Che cos'è lo standard ISO 27001?

L'ISO/IEC 27001 è uno standard di sicurezza delle informazioni riconosciuto a livello internazionale, sviluppato dall'ente di certificazione ISO (International Organization for Standardization, Organizzazione internazionale per la normazione) e dall'IEC (International Electrotechnical Commission, Commissione elettrotecnica internazionale). L'ISO 27001 ha subito diverse iterazioni, tra cui ISO 27001:2013; l'ultima versione è ISO/IEC 27001:2022.

l'ISO 27001 fornisce linee guida e un modello, con i requisiti per "stabilire, implementare, mantenere e migliorare continuamente" un sistema di gestione della sicurezza delle informazioni (ISMS). L'ISO 27001 comprende 93 controlli di gestione del rischio, ma non tutti sono tenuti a soddisfare la conformità allo standard ISO 27001; invece, la conformità ISO 27001 riguarda la comprensione del livello di rischio della propria organizzazione e la decisione su quali dei 93 controlli sono più appropriati per mitigare tale rischio per le risorse informative.

ISO 27001 richiede la creazione di un modello ISMS ISO 27001 per inquadrare policy e procedure che proteggano i dati sensibili di un'organizzazione, inclusa la proprietà intellettuale. Questo modello si basa sui processi, le persone, la tecnologia e le procedure necessarie per i controlli di sicurezza delle informazioni, per proteggere sistemi e dispositivi e proteggere i dati da accessi non autorizzati che possono causare a uso improprio, esposizione, interruzione, modifica o distruzione dei dati. Inoltre, le policy e le procedure ISMS aiutano a ridurre i rischi per i dati di attacchi informatici e minacce interne tramite la valutazione del rischio. Un ISMS aiuta anche a soddisfare la conformità alle normative sulla protezione dei dati e sulla privacy, come il Regolamento generale sulla protezione dei dati (GDPR), contribuendo a rafforzare l'integrità, la riservatezza e la disponibilità dei dati.

Le soluzioni per la sicurezza Akamai proteggono da vulnerabilità, minacce malware (incluso ransomware), violazioni dei dati e attacchi DDoS. Akamai protegge l'experience del cliente, i dipendenti, i sistemi, i dati personali e sensibili integrando la sicurezza in ogni cosa, ovunque. La piattaforma globale di Akamai garantisce che un'organizzazione possa rilevare e prevenire le minacce esistenti ed emergenti e adattarsi al mutevole panorama della sicurezza. Questo è essenziale per mantenere la conformità ISO 27001 e dimostrare il miglioramento continuo della sicurezza. L'elemento Zero Trust della piattaforma di Akamai contribuisce a creare un ambiente conforme a ISO 27001 che fornisce una visibilità approfondita su risorse, controlli di accesso e flussi di rete, con applicazione granulare della policy di sicurezza.

ISO 27001 comprende i controlli relativi ad aree organizzative, delle persone, fisiche e tecnologiche. Tutti i settori sono a rischio di minacce informatiche incentrate sulle persone che sfruttano l'accesso a sistemi e servizi critici.

Un approccio fondamentale all'interno degli obiettivi di controllo dello standard ISO 27001 è quello della sicurezza Zero Trust. I controlli includono:

• controllo degli accessi, per stabilire controlli di accesso fisico e logico alle informazioni e ad altre risorse associate
• Diritti di accesso con privilegi, per garantire un accesso basato sul "privilegio minimo".
• Segregazione delle reti, come parte di un approccio alla sicurezza Zero Trust

Questi controlli aiutano un'organizzazione a stabilire un ambiente Zero Trust.

