Sicurezza dei sistemi informativi ISO 27000

ProcessFrame supporta un sistema di gestione della sicurezza informatica conforme allo standard ISO 27000 , sia in modalità autonoma con una configurazione dedicata, che in modalità integrata con i sistemi di gestione ISO 9000, ISO 14000, ISO 45000, sfruttando al meglio la comunanza di approccio fra di essi.

Sicurezza ISO 27000

Lo standard per la sicurezza ISO 27000 è ispirato al modello Plan Do Check Act e si basa su un approccio per processi, come tutta la nuova generazione degli standard ISO.
Molte delle funzionalità sono comuni e facilmente integrabili con quelle degli altri sistemi di gestione: dalla documentazione all'audit, dalle segnalazioni di anomalie e incidenti alla gestione degli interventi di correzione e miglioramento, dal monitoraggio delle competenze alle comunicazioni interne ed esterne all'Azienda.

Sicurezza ISO 27000: Contesto dell'organizzazione

Clicca per ingrandire

Il primo passo nella configurazione del sistema di gestione sicurezza ISO/IEC 27000 è la definizione del contesto relativamente al tema sicurezza: quali sono le parti interessate e quali sono gli aspetti normativi e contrattuali rilevanti. Infatti, l'obiettivo principale della serie ISO/IEC 2700 consiste nel proteggere i dati che vengono processati dall'azienda da attacchi informatici o da qualunque altra minaccia possa configurarsi. ProcessFrame, in questa specifica configurazione come software ISO 27000, permette di gestire il tutto in maniera integrata, dall'identificazione degli asset critici e delle possibili minacce su questi ultimi, alle valutazioni di rischio e alle azioni correttive/di miglioramento per contenere l'avverarsi delle minacce identificate. Di seguito alcune delle funzionalità del software per la gestione ISO 27000:

Valutazione e gestione del rischio

In ProcessFrame si registrano tutti gli asset e le minacce potenziali; per ogni combinazione di asset e minaccia si associano la probabilità e la gravità che la minaccia si verifichi. Da questa analisi si ricava un elenco di combinazioni ordinate per importanza.

Sulla base di questo elenco si definiscono le possibili strategie:

 

  1. Mettere in atto delle azioni per ridurre probabilità e/o gravità;
  2. Trasferire il rischio ad una terza parte (assicurazione);
  3. Rinunciare ad attività che sono troppo rischiose;
  4. Accettare il rischio.

Per tutti casi che rientrano nella prima strategia (intervenire per migliorare la situazione) le Azioni di mitigazione e/o miglioramento possono essere registrate in ProcessFrame. Queste sono sottoposte a workflow approvativo, monitorate nella loro esecuzione, verificate nella loro efficacia.

Competenze e documentazione

In ProcessFrame è possibile tracciare i requisiti di competenza e i piani formativi del personale incaricato della gestione della sicurezza, così come gli analoghi requisiti per tutti gli utenti dei sistemi informativi.

È anche possibile registrare le schede di valutazione delle competenze, con l'individuazione delle aree carenti in modo da poter adeguare il piano formativo di conseguenza.

La gestione relativa alla Sicurezza ISO 27000 naturalmente può essere integrata con un più generale sistema di gestione delle competenze e della formazione, in modo integrato con i requisiti del sistema di gestione della qualità (ISO 9001) e di gestione della Sicurezza sul lavoro (ISO 45001).

Infine, il sistema di gestione documentale di ProcessFrame consente di gestire il processo di creazione e diffusione delle procedure interne (cicli di revisione e approvazione, gestione delle versioni, richieste di aggiornamento) così come l'archiviazione di documenti e normative di utile consultazione.

Gestione Audit e definizione checklist

Molti dei rischi di sicurezza sono legati a comportamenti inadeguati degli utenti e al mancato rispetto delle procedure aziendali. E' quindi indispensabile procedere ad attività periodiche di audit e verifica, controllando i log di sistema e intervistando i responsabili delle Funzioni aziendali.

ProcessFrame consente di:

 

  • Creare checklist personalizzate;
  • Predisporre un piano di audit basato sulle checklist definite;
  • Registrare gli esiti delle verifiche;
  • Attivare le segnalazioni di Non Conformità con le eventuali Azioni correttive.

Tutte queste funzionalità sono interamente customizzabili ad hoc per le esigenze e per la specificità dell'azienda cliente. Naturalmente, queste funzioni di audit sono integrabili con quelle previste da altri standard ISO, quali l'ISO 9001, l'ISO 14001 e l'ISO 45001.

Registro degli incidenti di sicurezza

Tutti gli incidenti (anche quelli di minor entità o che non creato danni perchè i meccanismi di protezione hanno operato correttamente) possono essere registrati nel sistema in apposito registro.

 

Per  ogni incidente è possibile effettuare nel software l'analisi delle cause, eventualmente coinvolgendo gli utenti e gli specialisti necessari, pianificando le azioni di remediation e di prevenzione, con workflow approvativi e monitoraggio dell'andamento delle attività.

 

Infine, le funzionalità statistiche del sistema consentono un'analisi della frequenza e delle tipologie degli incidenti per evidenziare trend e aree di maggior rischio.

Gestione notifiche incidenti

Gli incidenti che hanno impatto significativo devono essere notificati alle parti interessate:

 

  1. Alle funzioni aziendali impattate dall'incidente;
  2. Alle terze parti (in particolare clienti e fornitori) coinvolti, eventualmente attivando uno scambio di comunicazioni a supporto delle analisi delle cause e del piano di remediation;
  3. Al garante della privacy, nel caso di incidenti che coinvolgano dati personali
  4.  All’ACN – nello specifico al Computer Security Incident Response Team (il CSIRT) – nelle casistiche rientranti nel Perimetro di Sicurezza Nazionale Cibernetica.

Monitoraggio e miglioramento

Come per tutti i sistemi di gestione, il monitoraggio per la sicurezza ISO 27000 prevede due attività complementari:

 

  1. bottom-up: registrazione degli incidenti e dei quasi incidenti, con analisi della causa ed eventuali azioni di correzione;
  2. top-down: verifiche periodiche (audit) del rispetto delle procedure e dei log dei sistemi informatici.

ProcessFrame supporta entrambe le attività e offre strumenti di analisi statistica per identificare trend potenzialmente pericolosi. Infine, registrando le Azioni collegate alle minacce e agli asset, si verifica se le queste abbiano contribuito a ridurre la loro frequenza e gravità, e si rivedono le valutazioni di rischiosità.