La norma ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection - Guidance on managing information security risks” è uno standard internazionale che fornisce linee guida per la gestione dei rischi nella sicurezza delle informazioni che rappresenta una guida completa e pratica per implementare un sistema efficace di gestione dei rischi nella sicurezza dei dati.
La sicurezza delle informazioni è una materia complessa che ha visto nel tempo l’elaborazione di standard (volontari), linee guida (soft law) e normative (nazionali ed UE) afferenti alla protezione dei dati e dei sistemi informatici. Il modello originario, a cui si fa ancora riferimento, è noto come triade CIA: Confidentiality, Integrity, Availability, ovvero riservatezza, integrità e disponibilità dei dati.
Sulla valutazione dei rischi per la sicurezza dei dati personali, come richiede il Regolamento UE 679/2016, si è molto scritto e molto dibattuto. In questo articolo si vogliono fornire alcune considerazioni sul tema, analizzando i requisiti della ISO/IEC 27001:2013 e della ISO/IEC 27701:2019, alla luce del GDPR. Anzitutto è bene considerare la valutazione dei rischi nella prospettiva della ISO/IEC 27001:2013, della ISO/IEC 27701:2019 e del Regolamento UE 2016/679.
Nel contesto di un audit (interno, di seconda parte o di terza parte), le “buone prassi” - o “good practices” — sono risultanze “positive” osservate durante la verifica, che vanno “oltre la conformità minima” ai requisiti della norma sia essa cogente o volontaria o del modello di procedure/passi applicato.
Per leggere l'articolo integrale devi effettuare il login!
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
A causa della situazione pandemica, che dallo scorso anno ha investito anche il nostro paese modificando la fisionomia del mercato del lavoro, il Governo - con il DPCM del 1 marzo 2020 - ha previsto la possibilità per i datori di lavoro di attivare, in deroga all’art. 18 della L. 81/2017, lo smart working in modalità semplificata, ovvero senza la stipula di un previo accordo individuale con il lavoratore. Tale modalità scadrà, salvo proroghe, il 30 aprile 2021. L’art. 19 del D.L. 31 dicembre 2020, n. 183 (c.d. Decreto Mille Proroghe) convertito con modificazioni in Legge 26 febbraio 2021, n. 21 ha, infatti, confermato nuovamente la procedura semplificata già adottata a marzo 2020 sino a tale data.
Il 2021 è stato un anno particolarmente critico sul fronte della cybersecurity e della protezione dei dati. Ad evidenziarlo è il rapporto del Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, che lo scorso anno ha gestito 5.434 attacchi informatici significativi, con 110.524 alert di sicurezza e una media di 15 attacchi al giorno ai danni di servizi informatici di sistemi istituzionali, infrastrutture critiche informatizzate di interesse nazionale, infrastrutture sensibili di interesse regionale, e grandi imprese.
Una società tedesca specializzata in cybersicurezza, la Greenbone Networks, ha scoperto che era possibile accedere a dati medici di molti pazienti archiviati su computer connessi a internet e totalmente privi di protezioni. Ha informato di questo fatto la redazione della testata radiotelevisiva Bayerischer Rundfunk. L’inchiesta che ne è seguita ha rivelato che si possono trovare online analisi di ogni genere su milioni di pazienti in almeno 52 paesi del mondo. ProPublica, ha confermato che negli Stati Uniti il fenomeno è molto diffuso e riguarda almeno 5 milioni di pazienti.
La pandemia ha dimostrato quanto siano diventati centrali i social media, le piattaforme di messaggistica e collaborazione durante la vita quotidiana delle persone. Tuttavia, non abbiamo ancora capito il compromesso tra la sicurezza e la privacy offerte da queste piattaforme e i costi reali del loro utilizzo. Per esempio, siamo abituati a sentirci dire che la privacy è equiparabile ad una merce, ma nessuno è davvero sicuro di ciò che viene venduto, o quale sia il prezzo reale.
Il 15 febbraio 2022 è stata pubblicata la nuova edizione della norma ISO/IEC 27002 “Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni”. L'edizione precedente era stata pubblicata nel 2013. La nuova versione, pertanto, ha richiesto quasi nove anni di lavoro. Alla data odierna la nuova versione del documento non è ancora disponibile nel sito www.uni.com, mentre è acquistabile, ovviamente in lingua inglese, nel sito www.iso.org.
