Venerdì 8 maggio si è concluso a Kuching (Malesia) il meeting semestrale del
WG1 dell'ISO/IEC JTC1 SC27 che ha, tra le altre cose, la responsabilità di
redigere le norme della serie ISO/IEC 27000. A questo incontro hanno
partecipato circa 127 esperti in rappresentanza di circa 27 Paesi. Oltre ai
lavori del WG1, si sono svolti i lavori degli altri gruppi di lavoro
dedicati agli standard di sicurezza delle informazioni e sicurezza
informatica.
La delegazione italiana, per tutti i 5 gruppi di lavoro, era composta da 3
persone, incluso me e il Presidente dell'SC 27 italiano Fabio Guasconi (di
Bl4ckSwan).
Passo quindi in rassegna rapidamente cosa è successo.
ISO/IEC 27001: è stata apportata una correzione marginale al testo.
ISO/IEC 27003 ("interpretazione" della ISO/IEC 27001): c'è stata una lunga
discussione per avere un testo "di qualità". Io ho partecipato attivamente
alle discussioni e sono emerse cose interessanti. Purtroppo, la ricerca di
qualità rallenterà la pubblicazione della norma (che ora prevedo sarà a metà
o fine 2016).
ISO/IEC 27004 (sulla misurazione di un sistema di gestione per la sicurezza
delle informazioni): hanno cercato di rendere il testo sempre più "pratico"
e meno "teorico". Come italiani siamo riusciti ad inserire molti esempi di
misurazioni e a bloccare alcune idee molto belle in teoria ma irrealizzabili
nella pratica.
ISO/IEC 27005 (sulla gestione del rischio): la norma avanzava molto
lentamente perché si cercava di aggiornarla con troppe idee (ahinoi, spesso
troppo teoriche ma non rigorose). È stato deciso di ritornare all'edizione
del 2011 e apprortare solo le modifiche necessarie ad allinearla alla nuova
ISO/IEC 27001:2013 dove necessario. Questo comunque non velocizzerà i tempi
e la nuova edizione della ISO/IEC 27005, forse, uscirà nel 2017.
ISO/IEC 27006 (regole per la certificazione ISO/IEC 27001): la discussione
ha riguardato soprattutto il numero minimo di giornate di audit, osservando
che la nuova tabella di riferimento per questo calcolo diventerà "normativa"
e non più "informativa". Come spesso succede, interessi diversi partivano da
esigenze diverse e si è cercato di raggiungere un compromesso. Le
discussioni più accese sono state tra auditor, ossia tra quelli molto
scrupolosi che vorrebbero avere sempre più tempo per gli audit e quelli che
non ritengono necessario verificare sul campo l'attuazione delle misure di
sicurezza che non ritengono utile un audit lungo, avendo in effetti non
molte cose da vedere. Come al solito, il giusto starebbe nel mezzo; speriamo
di averlo trovato.
Delle altre norme oggetto di questo meeting (ISO/IEC 27007, 27008, 27010,
27013, 27017, 27019, 27021) non ho seguito le discussioni.
Ho seguito anche una breve riunione in merito ad un possibile futuro e
ulteriore standard sul cloud. Ormai il numero di standard sul cloud è così
elevato che è quasi ridicolo (se poi pensiamo che per gli "altri" fornitori
non sono quasi disponibili delle buone linee guida). Una delegata ha chiesto
di presentare, per il prossimo incontro di ottobre, dei casi pratici che non
possono essere affrontati con gli standard attualmente disponibili. Ho
apprezzato molto questa richiesta, soprattutto perché ci aspettiamo che non
ne sarà presentato nessuno.
Nessun commento:
Posta un commento