud Service Provider hanno dovuto adeguarsi estendendo la loro certificazione anche alle norme ISO/IEC 27017 e ISO/IEC 27018[2] o che alcune organizzazioni hanno iniziato/completato un percorso ci conformità allo standard ISO/IEC 27701:2019 che estende i requisiti della 27001 per l’implementazione di un sistema di gestione per la sicurezza dei dati personali.
Il problema delle 27017, 27018 e di molte altre norme che contengono linee guida, come ad esempio la 27019 specifica per le energy industry, è che lo schema base è costruito sulla struttura dell’allegato A della ISO/IEC 27001 (mente la 27701 riprende nel capitolo 6 tutti i controlli estendendoli alle informazioni personali). Essendo ormai la maggior parte delle norme utilizzabili per l’estensione del certificato ISO/IEC 27001[3] questo potenziale disallineamento porterebbe ulteriore confusione.
Va detto che il ISO/IEC JTC 1 SC 27 WG 1 ha pianificato un aggiornamento anche di alcune di queste norme, le varie tabelle di correlazione potranno aiutare gli utilizzatori e che, comunque, le difficoltà ci saranno ad ogni cambiamento della ISO/IEC 27001: avremo sempre un momento di disallineamento tra la norma “madre” – la ISO/IEC 27001 – e le sue estensioni (con le implicazioni del caso relative a mantenimento delle certificazioni e audit periodici).
Va comunque osservato che i controlli estesi sono di due tipi:
- quelli già previsti dalla 27002, ma per i quali è ampliata la sola guida per l’implementazione (e non il “controllo”) e che pertanto non influenzano il SOA;
- quelli aggiuntivi, che possono essere comunque aggiunti senza problemi in coda a quelli della ISO/IEC 27001, come già oggi succede.
Per ora non possiamo fare altre che plaudire alla prossima versione della ISO/IEC 27002 che rivoluzionerà in modo pesante la sua organizzazione sconvolgendo quello che è il modello attuale ed era stato il modello della versione precedente.
Infatti i 14 gruppi di controllo attualmente in essere andranno a sparire a favore di soli 4 gruppi:
- Controlli organizzativi;
- Controlli relativi alle persone;
- Controlli di tipo fisico;
- Controlli di tipo tecnologico.
Nella nuova norma saranno tolte alcune ridondanze e il numero di controlli passerà da 114 a 93 (e soprattutto sarà sostituito il tanto discusso tra auditor e consulenti “Teleworking” con il più attuale “Remote working” e si parlerà di “Information security during disruption” creando meno ambiguità e confusione con lo standard ISO 22301).
Tra qualche mese sicuramente avremo le idee più chiare e soprattutto certezze sulle nuove norme con l’auspicio che si tenga conto delle implicazioni che cambiamenti così significativi possono avere sulle organizzazioni che hanno in essere un Sistema di Gestione per la Sicurezza delle Informazioni.
Note
[1] https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-3:v1:en
[2] https://www.agid.gov.it/sites/default/files/repository_files/guida_qualificazione_servizi_cloud_11pt_id2_0.pdf
[3] https://www.accredia.it/documento/circolare-tecnica-dc-n-02-2018-accreditamento-per-lo-schema-di-certificazione-iso-iec-270012013-con-integrazione-delle-linee-guida-iso-iec-270xx20yy/
Articolo a cura di Paolo Sferlazza
Socio fondatore di Gerico Security Srl lavora come advisor, auditor e trainer nel campo della sicurezza delle informazioni, continuità operativa, gestione dei servizi IT e sicurezza delle carte di pagamento.
Ha accompagnato primarie aziende e infrastrutture critiche italiane nell’ottenimento della certificazione ISO/IEC 27001, ISO 22301 e ISO/IEC 20000.
È un Qualified Security Assessor riconosciuto dal PCI Council per la certificazione dei sistemi di pagamento PCI DSS. Ha conseguito la certificazione CISA, CISM, CRISC di ISACA, ed è auditor qualificato e tiene docenze sugli schemi ISO/IEC 27001, ISO 22301, ISO/IEC 27001 e ISO 9001 ed è iscritto ai registri AICQ SICEV quale auditor sulla sicurezza delle informazioni e continuità operativa. Ha inoltre ottenuto altre certificazioni nel campo della sicurezza delle informazioni e dell’IT governance tra cui OPST, COBIT e ITIL. Ha progettato ed erogato docenze, anche in ambito militare, su tematiche di Information Risk Management, ITIL. Ha effettuato audit interno, assessment e consulenza in merito all’accreditamento dei laboratori VA rispetto alla 17025. Si occupa si sicurezza delle informazioni nel mondo specifico dell’automotive in conformità con lo standard di settore TISAX.
Collabora con primari enti di certificazione come auditor di terza parte.