Un sinonimo che trova talvolta impiego in questo contesto è cybersicurezza, essendo quell’ambito della sicurezza informatica che dipende solo dalla tecnologia: con esso si enfatizzano spesso qualità di resilienza,robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance.
Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc…) a un’organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità.
La sicurezza informatica è un problema molto sentito in ambito economico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti.
L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni, proporzionalmente alla loro diffusione e al ruolo da essi svolto nella collettività.
Sicurezza delle informazioni
Sicurezza informatica non coincide con sicurezza delle informazioni(InfoSec). La prima si rivolge agli asset informatici (impianti, reti, dispositivi, sistemi, applicazioni, servizi), la seconda mira a mettere in sicurezza l’asset “informazione” nelle dimensioni: organizzazione, fisica ed ambientale, logica (cioè tecnologia informatica o telematica). Per la sicurezza delle informazioni la sicurezza informatica è una parte ed è un mezzo, non è la finalità.
Si può sommariamente osservare che:
quando le informazioni sono non digitali allora non riguardano la sicurezza informatica, mentre la sicurezza delle informazioni è interessata;
un’informazione orale (o materializzata unicamente su carta) rimane un’informazione che potrebbe essere necessario mettere in sicurezza senza dover o poter ricorrere alla sicurezza informatica.
Portaluppi Cyber&Privacy
Esiste a livello internazionale la norma ISO 27001 finalizzata alla standardizzazione delle modalità adatte a proteggere le informazioni da minacce di ogni tipo, al fine di assicurarne la riservatezza, l’integrità e la disponibilità (proprietà identificate con l’acronimo RID). Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI; in inglese Information security management system o ISMS) finalizzato a una corretta gestione delle informazioni dell’organizzazione. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio. Le organizzazioni (di qualsiasi natura, settore, dimensione) possono far certificareISO 27001 il proprio SGSI.
Privacy, termine dell’inglese, traducibile in italiano con riservatezza o privatezza, indica, nel lessico giuridico-legale, il diritto alla riservatezza della vita privata di una persona.
Il diritto a non essere soggetto a violazioni non autorizzate della parte più privata della propria esistenza da parte del governo, delle società o degli individui fa parte delle leggi sulla privacy di molti Stati del mondo e, in alcuni casi, delle costituzioni.
Evoluzione storica del concetto
Il concetto si sviluppa fin dell’Antica Grecia, quando, in una serie di trattati filosofici si inizia a far riferimento ad un “senso di riservatezza”. Aristotele, nella sua Politica, distingue tra Polis, sfera pubblica dell’individuo, correlata alle attività cittadine, ed Oikos, sfera privata, associata alla vita domestica. Viene così stabilito l’ambito personale, distinto da pubblico e politico. Per gli antichi greci il coinvolgimento da parte degli uomini nella vita pubblica era di fondamentale importanza; parallelamente, però, riconoscevano al singolo la necessità di una sfera propria e riservata, da intendersi come luogo in cui occuparsi dei propri bisogni. L’affermarsi di città-stato significa per l’uomo ricevere una personale vita activa, marcando il discrimine tra ciò che è proprio contro ciò che è comune. La vita privata è rispettata in quanto considerata elemento necessario a far scaturire uno stimolo d’interesse cittadino. Ogni uomo che ha proprietà nella città sarà interessato al suo corretto funzionamento.
Durante l’età feudale si espande l’ideale di libertà personale e, successivamente, grazie allo Stato assoluto, ciò che separa privato e pubblico viene delineato al punto da originare la sfera del privato. Riforme religiose e diffusione dell’alfabetizzazione sono tra gli elementi che condizionano fortemente la società occidentale del XVI e XVII secolo. Tali elementi portano proprio ad un mutamento radicale della mentalità sociale, diffondendo un nuovo costume d’appartenenza.
La connotazione odierna di privacy, però, si afferma proprio a seguito della caduta del feudalesimo. XVIII e XIX rappresenterebbero un’era prolifica per il diritto. Nel 1890, due giuristi statunitensi, Louis Brandeis e Samuel Warren, pubblicarono “The Right of Privacy”[6] sulla Harward Law Review, prima monografia giuridica a riconoscere “the right to be let alone”, “diritto ad essere lasciato da solo”. Esprimendo in queste parole il desiderio di una propria ed inviolabile intimità[7][8].
