È stata pubblicata la ISO/IEC 27004:2016, dal titolo "Information security management -- Monitoring, measurement, analysis and evaluation":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64120.
Questa norma sostituisce la precedente versione del 2009 e mi trova maggiormente soddisfatto.
In particolare, è stata ridotta moltissimo la parte teorica. In questo modo è più facile interpretare il requisito della ISO/IEC 27001 e cogliere indicazioni su come applicarlo.
Ancora più importanti sono i 35 esempi finali, che forniscono un valido punto di partenza per chi vuole attuare un sistema di gestione per la sicurezza delle informazioni. Ne approfitto per dire che ho apprezzato moltissimo l'idea di dedicare più di metà della norma agli esempi, piuttosto che alla teoria (io poi ho contribuito con qualche esempio, poi migliorato e inserito nel documento finale dal gruppo di lavoro).
In particolare molti di questi esempi suggeriscono un approccio meno fantasioso (e più utile) di alcuni che ho visto negli anni, che prevedevano troppi numeri da presentare alla Direzione, senza interrogarsi sulla loro reale validità. Qui si dimostra che non è necessario seppellire un'azienda sotto troppi numeri, soprattutto quando è di dimensioni ridotte.
Ricordo infine due cose:
1- questa è una linea guida e quindi può essere presa come punto di partenza per riflettere sul tema delle misurazioni della sicurezza; non può essere usata come insieme di requisiti da attuare per la certificazione ISO/IEC 27001 (anche perché gli unici requisiti da attuare sono quelli della ISO/IEC 27001 stessa, non altri);
2- le misurazioni non possono né devono sostituire la conoscenza reale di un'organizzazione; né i manager, né i consulenti, né gli auditor devono dare troppa enfasi a questo aspetto.
Nessun commento:
Posta un commento