Le modifiche alla versione 2022 degli standard di guida alla sicurezza delle informazioni riguardano principalmente i controlli che aiutano le aziende ad affrontare i mutevoli scenari di sicurezza e i rischi correlati.
L'ultimo aggiornamento di ISO/IEC 27002 è stato nel 2013, con successive modifiche minori nel 2017. Quindi, una revisione era attesa da tempo. Oggi la sicurezza delle informazioni, la sicurezza informatica e i rischi per la privacy sono cambiati drasticamente. La minaccia per tutte le aziende si è intensificata e la gestione della sicurezza delle informazioni è diventata una questione di Business Continuity e di resilienza. Gli attacchi o le violazioni possono essere, nel migliore dei casi, una seccatura, ma ci sono sempre più casi in cui le aziende sono gravemente colpite, la produzione ostacolata o completamente bloccata per giorni e persino settimane.
"L'argomento è al centro della maggior parte delle agende aziendali e dei consigli di amministrazione. Sembra che tutti siano a rischio, ma molti non hanno implementato un sistema adeguato e robusto per identificare, gestire e mitigare i loro rischi di sicurezza delle informazioni. Lo standard aggiornato aiuta le aziende ad affrontare i mutevoli scenari della sicurezza delle informazioni", afferma Nanda Kumar Shamanna, ICT business manager di Business Assurance in DNV.
La nuova versione affronta i controlli relativi alle tecnologie digitali e in cloud per incorporare la sicurezza informatica e le minacce alla privacy (come ransomware e malware). Lo standard è stato anche rivisto per affrontare altre prospettive di sicurezza, attraverso l'identificazione di vari attributi.
Le modifiche a questo standard guida avranno un impatto sullo standard certificabile ISO/IEC 27001. La revisione di ISO/IEC 27001 dovrebbe essere pubblicata nel corso di quest'anno, probabilmente in ottobre. Si prevede che i cambiamenti siano solo relativi ai controlli (allegato A). La tempistica della transizione sarà decisa come parte del rilascio della ISO/IEC 27001:2022 che avverrà prossimamente; tuttavia, con il rilascio della ISO/IEC 27002 è già possibile iniziare i preparativi.
I principali vantaggi della nuova versione per le aziende certificate:
- Affronta nuovi scenari e rischi;
- Aiuta a comprendere altre prospettive di sicurezza;
- Include aspetti di cybersecurity e privacy;
- Nuovi controlli per garantire che i nuovi scenari e rischi non vengano trascurati.
Per le aziende questo significa principalmente rivedere i processi e i sistemi relativi alla leadership, alla sicurezza aziendale, alla funzione IT, all'erogazione (se fornitore di servizi) e ad altre funzioni di supporto.
