Insight dagli audit sui sistemi di gestione della sicurezza delle informazioni

Questa sezione analizza dati 2018 derivati dagli audit sui sistemi di gestione della sicurezza delle informazioni secondo lo standard ISO/IEC 27001 condotti da DNV su aziende certificate. L’analisi quantitativa e qualitativa dei dati offre una visione approfondita delle performance aggregate dei sistemi di gestione nelle aziende.

The aim is to provide targeted insight to what process areas, sub-processes or activities cause the most issues in organizations seeking to achieve and/or maintain certification to an information security management system standard. The results came  from analyzing audits conducted worldwide by DNV on more than 1,700 companies certified to ISO/IEC 27001.
Distribuzione dei risultati – Panoramica (ISO/IEC 27001:2013)
Top 10 most frequent severe (non-conformity) failures per sub-process

ISO/IEC 27001

Classificazione dei rilievi/findings 

Le statistiche si basano sui risultati degli audit. Ai fini della presente analisi, è stata fatta una distinzione tra  “gravi” e “non gravi”. I rilievi gravi includono le non conformità maggiori e minori. Quelli non gravi comprendono le osservazioni e le opportunità di miglioramento.  

Risultati 

Su un 78% di aziende sottoposte ad audit secondo lo standard to ISO/IEC 27001 è stato individuato almeno un rilievo (in qualsiasi categoria) mentre il 40% ha concluso l’audit con almeno un rilievo grave, cioè con una non conformità maggiore (Cat1) o minore (Cat2). Quasi il 40% delle imprese presentava rilievi associati alla sezione A.12 relativa alla gestione dei sistemi IT e, in parte, i requisiti di network IT.


I requisiti in breve

Per i tre problemi più gravi (esclusi 9.2 e 9.3, comuni a tutti i sistemi di gestione, e quindi meno rilevanti qui), è stata condotta un’analisi qualitativa approfondita, mirata a categorizzare le cause sottostanti alle non conformità e le azioni correttive attuate per gestire il problema e prevenire il suo ripetersi.

ISO/IEC 27001

Le problematiche seguenti sono rilevanti specificamente per le aziende certificate ISO/IEC 27001:

6.1.2 Valutazione dei rischi per la sicurezza delle informazioni

L’organizzazione deve definire e applicare un processo di valutazione dei rischi per la sicurezza delle informazioni. Il processo includerà la definizione di un approccio alla gestione dei rischi per la sicurezza delle informazioni, criteri di accettazione del rischio per la sicurezza delle informazioni, l’identificazione, l’analisi e la valutazione dei rischi. 

Un totale del 27% delle organizzazioni non soddisfa i requisiti, in genere per due ragioni: innanzitutto perché l’approccio non assicura la costanza e la validità dei risultati, per es. mancanza di scale per assegnare valori alla probabilità e le conseguenze dei rischi; in secondo luogo, perché non tutti i rischi rilevanti vengono identificati (di solito le organizzazioni si concentrano sui rischi IT e i rischi di origine esterna). Le azioni correttive di solito includono la revisione dell'approccio di valutazione del rischio e una revisione dei rischi rilevanti. 

6.1.3 Gestione del rischio per la sicurezza delle informazioni

L’organizzazione deve formulare un piano di gestione dei rischi e presentare una dichiarazione di applicabilità che tiene conto dei controlli previsti dall’Annex A dello standard. 

In genere i rilievi sono i seguenti: il piano di gestione dei rischi non include scadenze e responsabilità per le azioni, oppure determinate esclusioni dei controlli dell’Annex A non sono giustificate correttamente (per es., molte organizzazioni escludono l’utilizzo del controllo A.12.1.1 perché ritengono che sia applicabile soltanto allo sviluppo software e non alla sua acquisizione). Le azioni correttive richiedono una migliore pianificazione delle azioni di gestione del rischio o una giustificazione coerente per i rischi accettati, oppure richiedono una migliore comprensione dei controlli dell’Annex, poiché talvolta vengono implementati ma le organizzazioni, a causa di carenze nella comprensione, le considerano non applicabili.

A.9.2.5 Revisione dei diritti di accesso dell’utente 

L’organizzazione deve rivedere i diritti di accesso dell’utente a intervalli regolari. 

Il 3% delle organizzazioni sottoposte ad audit non soddisfa questo requisito, poiché la revisione non viene effettuata o viene eseguita solo in parte. La causa soggiacente risiede in genere nella carenza di consapevolezza da parte dei proprietari dei sistemi rilevanti e nella complessità del compito, dovuta a sua volta alla complessità degli attuali sistemi IT e alla varietà di autorizzazioni concesse agli utenti. Le azioni correttive richiedono in genere di pianificare ed eseguire correttamente la revisione. In alcuni casi, le organizzazioni danno inizio a un progetto di evoluzione del software per generare automaticamente i report o le analisi delle autorizzazioni impostate nel sistema e dei ruoli elencati nel software utilizzato dalle Risorse Umane. 

A.8.1.1 Inventario degli asset  

Le attività devono essere identificate e elencate in un inventario delle attività che deve essere mantenuto nel tempo. Il 3% delle organizzazioni sottoposte ad audit non soddisfa i requisiti poiché non tutti gli asset sono presenti nell’inventario. Questo avviene principalmente a causa del loro gran numero e complessità, all’uso di strumenti inadeguati (per es. un foglio di calcolo o un documento di testo) o per una definizione errata di “asset” (che può portare a un inventario con un numero eccessivo di asset non rilevanti, come mouse o tastiere, o all’opposto non dettagliata a sufficienza per le esigenze dell’organizzazione). Solitamente le azioni correttive si limitano alla correzione dell’inventario, ma dovrebbero anche condurre a una revisione degli strumenti utilizzati per realizzarlo (e dovrebbero anche considerare l'uso di uno strumento di individuazione per i sistemi IT e la corretta nomina delle funzioni rilevanti nell’organizzazione) e del tipo di asset da inventariare per una corretta gestione.