Salto di qualità per l’Information Security
In arrivo un nuovo standard per favorire la declinazione delle norme sui diversi settori industriali.
Con le minacce informatiche in continua crescita, e sempre più pericolose per l’industria e gli affari, diventa importante, ora più che mai, che le aziende prendano i giusti provvedimenti per proteggere le informazioni proprie e dei clienti. Non è stata quindi una sorpresa l’ampio successo ottenuto dallo standard ISO/IEC 27001 per l’information security.
Ora, un nuovo standard recentemente pubblicato, permetterà alle aziende di compiere un passo ulteriore, aiutando ad implementare i requisiti dello standard principe nei settori specifici di business.
Essere in grado di offrire servizi di protezione su misura, specifici per ogni settore, come ad esempio quello finanziario, medicale, dei trasporti oppure per progetti di infrastrutture come le Smart Cities, rendendoli in grado di difendere i loro database di informazioni da possibili minacce è oramai diventato un imperativo non solo economico ma anche politico, stimolando la creazione di cyber standard ad hoc.
Il regolamento ISO/IEC 27009 recentemente pubblicato aiuterà proprio in questo compito, fornendo le necessarie indicazioni e linee guida ai Comitati impegnati nello sviluppare standard per l’applicazione dell’ISO/IEC 27001 ai diversi settori.
La norma ISO/IEC 27009, Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements, si unisce al gruppo degli standard ISO/IEC 27000 per massimizzarne gli effetti. Nel dettaglio specifica come includere i requisiti e i controlli addizionali a quelli già contenuti nella ISO/IEC 27001, garantendo una coerenza di intenti.
Il Prof. Edward Humphreys, capogruppo del comitato ISO/IEC SC 27/WG 1 che ha sviluppato lo standard, ha affermato: “L’ISO/IEC 27001 rappresenta il linguaggio internazionale comune per la gestione dell’information security. La nuova norma permetterà di potenziarne la portata nello scenario mondiale e configurare lo sviluppo di standard settoriali specifici sulla gestione informatica delle informazioni e della privacy.”
“Siamo già riusciti a sviluppare numerosi standard specifici, come l’ISO/IEC 27011 per le telecomunicazioni, l’ISO/IEC 27017 per il cloud computing e l’ISO/IEC 27019 per il settore dell’energia. Questi sono esempi in cui, rispetto ai requisiti dell’ISO/IEC 27001, sono stati aggiunti ulteriori controlli, per poter soddisfare le differenti necessità di protezione. Nello sviluppo di questi standard si è reso evidente come una struttura ed un linguaggio comune e delle linee guida definite possano servire a creare in futuro nuovi standard di settore, più efficaci e senza inutili ripetizioni.”