Ciononostante, le prime accezioni del termine si riferiscono ad una casistica tendente al negativo, la libertà ottenuta con il concetto di privacy non è associata ad una possibilità “di”, quanto ad una liberazione “da” un qualcosa/qualcuno. Il periodo storico è quello della rivoluzione industriale, ciò è quindi da intendere non in ottica universale, quanto riferito al ceto borghese. È già qui evincibile quanto il concetto di privacy si riscopra in ogni contesto storico, dovendosi interfacciare con una serie di nuove necessità personali che in esso si affermano. Il sancire un’impossibilità di ingresso in uno spazio altrui, come sottolineato da Rodotà, funge da snodo culturale fondamentale nell’affermazione della privacy odierna.
In ottica europea si ha una prima formazione del concetto di privato tra XVIII e XIX secolo. In Germania origina la discussione su una serie di possibilità individuali originanti dal “diritto naturale”, elemento d’influenza della filosofia giuridica tedesca.
Nel 1954 una sentenza del Bundesgerichtshof determina, per la prima volta, un basilare diritto alla personalità.
La discussione d’origine germanica si estese così per il continente, fintanto che nel 1909, in Francia, si giunge alla legittimazione dei diritti della personalità.
I primi casi di violazione si presentano tra gli anni ’50 e ’60. Caso particolarmente significativo è la sentenza emessa dalla Corte di Cassazione nel 1963. Il settimanale italiano “Tempo” ottenne attenzione popolare diffondendo una serie di particolari inerenti alla vita intima di Claretta Petacci, amante di Benito Mussolini. A seguito della constatazione ne scaturì una denuncia da parte della sorella minore della Petacci, Miria di San Servolo.
Nel 1975 anche il Supremo Collegio italiano si adeguò alle controparti europee affermando l’esistenza di un diritto alla riservatezza. Il tutto scaturì a seguito di controversie con Soraya Esfandiari che fu fotografata, nelle proprie mura domestiche, in atteggiamenti intimi con un uomo.
Tornando all’ottica comunitaria, una serie di provvedimenti fu ribadita: direttive 95/46/CE, 97/66/CE, e 2002/58/CE.
Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva, la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. È composto da 99 articoli e 173 considerando, questi ultimi con solo valore interpretativo. Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento, tranne per le parti per le quali si prevede espressamente delle possibilità di deroga.
L’EA-European Accreditation e l’EDPB-European Data Protection Board sono due organismi europei con ruoli ben distinti, entrambi con un impatto significativo sulla certificazione in ambito GDPR.
L’EA è l’organizzazione che coordina gli organismi nazionali di accreditamento degli stati membri UE, con lo scopo principale di garantire che gli organismi di certificazione, ispezione e verifica operino secondo standar comuni e riconosciuti a livello europeo, seguendo il Regolamento (CE) n.765/2008, che stabilisce un quadro per l’accreditamento e la vigilanza del mercato UE.
Si occupa di garantire che le certificazioni rilasciate da organismi accreditati siano riconosciute nell’UE, mantenendo così la fiducia del mercato unico.
L’EDPB è un organismo indipendente che garantisce l’applicazione del Regolamento Generale sulla Protezione dei Dati-GDPR, fornendo linee guida e pareri.
Supervisiona il funzionamento delle autorità nazionali di protezione dei dati-DPA, assicurando che le loro decisioni siano coerenti tra gli Stati membri, per garantire che i meccanismi di certificazione siano conformi al GDPR.
L’EA assicura che questi organismi operino secondo standard ISO/IEC riconosciuti a livello internazionale, come ISO/IEC 17065 per gli organismi di certificazione di prodotti, processi e servizi.
L’EDPB non accredita direttamente, ma definisce i criteri di certificazione, fornendo orientamenti per la valutazione della conformità al GDPR.
Controlla che le certificazioni relative al GDPR siano coerenti e non contraddicano i principi fondamentali della protezione dei dati.
Le differenze sono: l’EA si occupa di accreditare gli organismi di certificazione e garantire che operino in modo affidabile secondo gli standard internazionali, l”EDPB si occupa della protezione dei dati e fornisce linee guida per la certificazione GDPR.
L’EA è il punto di riferimento per la qualità e l’affidabilità della certificazione in generale, l’EDPB si occupa di garantire che la certificazione nell’ambito della protezione dei dati sia coerente con il GDPR.
Ho voluto pubblicare questo articolo, prendendo spunto da pillole molto interessanti del mio amico Riccardo, seguiranno successivamente altre condivisioni di articoli tipo, seguendo il nostro mantra 😜
Lo standardISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che contiene i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System).
La ISO 27001 non è (unicamente) uno standard di sicurezza informatica in quanto, oltre alla sicurezza logica, include la sicurezza fisica/ambientale e la sicurezza organizzativa.
In Italia fu pubblicata una versione della norma UNI CEI EN ISO/IEC 27001:2017, che non era altro che la versione 2013 con due rettifiche.
