Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contatti

Via Magenta, 4 - San Vittore Olona (MI)

info@securityhub.it

+39 031/3815060

Twitter Facebook-f Pinterest-p Instagram
Norme ISO
Un esperto IT discute la revisione delle policy di sicurezza durante una riunione informale con il team di una PMI.
_ _ security_ 0 Comments

Misure di sicurezza ISO: guida pratica per PMI e certificazione

TL;DR:

  • Le PMI italiane spesso considerano la sicurezza solo tramite antivirus e firewall, ma ciò è insufficiente. La sicurezza secondo ISO richiede un sistema strutturato di tecnologie, politiche e formazione. La corretta implementazione di norme come ISO 27001, 27017 e 27018 migliora la protezione dei dati e assicura la certificazione.

Molte PMI italiane identificano le misure di sicurezza con l’installazione di un antivirus o la configurazione di un firewall. Questa visione riduttiva espone le aziende a rischi concreti e rende il percorso verso la certificazione ISO molto più difficile del necessario. Le misure di sicurezza, secondo gli standard ISO 27001, ISO 27017 e ISO 27018, sono un sistema strutturato che comprende strumenti tecnici, politiche aziendali, formazione del personale e processi organizzativi. Capire questa distinzione non è solo un esercizio teorico: è il punto di partenza per proteggere dati, persone e continuità operativa, e per costruire un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) realmente certificabile.

Indice

Punti Chiave

PuntoDettagli
Definizione chiaraLe misure di sicurezza vanno oltre i tool IT: includono processi, policy e formazione per proteggere dati e persone.
ISO 27001 come baseLa certificazione ISO 27001 richiede misure personalizzate, collegate ai rischi reali della PMI.
Estensioni per cloud e privacyISO 27017 aggiunge controlli per il cloud, mentre ISO 27018 protegge dati personali in linea con il GDPR.
Ruolo della cultura aziendaleSviluppare una cultura della sicurezza è essenziale: non basta la tecnologia, servono coinvolgimento aziendale e formazione.

Definizione chiara: cosa sono le misure di sicurezza

Una misura di sicurezza, nel contesto degli standard ISO, è qualsiasi azione, processo, strumento o politica adottata per ridurre un rischio identificato. La norma ISO 27001 usa il termine controllo (dall’inglese control) per indicare questa stessa realtà: un controllo è una misura selezionata per trattare un rischio specifico relativo alla riservatezza, all’integrità o alla disponibilità delle informazioni.

È fondamentale capire che le misure di sicurezza si dividono in due grandi categorie:

  • Misure tecniche: firewall, crittografia, sistemi di autenticazione multifattore (MFA), software di rilevamento intrusioni, backup automatizzati, gestione delle patch e sistemi di monitoraggio degli accessi.
  • Misure organizzative: policy di sicurezza, procedure operative, piani di risposta agli incidenti, contratti con i fornitori, formazione del personale, audit interni, classificazione delle informazioni e gestione dei ruoli e delle responsabilità.

Nessuna delle due categorie, da sola, è sufficiente. Un’azienda può investire migliaia di euro in tecnologia di sicurezza, ma se i dipendenti non sanno riconoscere una email di phishing, il rischio rimane elevato. Allo stesso modo, una policy scritta bene ma non supportata da strumenti tecnici adeguati è solo carta.

“Le misure di sicurezza efficaci nascono dall’analisi del rischio, non dalla lista della spesa tecnologica. Prima si identifica il rischio, poi si sceglie la misura adeguata.”

Per una PMI italiana, le misure tipiche incluse in un ISMS certificato ISO 27001 comprendono:

  • Politiche di accesso basate sul principio del minimo privilegio
  • Procedure di gestione degli incidenti di sicurezza
  • Contratti con fornitori che includono clausole di sicurezza
  • Piani di continuità operativa e disaster recovery
  • Programmi di formazione annuale per tutto il personale
  • Inventario e classificazione degli asset informativi

Approfondire come strutturare queste politiche è essenziale: la redazione di una corretta policy di sicurezza ISO 27001 è spesso il primo passo concreto verso la certificazione. Le 37 controlli specifici per cloud della ISO 27017, ad esempio, estendono il perimetro delle misure tecniche verso responsabilità condivise tra provider e cliente, segregazione degli ambienti virtuali, gestione delle chiavi crittografiche e monitoraggio delle attività cloud.

La scelta delle misure non è arbitraria. Ogni controllo deve essere selezionato in base a una valutazione documentata del rischio, e la sua applicazione deve essere verificabile attraverso prove oggettive durante l’audit di certificazione.

ISO 27001: la struttura dei controlli e delle misure richieste

ISO 27001 organizza le misure di sicurezza nell’Annex A, un elenco strutturato di controlli suddivisi per dominio tematico. Nella versione aggiornata del 2022, i controlli sono stati riorganizzati in quattro aree principali: controlli organizzativi, controlli sulle persone, controlli fisici e controlli tecnologici. Questa struttura aiuta le PMI a non dimenticare nessun ambito critico.

Il processo per scegliere i controlli giusti segue questi passaggi:

  1. Identificazione degli asset: elencare tutti i dati, sistemi, software e processi che hanno valore per l’azienda.
  2. Analisi delle minacce e delle vulnerabilità: per ogni asset, valutare cosa potrebbe andare storto e con quale probabilità.
  3. Valutazione del rischio: calcolare l’impatto potenziale e decidere quali rischi sono accettabili e quali richiedono trattamento.
  4. Selezione dei controlli: scegliere dall’Annex A le misure più adeguate per ridurre i rischi non accettabili.
  5. Dichiarazione di Applicabilità (SoA): documentare quali controlli sono applicati, quali esclusi e le motivazioni.
DominioEsempio di controlloApplicazione PMI
OrganizzativoPolitica di sicurezza delle informazioniDocumento approvato dalla direzione
PersoneFormazione sulla consapevolezzaCorso annuale obbligatorio per tutti
FisicoControllo accessi fisiciBadge o serrature con log
TecnologicoGestione delle identità e degli accessiMFA su tutti i sistemi critici

Un aspetto spesso sottovalutato dalle PMI è la connessione diretta tra il livello di rischio aziendale e il numero di controlli da implementare. Non tutte le aziende devono applicare tutti i 93 controlli dell’Annex A. Una piccola impresa con infrastruttura IT limitata può escludere alcuni controlli, a patto che giustifichi ogni esclusione nella SoA. Questa flessibilità è un punto di forza della norma, ma richiede una valutazione rigorosa.

Il responsabile del Sistema di Gestione della Sicurezza delle Informazioni si occupa della compilazione della tabella di valutazione dei rischi secondo lo standard ISO.

È utile ricordare che, come precisato dagli esperti del settore, le estensioni ISO 27017 e 27018 non sono certificabili in modo autonomo: devono sempre appoggiarsi su una ISO 27001 già implementata. Questo significa che per una PMI italiana il percorso corretto è: prima ISO 27001, poi le estensioni cloud e privacy.

Consiglio Pro: Prima di selezionare i controlli, create una mappa degli asset critici su un foglio di calcolo semplice. Associare ogni asset a un rischio specifico riduce il tempo di scelta dei controlli del 40% rispetto a un approccio generico.

Per approfondire il percorso completo, i dettagli sull’implementazione ISO 27001 forniscono una guida strutturata passo dopo passo. Una volta completata l’implementazione, è altrettanto importante sapere come effettuare la verifica controlli sicurezza in modo sistematico per mantenere la conformità nel tempo.

L’estensione cloud: misure di sicurezza secondo ISO 27017

Con l’adozione crescente di servizi cloud da parte delle PMI italiane, la ISO 27017 è diventata uno standard di riferimento concreto. Questa norma estende ISO 27001 aggiungendo 37 controlli specifici per ambienti cloud, affrontando temi che la norma base non copre in dettaglio.

La distinzione principale rispetto a ISO 27001 riguarda il modello di responsabilità condivisa. In un ambiente cloud, la sicurezza non è responsabilità esclusiva del cliente. Provider e cliente devono entrambi implementare misure precise, e la ISO 27017 chiarisce chi deve fare cosa. Questo è particolarmente rilevante quando una PMI utilizza servizi come Microsoft 365, Google Workspace o piattaforme SaaS di terze parti.

AmbitoISO 27001ISO 27017 (aggiuntivo)
Gestione degli accessiControllo accessi generaleSegregazione ambienti cloud multi-tenant
CrittografiaPolitica crittograficaGestione specifica delle chiavi cloud
MonitoraggioLog degli eventiMonitoraggio attività cloud in tempo reale
ResponsabilitàInterna all’organizzazioneDefinita tra provider e cliente

I controlli aggiuntivi della ISO 27017 riguardano in particolare:

  • Segregazione degli ambienti virtuali: ogni cliente cloud deve operare in un ambiente isolato dagli altri, evitando accessi non autorizzati tra tenant diversi.
  • Gestione delle chiavi crittografiche: il cliente deve mantenere il controllo delle proprie chiavi, indipendentemente dalle capacità crittografiche offerte dal provider.
  • Logging e monitoraggio cloud: devono essere attivati log granulari delle operazioni, con conservazione adeguata e accesso controllato.
  • Accordi sui livelli di servizio (SLA): i contratti con i provider devono includere clausole specifiche sulla sicurezza e sulla gestione degli incidenti.

Consiglio Pro: Prima di certificarsi ISO 27017, richiedete al vostro provider cloud una documentazione formale della sua conformità (ad esempio, certificazioni esistenti o report SOC 2). Questo riduce il lavoro di audit e dimostra maturità nella gestione del rischio cloud.

Una PMI italiana dovrebbe considerare la ISO 27017 quando gestisce dati aziendali sensibili su piattaforme cloud, quando i clienti richiedono garanzie formali sulla sicurezza cloud, o quando opera in settori regolamentati come quello sanitario, finanziario o della pubblica amministrazione. Prepararsi a questo passaggio richiede un’analisi accurata: la checklist per la preparazione audit ISO 27017 è uno strumento pratico per valutare la propria posizione. Per identificare azioni concrete, è utile consultare anche gli esempi di misure preventive ISO 27017 già adottate da altre organizzazioni.

La privacy nei dati personali cloud: ISO 27018 e il legame con il GDPR

Mentre la ISO 27017 si concentra sulla sicurezza tecnica del cloud, la ISO 27018 affronta un tema distinto ma complementare: la protezione delle informazioni personali identificabili (PII, dall’inglese Personally Identifiable Information) elaborate nel cloud. Si tratta di un’estensione con focus diretto sulla privacy, allineata ai requisiti del GDPR europeo.

Per una PMI italiana, i dati PII critici includono:

  1. Dati anagrafici di clienti e dipendenti (nome, indirizzo, codice fiscale)
  2. Dati di contatto come email e numeri di telefono
  3. Informazioni finanziarie come coordinate bancarie o cronologia acquisti
  4. Dati sanitari o sensibili, se trattati dall’azienda
  5. Identificatori digitali come indirizzi IP, cookie e log di navigazione

“La ISO 27018 non è un duplicato del GDPR. È uno strumento tecnico che aiuta a dimostrare, con prove concrete, che le misure adottate sono adeguate alla protezione dei dati personali nel cloud.”

Il collegamento con il GDPR è diretto. Il Regolamento europeo richiede che i titolari del trattamento adottino misure tecniche e organizzative adeguate. La ISO 27018 fornisce esattamente un catalogo di tali misure, applicate al contesto specifico del cloud. Essere conformi alla ISO 27018 non sostituisce la conformità al GDPR, ma offre una base documentale solida per dimostrare che il trattamento dei dati personali è gestito correttamente.

Le azioni pratiche per la tutela della privacy nel cloud secondo ISO 27018 comprendono:

  1. Ottenere il consenso esplicito prima di elaborare dati PII per scopi secondari
  2. Garantire la portabilità e la cancellazione dei dati su richiesta degli interessati
  3. Limitare geograficamente dove vengono elaborati e archiviati i dati personali
  4. Rendere trasparenti le pratiche di gestione dei dati attraverso politiche pubbliche
  5. Implementare procedure di notifica in caso di violazione dei dati (data breach)

Come chiarito dagli specialisti del settore, la ISO 27017 e 27018 estendono la 27001 e non sono certificabili in modo indipendente: il focus della 27018 è specificamente sulla privacy dei dati PII e sul rispetto del GDPR nel contesto cloud. Questo significa che per una PMI la priorità rimane costruire prima un ISMS solido secondo ISO 27001, aggiungendo poi la dimensione privacy della 27018.

I vantaggi di conformità sono concreti: una PMI certificata ISO 27018 può dimostrare ai propri clienti e alle autorità di controllo di avere processi documentati per la protezione dei dati personali. Questo riduce il rischio di sanzioni GDPR e aumenta la fiducia dei clienti. Per approfondire l’implementazione tecnica, i dettagli su come implementare misure tecniche ISO 27018 forniscono indicazioni operative specifiche. I punti chiave ISO 27018 e le pratiche per mantenere la compliance ISO 27018 nel tempo completano il quadro.

Infografica: confronto tra le certificazioni ISO 27001, 27017 e 27018

Cosa la maggior parte delle aziende sbaglia sulle misure di sicurezza

Dopo anni di lavoro con PMI italiane in percorsi di certificazione ISO, osserviamo un errore ricorrente e costoso: molte organizzazioni investono budget significativi in strumenti tecnologici avanzati, convinte che questo equivalga ad avere misure di sicurezza adeguate. Non è così.

La tecnologia da sola non produce sicurezza. Produce la possibilità di sicurezza, che diventa reale solo quando le persone sanno come usarla e quando i processi aziendali sono progettati per supportarla. Un sistema di MFA non serve se i dipendenti condividono le credenziali per comodità. Un sistema di backup non protegge se nessuno verifica che i backup siano effettivamente ripristinabili.

L’aspetto culturale e organizzativo delle misure di sicurezza è quello meno visibile e più determinante. La formazione non è un optional: è una misura di sicurezza a tutti gli effetti, riconosciuta dagli standard ISO come controllo essenziale. Investire in un programma continuo di sensibilizzazione, pianificare revisioni periodiche delle policy, coinvolgere la direzione aziendale nel processo decisionale relativo alla sicurezza: questi sono gli elementi che distinguono un ISMS reale da un archivio di documenti.

Sviluppare strategie di sicurezza ISMS che integrino tecnologia, persone e processi è l’approccio che porta a certificazioni durature e a una protezione reale del patrimonio informativo aziendale.

Risorse e supporto per la sicurezza e la certificazione ISO

Affrontare il percorso verso la certificazione ISO 27001, e le sue estensioni cloud, richiede metodo, documentazione precisa e competenze specifiche. Molte PMI italiane tentano questo percorso autonomamente, incontrando ostacoli significativi nella fase di analisi del rischio e nella redazione della SoA.

https://securityhub.it

SecurityHub.it affianca le imprese italiane in ogni fase del percorso certificativo, dalla valutazione iniziale all’audit finale. Il nostro supporto include consulenza personalizzata, documentazione strutturata e formazione del personale. Potete esplorare i passaggi certificazione ISO 27001 per avere subito una visione chiara del processo. Per comprendere il valore strategico della certificazione ISO 27001 per la vostra organizzazione, o per approfondire la compliance GDPR ISO 27018, le risorse disponibili sul nostro sito offrono una base concreta su cui costruire.

Domande frequenti sulle misure di sicurezza

Qual è la differenza tra misura di sicurezza tecnica e organizzativa?

Le misure tecniche riguardano strumenti e software come firewall, crittografia e MFA, mentre quelle organizzative includono policy, procedure e formazione del personale. Entrambe le categorie sono richieste dagli standard ISO, inclusa la ISO 27017 con i suoi 37 controlli specifici per il cloud.

Per ottenere la ISO 27001 servono misure specifiche per le PMI?

Sì, ogni PMI deve adattare le misure di sicurezza al proprio contesto e ai rischi individuati secondo ISO 27001. Le estensioni ISO 27017 e 27018 non sono certificabili in modo autonomo e vanno costruite sopra una base ISO 27001 già implementata.

Cosa aggiunge la ISO 27017 alla sicurezza cloud?

Aggiunge 37 controlli specifici cloud come segregazione degli ambienti virtuali, gestione delle chiavi crittografiche e definizione chiara delle responsabilità condivise tra provider e cliente.

La ISO 27018 è obbligatoria per il cloud pubblico europeo?

Non è obbligatoria per legge, ma aiuta concretamente a rispondere ai requisiti GDPR per la tutela delle informazioni personali nel cloud. Come precisato dagli esperti, la ISO 27018 si focalizza sulla privacy PII e si affianca alla ISO 27001.

Una PMI deve certificarsi sia ISO 27001 che 27017/27018?

La ISO 27001 è la base obbligatoria; le estensioni 27017 e 27018 si aggiungono per migliorare sicurezza cloud e protezione dei dati personali, in base alle esigenze specifiche dell’azienda.

Raccomandazione

Author

security

Leave a comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *