ISO/IEC 27032

Il 15 luglio è stata pubblicata la ISO/IEC 27032 dal titolo "Guidelines for cybersecurity".

Innanzitutto, ho trovato interessante la distinzione tra "Internet" e "Cyberspace", dove Internet è usato per indicare la parte fisica della rete, mentre il Cyberspace comprende anche i servizi disponibili. Insomma, normalmente il termine Internet è usato per le due accezioni, ma effettivamente bisognerebbe distinguere.

Lo standard è indirizzato agli utenti di servizi Internet (ops... servizi del ciberspazio) e ai loro fornitori.

Per i fornitori, sappiamo bene quante misure di sicurezza sono già presenti sulla 27001. Oltre a quelle, ne sono specificate alcune di relazione con i clienti, dedicate soprattutto alla loro sensibilizzazione sulla sicurezza. Un breve elenco di cose che mi sono segnato: fornire un canale di comunicazione per segnalare eventi e incidenti, fornire il software validato da certificati digitali, fornire manuali agli utenti, inviare agli utenti periodici messaggi di educazione sulla sicurezza, fornire ai clienti una guida per la configurazione del proprio pc, specificare i requisiti legali applicabili, mantenere un protocollo per garantire una mutua autenticazione del cliente e del fornitore, stabilire i contatti autorizzati per le comunicazioni. Infine, viene suggerito di ricordare ai clienti che non verranno mai chieste informazioni personali e credenziali di ogni tipo, né verranno inviati link via mail e che per collegarsi al servizio bisognerà farlo solo dal browser.

Utile, nell'Allegato B, un elenco di siti web dedicati alla sensibilizzazione degli utenti dei servizi del ciberspazio.

Lo standard è di 50 pagine, troppe sono dedicate a riflessioni teoriche, di modo che le indicazioni pratiche occupano in realtà poche pagine. Se consideriamo che il prezzo dello standard è proporzionale al numero di pagine, qualche riflessione critica viene spontanea.