Il 27 ottobre si è concluso ad Abu Dhabi il 53o meeting dell'ISO/IEC JTC 1 SC 27, il cui WG 1 si occupa delle norme della serie ISO/IEC 27000. Io ho partecipato in qualità di delegato italiano (in tutto la delegazione italiana era composta da 4 persone). I delegati erano in tutto 110 da 29 Paesi.
La buona notizia è che abbiamo finito i lavori sulla ISO/IEC 27003, ossia la guida all'interpretazione della ISO/IEC 27001:2013. Alcuni sperano sarà pubblicata entro fine 2016, io penso che lo sarà per inizio 2017. Questa norma è importante perché ci ha permesso di consolidare alcune decisioni prese per la ISO/IEC 27001. Certamente questa norma risulta pubblicata in ritardo, ben 3 anni dopo la ISO/IEC 27001, però era necessaria.
Sono partiti i lavori per la nuova ISO/IEC 27002, con una prima fase che consiste nell'elaborazione di una "design specification" (utile per evitare successivi ritardi). Nella migliore delle ipotesi uscirà tra 4 anni. Gli esperti hanno deciso di modificare la norma esistente per includere gli aggiornamenti tecnici necessari e per migliorare il testo già esistente (chiunque l'abbia letto con attenzione ha notato ripetizioni, eccessivi approfondimenti in qualche punto, eccessiva sintesi in altri).
Sono ripartiti, dalla fase di design specification, i lavori per la ISO/IEC 27005 sulla valutazione del rischio. Negli ultimi 4 anni gli esperti non hanno trovato un accordo per la modifica di questa norma e quindi si ripartirà da capo, con una nuova impostazione. Come ho già scritto in passato, molti sono d'accordo sulla direzione da prendere (ossia superare la metodologia asset-minacce-vulnerabilità basata sui "censimenti"), ma non hanno trovato il modo per affrontarla. La mia opinione è che in troppi vogliono promuovere la propria idea senza riuscire ad arrivare ad una sintesi di tutte.
Il problema dietro la ISO/IEC 27005 è che la ISO/IEC 27001 promuove l'uso di metodologie meno dettagliate, mentre la ISO/IEC 27005 (che dovrebbe essere una guida all'attuzione della ISO/IEC 27001) promuove invece l'approccio opposto. Anzi, proprio per questo motivo alcuni partecipanti hanno rilevati dei "difetti" nella attuale ISO/IEC 27005 che la mette in conflitto con la ISO/IEC 27001. Francamente, non so cosa pensare e cercherò di capire come questa questione sarà risolta.
Sono partiti o continuati i lavori per altre norme, tra cui la revisione delle ISO/IEC 27007, 27008, 27014, 27017 e 27019, la nuova ISO/IEC 27021, la pubblicazione di linee guida sulla "cyber resilience" (sarà quindi un business continuity per l'IT) e la "cyber insurance" (questa è in uno stadio successivo alla design specification ed è stata avviata la pratica per un "new item proposal"). La ISO/IEC 27015 sarà eliminata.
Infine, si vuole inaugurare una serie ISO/IEC 27100 sulla cyber security. Io continuo a vedere indecisione su cosa voglia dire "cyber security" (in realtà, nessuno vuole dirlo; si parla in pratica solo di IoT e tutti i lavori che ho visto sinora, incluso quello del NIST, parlano di sicurezza IT aziendale). Vedremo.
Nessun commento:
Posta un commento