SPS_2023

30 speciale anteprima SPS ITALIA 2023 Lo standard ISO/IEC 27001 è il principale standard internazionale per i si- stemi di gestione della sicurezza delle informazioni (ISMS), e della cyberse- curity in generale. A seguito della revisione dell’ottobre 2022, la nuova ISO/ IEC 27001:2022 ha sostituito la precedente ISO/IEC 27001:2013. La nuova versione contiene modifiche attese da tempo relativamente alle misure di sicurezza informatica, alla protezione dei dati e alle misure concrete di sicu- rezza del cloud. “Unsistemadigestionedellasicurezzadelle informazioni(ISMS)pu aiutare le aziendedi qualsiasi dimensioneaproteggersi efficacementedai cyberattacchi e da altre forme di manipolazione dolosa dei dati”affermaAlexander Häußler, global product performancemanager ITe leadauditor diTÜVSÜD.“La certifi- cazione ISO/IEC27001 consentealleaziendedi rafforzare laprotezionecontro gli attacchi informatici e di prevenire la perdita di informazioni sensibili”. Per fare chiarezza, informare e illustrare bene tutte le novità, TÜV SÜD ha realizzato un White Paper che fornisce una panoramica aggiornata della norma ISO/IEC 27001, del suo sviluppo e dei passi concreti da compiere per ottenere la nuova certificazione.“La nuova norma 27001:2022 è stata progettata per es- sere calata in maniera sartoriale su aziende di ogni settore che si trovano ad affrontare un ambientemutevole e imprevedibile,incontinuo cambiamento a livello di tecnologia e di infra- strutture; un contesto di questo tipo porta ine- vitabilmente alla nascita di nuove vulnerabilità eminacce”affermaAntonioBagiolini,business linemanager ICT,coordinatore tecnico27001 e lead auditor di TÜVSÜD. Nuovi controlli I principali cambiamenti della nuova ISO/IEC27001:2022 rispetto alla prece- dente,riguardano i controlli definiti nell’AllegatoA,che sono stati ridotti da 114 a 93 e riclassificati in quattro gruppi: • controlli organizzativi (37 controlli) • controlli sulle persone (8 controlli) • controlli fisici (14 controlli) • controlli tecnologici (34 controlli). Sono stati aggiunti 11 nuovi controlli, che affrontano questioni come il ma- scheramento dei dati (un metodo per rendere i dati inutilizzabili per gli ha- cker), le attività di monitoraggio (per rilevare attività informatiche insolite) e la sicurezza delle informazioni per l’uso di servizi cloud. Il periodo di transizione termina nell’autunno del 2025 Dalla pubblicazione del nuovo standard si applica un periodo di transizione di 36 mesi; ci significa che i certificati esistenti devono essere convertiti al nuovostandard ISO/IEC27001:2022entro l’autunnodel 2025.Leaziendegià in possesso della certificazione ISO/IEC 27001:2013 hanno quindi circa tre anni per completare la transizionedei lorocertificati.Tuttavia,TÜVSÜDconsi- gliaalleaziendedi iniziareprimapossibileadaffrontare lemodifichedel nuovo standard, data l’importanza cruciale per la sicurezza delle informazioni. “UnSistemadi GestionedellaSicurezzadelle Informazioni (SGSI) certificato” continua Antonio Bagiolini di TÜV SÜD “è costituito da processi, tecnologie e persone che aiutano a proteggere e governare tutte le risorse informative ed informatiche dell’organizzazione, attraverso un approccio efficace alla gestione del rischio e ai controlli. Con la nuova edizione della norma ISO IEC 27001 un’organizzazione pu dimostrare un forte impegno rivolto alla sicurezza delle informazioni proprie e dei propri partner e aumentare così la fiducia dei propri clienti”. TÜVSÜD - www.tuvsud.com/it-it Norma ISO/IEC 27001 - proteggere dati e informazioni aziendali Sabrina Zapperi White Paper La certificazione ISO/IEC 27001 consente alle aziende di rafforzare la protezione contro gli attacchi informatici e di prevenire la perdita di informazioni sensibili Fonte foto shutterstock Le minacce informatiche sono uno dei rischi più gravi per le aziende e avere a disposizione un sistema di gestione della sicurezza delle informazioni (ISMS) è essenziale. La norma ISO/IEC 27001, a seguito della revisione avvenuta a fine 2022, contiene ora nuove misure volte a migliorare la sicurezza informatica e la protezione dei dati