In Italia fu pubblicata una versione della norma UNI CEI EN ISO/IEC 27001:2017, che non era altro che la versione 2013 con due rettifiche:
requisito A.8.1.1: l’inventario, la classificazione e trattamento degli “asset” riguardava anche le “informazioni” cui gli asset sono associati.
requisito 6.1.3: la Dichiarazione di Applicabilità doveva specificare se erano implementati o meno i “controlli necessari”, e non solo i controlli riferiti all’Annex A.
Non essendo stati introdotti nuovi requisiti, la norma ISO era in versione edizione 2013, per cui l’unico impatto sui certificati emessi era sul riferimento normativo nazionale in essi riportato.
ISO/IEC 27001
In Italia l’edizione 2022 è stata recepita come UNI/CEI EN ISO/IEC 27001:2024 (pubblicata il 20 febbraio 2024, in vigore dal 25 gennaio 2024). Le novità, come per qualsiasi altro recepimento continentale o nazionale della ed. 2022, riguardano i controlli dell’Annex A per cui è stato fatto un lavoro di accorpamento di controlli contigui con relativa eliminazione di ridondanze e, soprattutto, introduzione di nuovi. La terminologia è stata chiaramente aggiornata. Nessuna novità sostanziale delle clausole della norma da cap. 4 a cap. 10.
La norma ISO 27002 è una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001 al fine di proteggere le risorse informative; ISO 27001 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002 non è certificabile in quanto è una semplice raccolta di raccomandazioni.
Dal momento che l’informazione è un bene che aggiunge valore all’organizzazione, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo dello standard ISO 27001 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001 ed il Risk management, basandosi sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo.
La norma Standard ISO 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio, la protezione delle informazioni e degli asset aziendali, ivi inclusi gli asset IT. La norma è applicabile a tutte le imprese o aziende pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda o finalità dell’ente pubblico. Però bisogna tener presente che l’adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità. “Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, mantenere e migliorare un sistema documentato all’interno di un contesto di rischi legati alle attività centrali dell’organizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.”
Lo standard ISO 27001 che come già detto presenta molti punti in comune con la ISO 9001, che definisce i requisiti di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia del miglioramento continuo, ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede:
Pianificazione e Progettazione;
Implementazione (processi operativi);
Monitoraggio;
Miglioramento.
similmente a quanto previsto dai sistemi per la gestione della qualità.
Nella fase di progettazione richiede però lo svolgimento di un risk assessment, schematizzabile in:
Identificazione dei rischi;
Analisi e valutazione;
Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
Assunzione del rischio residuo da parte del management;
Definizione dello Statement of Applicability.
L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto dell’ISMS. Come per il sistema qualità, l’organizzazione ISMS può essere certificata da enti di certificazione, che operano tramite valutatori qualificati, esaminando periodicamente lo stato delle condizioni di conformità. Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato delle necessarie competenze.
Controlli
Di fondamentale importanza è l’Annex A “Control objectives and controls” che contiene i 133 “controlli” a cui l’organizzazione che intende applicare la norma deve attenersi. Il termine controllo va inteso come modalità di gestione di uno specifico argomento: non entra nel merito del “come” ma inquadra il “cosa”. Qui “controllo” non sta per “verifica” o simili, equivale a “tenere sotto controllo” (governare). Contromisura è probabilmente la parola migliore che rende il concetto di controllo della ISO 27001.
Da notare che la clausola 6.1.2 permette di individuare anche altri controlli sia di emanazione dell’organizzazione che derivanti da altre fonti (ad esempio altri framework di sicurezza). Astrattamente, di converso, si potrebbero escludere tutti i controlli dell’annex A della norma.
Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).
La gestione della continuità operativa relativa alla sicurezza e il rispetto normativo, completano l’elenco degli obiettivi di controllo.
L’organizzazione deve motivare quali di questi controlli non sono applicabili all’interno del suo ISMS, per esempio un’organizzazione che non attua al suo interno ‘commercio elettronico’ può dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all’e-commerce.
Tecnicamente, essendo i controlli appartenenti ad un’appendice, essi non fanno parte delle clausole della norma: sono mandatori ma in forma subordinata.
Privacy
La conformità alla ISO 27001, pur certificata da un organismo di certificazione, accreditato, non solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla privacy; il controllo A.18.1.4 richiede infatti che “La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali”.
La differenza sostanziale tra legge sulla privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili e non, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.
Il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001. Per esempio un impianto antincendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non soddisfa automaticamente le esigenze che esprime la norma ISO 27001, che si preoccupa anche della ‘correttezza’ dei ‘dati’ contenuti nei server e nei client. Senza dimenticare che tutte le informazioni di business o dei processi interni, prive di dati personali, sono know how e rientrano nel perimetro del SGSI.
