ISO 27002 | Consulenza direzionale

Ott, 2025

I controlli ISO 27002: 8.5 Autenticazione sicura

n questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il Controllo8.5 Autenticazione sicura.

L’Autenticazione Sicura come prima linea di difesa.

La porta d’ingresso dei vostri dati: quanto è robusta?

Immaginate la sicurezza delle informazioni come un edificio. Potete avere i muri più spessi, le finestre blindate e i sistemi di allarme più sofisticati, ma se la porta d’ingresso ha una serratura debole, tutto il resto diventa inutile. L’autenticazione è esattamente questa porta d’ingresso: il primo controllo che determina chi può accedere ai vostri sistemi e alle vostre informazioni.

Lug, 2025

I controlli ISO 27002: Backup delle informazioni (8.13)

In questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il Controllo 8.13 -Backup delle informazioni.

La linea guida del controllo 8.13 “Backup delle informazioni” della ISO/IEC 27002 non impone una metodologia specifica di backup, ma fornisce criteri e suggerimenti chiave per scegliere o progettare la strategia più adatta. Ecco un riassunto dei suggerimenti principali

Mag, 2025

Icontrolli ISO 27002: Threat Intelligence (5.7)

Limitarsi a reagire alle minacce informatiche non è sufficiente: è fondamentale prevenirle prima che si verifichino. Raccogliere e analizzare informazioni sulle minacce consente alle organizzazioni di comprendere meglio quali contromisure adottare per proteggersi da rischi concreti e rilevanti.

Mag, 2025

I controlli ISO 27002: Separazione dei compiti (5.3)

Iniziamo con questo articolo una disamina dei controlli delle linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il controllo 5.3: Separazione dei compiti (I compiti e le aree di responsabilità in conflitto devono essere separati.).

Le nuove ISO 27001 e ISO 27002

Photo by Pixabay on Pexels.com

In quest’articolo andremo a commentare le nuove revisioni delle due più importanti norme della famiglia ISO 27k, avvenute nel corso del 2022:

ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements
ISO IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

La seconda è stata anche pubblicata dall’UNI con il prefisso UNI CEI EN alcuni mesi fa, ma di fatto l’Ente di Normazione Italiano si è astenuto dal tradurre le 170 pagine di norma, limitandosi alla traduzione del titolo (“Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza delle informazioni”) e poco più, lasciando molti delusi visto che la precedente versione era stata tradotta. Ora ci si aspetta la pubblicazione della UNI CEI EN ISO 27001 con traduzione in italiano che dovrebbe costare pochi sforzi viste le limitate differenze rispetto alla versione precedente e le similitudini con altre norme con struttura HLS. Aspettative che non dovrebbero andare eluse visto che la ISO 27001 è anche una norma certificabile.

Valutazione del rischio per la sicurezza delle informazioni vs. valutazione del rischio privacy

In un precedente articolo abbiamo trattato della valutazione del rischio privacy per adempiere ai requisiti del GDPR (Regolamento UE 2016/679 sulla protezione dei dati personali), ma chi ha o deve implementare un sistema di gestione per la sicurezza delle informazioni come deve considerare la valutazione dei rischi sui trattamenti di dati personali? Tale valutazione è implicita nella valutazione dei rischi sulla sicurezza delle informazioni, ovvero è un “di cui” di essa? Oppure, come sostengono alcuni esperti di privacy, è tutta un’altra cosa e va considerata separatamente? Cerchiamo di chiarire questi aspetti.

Si fa presto a dire “Misure di Sicurezza adeguate”

Come noto il Regolamento UE 679/2016 (GDPR) non prevede più – a differenza del previgente D.Lgs 196/2003 – di attuare delle misure “minime” di sicurezza” a protezione dei dati personali trattati da un’organizzazione (titolare o responsabile del trattamento), bensì misure di sicurezza adeguate, stabilite a fronte di una valutazione dei rischi sui trattamenti.

In particolare, all’Articolo 32 del GDPR: Sicurezza del trattamento (Considerando 83), si riporta quanto segue:

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

La sicurezza delle informazioni in caso di calamità naturali e non naturali

In caso di catastrofi e calamità naturali quali terremoti, alluvioni, inondazioni, incendi, eruzioni vulcaniche, uragani oppure atti terroristici, uno dei danni collaterali dopo la perdita di vite umane e i danni materiali ad edifici ed infrastrutture, occorre considerare il blocco dei sistemi informativi che può rallentare notevolmente la ripresa delle normali attività. Leggi tutto

La nuova edizione della norma ISO 27002 (prima parte)

La norma UNI CEI ISO/IEC 27002:2014 “Raccolta di prassi sui controlli per la sicurezza delle informazioni” (che sostituisce la ISO 27002:2005) è stata progettata per essere impiegata nelle organizzazioni che intendono implementare un sistema di gestione della sicurezza delle informazioni ISO 27001 e la prendono come riferimento per la scelta dei controlli di sicurezza da attuare. Leggi tutto

Le novità della UNI ISO 27001:2014

La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 – Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti. Essa specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione, includendo anche i requisiti per valutare e trattare i rischi relativi alla sicurezza delle informazioni adattati alle necessità dell’organizzazione. Leggi tutto

Archivi tag: ISO 27002

Ott, 2025

L’Autenticazione Sicura come prima linea di difesa.

Lug, 2025

Mag, 2025

Mag, 2025