Ecco tre esempi di settori che traggono vantaggio dall'implementazione un modello Zero Trust conformemente a ISO 27001:

ISO 27001 per le infrastrutture critiche 

Gli attacchi alle infrastrutture critiche hanno effetti devastanti. Un esempio recente è un incidente di sicurezza presso il fornitore di petrolio degli Stati Uniti Colonial Pipeline . L'intero sud-ovest degli Stati Uniti è stato colpito; per aggirare la sicurezza delle operazioni e infettare l'azienda con ransomware bastava una sola password compromessa. Le infrastrutture critiche coprono molti servizi vitali, tra cui servizi di pubblica utilità, produttori di prodotti chimici e trasporti. La natura critica di questi servizi li rende un obiettivo interessante per gli hacker. L'accesso non autorizzato e l'esposizione delle credenziali che include la supply chain più ampia è un'area centrale di interesse. La maggiore connettività alla più ampia rete Internet e una superficie di attacco estesa delle moderne unità industriali connesse hanno consentito ai criminali di aprire porte, una volta saldamente chiuse, nei sistemi critici. L'implementazione dello standard ISO 27001 e delle policy e procedure di sicurezza delle informazioni associate mitiga il rischio di attacchi informatici alle infrastrutture critiche.

ISO 27001 per il settore sanitario 

Il settore sanitario in generale è un obiettivo ideale per i criminali informatici. Il settore è ad alto contenuto di dati, un'infrastruttura critica e fortemente dipendente dalla tecnologia e dai rapporti con i fornitori. Di conseguenza, le istituzioni sanitarie sono a rischio di molte forme di attacco informatico, tra cui violazioni dei dati e ransomware. Un recente rapporto dell' IC3  (Internet Crime Complaint Center) dell'FBI ha riportato che nel 2022 l'unità ha ricevuto più segnalazioni di attacchi ransomware contro l'assistenza sanitaria rispetto a qualsiasi altro settore delle infrastrutture critiche. In quanto servizio complesso, l'assistenza sanitaria può beneficiare del rigore richiesto per implementare un ISMS come parte della certificazione ISO 27001. Un approccio Zero Trust ai rischi per la sicurezza delle informazioni garantirà che le organizzazioni sanitarie possano controllare l'accesso ai dati sensibili e mantenere il controllo su sistemi e servizi critici.

ISO 27001 per i servizi finanziari 

Un sondaggio del Fondo monetario internazionale (FMI) del 2023 condotto in 51 paesi ha rilevato che le minacce informatiche contro gli istituti finanziarie stanno "proliferando", indicando che è urgentemente necessaria una risposta adeguata da parte del settore. Il settore finanziario subisce una varietà di attacchi informatici, inclusi ransomware, violazioni dei dati e attacchi DDoS. Il rapporto delle indagini sulle violazioni dei dati 2022 di Verizon ha suddiviso il tipo di attacchi contro il settore finanziario in "Attacchi di base alle applicazioni web, intrusioni di sistema ed errori vari", che costituiscono il 79% delle violazioni. Il rapporto evidenzia inoltre che le credenziali rubate sono parte integrante della maggior parte degli attacchi nel settore. L'ISO/IEC 27001 fornisce al settore finanziario meccanismi per applicare un approccio Zero Trust all'accesso non autorizzato.

La sicurezza dei dati è un vantaggio competitivo riconosciuto. Il conseguimento della certificazione ISO 27001 aiuta le organizzazioni a dimostrare a clienti, committenti e altre parti interessate che la vostra azienda prende sul serio la sicurezza delle informazioni e dispone di una gestione della continuità operativa. Essere conformi a ISO 27001 significa aver creato un ambiente sicuro, basato su un ISMS, che mitiga i rischi per la sicurezza dei dati e aiuta a ridurre al minimo i rischi per le aziende con cui collaborate.

Essere passati attraverso tale processo, per implementare una serie di controlli per gestire le minacce alla sicurezza delle informazioni e migliorare la gestione degli incidenti, significa che la vostra organizzazione ha effettuato un'analisi delle lacune di sicurezza dei dati ed è a minor rischio di attacchi informatici e di esposizione accidentale dei dati. Ciò si traduce in un minor numero di violazioni dei dati e in una ridotta probabilità di multe e altre sanzioni per il mancato rispetto delle normative.

I controlli e il modello ISO 27001 sono mappati ad altre normative sulla protezione dei dati, come GDPR e NIST CSF (Cybersecurity Framework). Pertanto, disporre della certificazione ISO 27001 contribuisce a rispettare queste altre normative sulla protezione dei dati.