Consulenza ISO 27035: la gestione degli incidenti nelle ICT

Il nostro Studio di Consulenza aiuterà il cliente a prepararsi per la certificazione ISO/IEC 27001, supportandolo nell’implementazione delle linee guida aggiuntive della ISO 27035.

Consulenza ISO/IEC 27035: cos’è

Utilizzato insieme a ISO/IEC 27001, lo standard ISO/IEC 27035 consente alle aziende di gestire correttamente gli incidenti nella sicurezza delle informazioni nell’ambito delle ICT.

Consulenza ISO 27035: le fasi dell’incidente

Le fasi principali previste dalla norma ISO 27035 sono cinque:

  1. Pianificazione e predisposizione: prepararsi ad affrontare gli incidenti, ad esempio, preparare una politica di gestione degli incidenti e stabilire un team competente per affrontare gli incidenti;
  2. Rilevamento e segnalazione: identificare segnalare gli incidenti di sicurezza delle informazioni;
  3. Valutazione e decisione: Valutare gli incidenti e prendere decisioni su come devono essere affrontati, ad esempio, correggere le cose e tornare rapidamente al business, o raccogliere prove forensi anche se ritarda la risoluzione dei problemi;
  4. Risposta: rispondere agli incidenti, cioè contenerli, indagare e risolverli;
  5. Apprendimento: Imparare le lezioni – più che semplicemente identificare le cose che potrebbero essere state fatte meglio, questa fase comporta effettivamente apportare modifiche che migliorano i processi.

Consulenza ISO 27035: l’impostazione dell’approccio

Oltre agli eventi e agli incidenti reali, dovremmo esplorare e imparare sistematicamente da tutti quegli eventi che possiamo definire “quasi-incidenti”, cioè situazioni che fortunatamente hanno causato poco o nessun impatto sul business, come ad esempio:

  • Un operatore di allerta che nota e segnala un attacco di phishing o Business E-mail Compromise;
  • Un’infezione da malware difettoso / non funzionante o scareware;
  • Un collega che individua documenti riservati lasciato sulla scrivania di qualcuno dopo essere tornato a casa e li ha riordinati;
  • Un manager che rivela casualmente un dettaglio commercialmente sensibile alla conversazione con un fornitore o un concorrente che sembra non averlo notato;
  • Un ufficio vicino che viene svaligiato, vandalizzato, bruciato o allagato;
  • Un concorrente, un partner commerciale, un cliente o un fornitore che soffre di un incidente degno di nota;
  • Qualsiasi incidente da cui l’organizzazione ha recuperato con successo, ad esempio ripristinando i backup;
  • Incidenti che, per pura fortuna, erano banali (incidentali!), e avrebbero potuto facilmente essere molto peggiori, ad esempio se si fossero verificati in un’ora o un giorno o un punto diverso nel ciclo economico, in altre circostanze, o se non fossero stati avvistati così presto.

Sebbene, in assenza di impatti significativi e con risorse limitate già impattate da altre priorità, è allettante per il management semplicemente ignorare gli eventi catalogabili come potenziali e/o quasi incidenti e gli incidenti minori, che in realtà presentano opportunità per:

  • Identificare e studiare i rischi sulle informazioni (minacce, vulnerabilità, esposizioni, impatti…) che altrimenti potrebbero essere rimasti non riconosciuti o ignorati;
  • Valutare l’approccio di gestione del rischio, in particolare le decisioni e i controlli associati;
  • Individuare e affrontare le debolezze specifiche o addirittura generali con l’approccio, apportando miglioramenti;
  • Ottenere garanzie sugli aspetti che hanno funzionato bene, o almeno sono andati a pianificare;
  • Generare materiali di case study per scopi di sensibilizzazione e formazione e informazioni per alimentare future valutazioni del rischio, comprese le statistiche / metriche.

Potremmo non essere così fortunati la prossima volta! L’industria aeronautica è un esempio lampante di questo approccio, con una strategia completa per identificare, riferire, affrontare e migliorare come risultato di quasi-incidenti.

Nonostante il titolo, le norme ISO/IEC 27035 riguardano specificamente gli incidenti che interessano i sistemi e le reti IT, sebbene i principi fondamentali si applichino anche agli incidenti che riguardano altre forme di informazioni come documenti, conoscenze, proprietà intellettuale, segreti commerciali e informazioni personali. Il linguaggio è quasi interamente legato all’IT.

Consulenza ISO 27035: l’iter per arrivare alla certificazione

Si parla di estensione alla ISO 27035 in quanto la Norma ISO 27035 non è una norma certificabile, ma è una estensione della Norma ISO 27001. Chi volesse certificarsi secondo la ISO 27035 dovrà richiedere la certificazione ISO 27001 con estensione alla ISO/IEC 27035.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Sistema di Gestione per la Qualità ISO 9001
  • Sistema di Gestione Ambientale ISO 14001
  • Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001
  • Sistema di Gestione per la Salute e Sicurezza nei luoghi di Lavoro ISO 45001
  • Sistema di Gestione per la Continuità Operativa ISO 22301
  • Sistema di Gestione per la Sicurezza dei Dati Personali ISO 27701
  • Sistema di Gestione Anticorruzione ISO 37001
  • Sistema di Gestione dei Servizi IT ISO 20000
  • Sistema di Gestione per la Parità di Genere UNi PdR/125
  • Sistema di Gestione per la Sicurezza Stradale ISO 39001
  • Consulenza per la Responsabilità Sociale SA8000
  • Consulenza per la Sicurezza Alimentare ISO 22000
 
© 2020 - 2025 | All rights reserved | Privacy Policy | Cookies Policy

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli