07 Feb I controlli della Norma ISO/IEC 27001:2022 sugli autorizzati al trattamento tra 'Non Disclosure Agreement' e remote working
La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements” ridisegna e riorganizza completamente l’impianto dei controlli rispetto alla precedente versione. La sezione 6 riguarda i controlli sulle persone “People controls” e prevede 8 controlli:
{show usergrouplevels=”Registered,Author,Editor,Sostenitori”}- 5 relativi al ciclo di vita del collaboratore nel ruolo di autorizzato all’interno dell’organizzazione;
– 3 relativi ad altri aspetti del ciclo di vita del collaboratore
I controlli da 6.6 a 6.8 trattano temi particolari relativi all’autorizzato:
– 6.6. non-disclosure agreement;
– 6.7 lavoro da remoto;
– 6.8 reporting delle informazioni relative alla sicurezza.
In questo articolo si analizzeranno i controlli dal 6.6 al 6.8 mettendone in evidenza alcune peculiarità considerando anche le indicazioni fornite dalla Linea guida ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection — Information security controls”.
I controlli relativi alle persone – I controlli dal 6.1 al 6.5 riguardano il ciclo di vita di un collaboratore all’interno di un’organizzazione. I destinatari di tali controlli non sono esclusivamente i dipendenti, ma qualsiasi soggetto che assuma una posizione organizzativa all’interno dell’azienda: dipendente a tempo determinato/indeterminato, somministrato, distaccato presso un committente (in questo caso parte dei controlli sono a carico del datore di lavoro e parte a carico del committente), libero professionista, stagista, tirocinante, volontario.
6.6 Confidentiality or non-disclosure agreements – Gli accordi, indicati come NDA – Not Disclosure Agreement, che comportano misure a tutela della riservatezza e per la non divulgazione dei dati al fine di garantirne la protezione, devono essere impostati sulla base delle esigenze dell’organizzazione, identificati, documentati ed accettati dagli autorizzati e più in generale dalle parti interessate. Un elemento peculiare di questo controllo è rappresentato dalla necessità di revisionare costantemente gli accordi predisposti; la variazione del contesto porta, inevitabilmente alla necessità di riconsiderare quanto concordato con le parti interessate.
La Linea Guida ISO/IEC 27001:2022 fornisce indicazioni in merito ai contenuti dell’NDA, per altro da riesaminare ad intervalli; tra queste, sempre nel rispetto della legislazione applicabile:
– l’individuazione delle informazioni da proteggere e la proprietà delle stesse;
– la durata dell’accordo e l’arco temporale in cui l’autorizzato si impegna a mantenere riservate le informazioni;
– la possibilità di effettuare, da parte dell’organizzazione, attività di audit;
– sistemi di notifica in caso di incidente o potenziale incidente;
– le azioni da mettere in atto sulle informazioni al termine del loro trattamento (distruzione, restituzione, ecc.).
6.7 Remote working – Per il personale che lavora a distanza devono essere definite ed implementate le misure di sicurezza per proteggere le informazioni accessibili che sono elaborate o archiviate al di fuori dei locali dell’organizzazione. Questo controllo considera anche la possibilità di operare al di fuori del perimetro aziendale e non si limita alla sola “abitazione del collaboratore”.
Ovviamente, il controllo sottende che devono essere definiti quei luoghi/collegamenti da esterno considerati accettabili e quelli invece che possono presentare dei rischi non sostenibili (es. ambienti aperti).
Tra le indicazioni operative formulate dalla ISO/IEC 27002:2022 si segnala che le misure, per quanto applicabili, dovrebbero:
– considerare i vincoli posti dalla legislazione locale;
– comprendere sia quelle fisiche (disponibilità di attrezzature) che quelle tecniche (configurazioni, sistemi di protezione, autenticazione, ecc.);
– considerare tra le possibili minacce anche soggetti non autorizzati ad accedere alle informazioni come familiari ed amici;
– estendersi anche alla proprietà privata del lavoratore non sotto controllo dell’organizzazione;
– prevedere a quali informazioni avrà accesso il lavoratore sulla base del sistema di classificazione delle stesse (controllo 5.12);
– considerare una formazione mirata per i lavoratori;
– prevedere disposizioni in merito alle assicurazioni;
– stabilire sistemi di revoca dei permessi accordati, una volta che il lavoro a distanza è terminato.
6.8 Information security event reporting – L’organizzazione deve rendere disponibile e comunicare al personale (e non solo agli autorizzati) una modalità che permetta di segnalare tempestivamente eventi di sicurezza delle informazioni, osservati o sospetti, attraverso canali definiti ed appropriati; questo controllo vuole mettere in risalto la necessità di:
– rendere consapevoli tutti i collaboratori circa l’importanza di rilevare e comunicare qualsiasi segnale (compresi i segnali deboli) che possano far sorgere anche solo il sospetto di una falla reale o potenziale nelle misure poste in atto;
– disporre di una procedura, accessibile a tutti i collaboratori, per permettere e facilitare la comunicazione di un evento.
Come per tutti i controlli, la Norma ISO/IEC 27002:2022 fornisce indicazioni operative; tra queste, suggeriscono la necessità di formare il collaboratore affinché sia in grado di segnalare eventi che riguardino, ad esempio: inefficacia di sistemi di controllo, violazioni di informazioni (sui parametri RID), errori umani, violazioni fisiche, cambiamenti che possono minare la sicurezza, malfunzionamenti/anomalie dei sistemi, sospetti malware.
Conclusione – Anche se i controlli previsti dalla ISO/IEC 27001:2022 non trattano in modo esplicito i dati personali, le misure relative alle persone nel ruolo di autorizzati, come del resto la maggiore parte delle misure previste dallo standard, hanno dei risvolti che forniscono indicazioni a valere anche sulla protezione dei dati personali, inoltre i suggerimenti forniti dalla ISO/IEC 27002:2022, per quanto non vincolanti sono una fonte preziosa di misure di accountability.{/show}