Gestione della sicurezza delle informazioni: la norma ISO/IEC 27001

La norma ISO/IEC 27001 rappresenta il quadro di riferimento per tutte le imprese che desiderano dotarsi di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) al fine di tutelarsi contro attacchi informatici e violazioni ai dati. La norma ISO 27001 illustra la metodologia di gestione dei processi di Information Security da calare nei singoli contesti in funzione delle esigenze delle parti interessate.

Ontrack ha intervistato Danilo Diomede, Responsabile Tecnico delle certificazioni ICT in TÜV Italia Srl (ente internazionale di certificazione, ispezione, testing, collaudi  e formazione presente in Italia dal 1987), sulla norma ISO 27001 con particolare focus sulla cancellazione sicura dei dati.

Ing. Diomede, quali sono le norme ISO che contemplano al loro interno i temi del riuso/dismissione dei media e della cancellazione sicura dei dati?

La norma ISO/IEC 27001 stabilisce i requisiti per la gestione delle informazioni archiviate sui supporti, incluse quindi la rimozione e la distruzione delle stesse.

Nello specifico, cosa prevede la norma in materia di cancellazione sicura dei dati e quando ne suggerisce l’adozione?

Il requisito della norma recita “La dismissione dei supporti non più necessari deve avvenire in modo sicuro, attraverso l’utilizzo di procedure formali”.  Riguardo a quando applicarlo, la norma rimanda allo schema di classificazione adottato dall’organizzazione (in termini di riservatezza / sensibilità delle informazioni trattate).  In altre parole, più i dati sono critici / sensibili, più le procedure devono essere “robuste”.

Vi sono tecniche/strumenti che le norme ISO indicano alle aziende come appropriati per la cancellazione definitiva dei dati?

Le norme ISO sui “Sistemi di Gestione” (come la ISO 9001 e la ISO 27001) non suggeriscono tecniche o strumenti specifici, essendo focalizzate sui principi di organizzazione e gestione operativa delle aziende.  Piuttosto le norme spingono ad individuare e a dotarsi di strumenti in grado di implementare efficacemente il trattamento dei rischi per la riservatezza, l’integrità e la disponibilità delle informazioni, che sono stati individuati in azienda.

Perchè un’azienda dovrebbe adottare le indicazioni delle norme ISO e quali sono i rischi di una non corretta gestione degli asset IT in materia di protezione dei dati?

In primo luogo perché le norme ISO citate sono la sintesi di best practice gestionali adottate negli ultimi trent’anni, e pertanto hanno un elevatissimo indice di applicabilità ed efficacia, oltre ad essere riconosciute a livello internazionale.  Per quanto riguarda poi i rischi di una non corretta gestione della protezione dei dati, questi si possono sintetizzare in: perdita di riservatezza (per furto di dati o divulgazione non autorizzata) e perdita di integrità (per alterazione o distruzione involontaria dei dati), e perdita di disponibilità (per inaccessibilità degli asset).

Quali ruoli/figure/dipartimenti sono coinvolti in azienda per assicurare la corretta esecuzione delle procedure di cancellazione sicura?

Nel contesto della ISO/IEC 27001 ad ogni rischio è associato un “owner”, dunque più entità potrebbero essere coinvolte nel processo di cancellazione sicura, a seconda dell’impostazione organizzativa aziendale: da un approccio centralizzato, in cui la funzione IT governa il processo di cancellazione sicura, ad uno decentrato, in cui i vari titolari delle informazioni effettuano le cancellazioni.

In base alla vostra esperienza diretta, quali sono le principali non conformità riscontrate durante un processo di audit nell’ambito della dismissione e/o riutilizzo dei media?

Al primo posto collocherei l’hard disk (o NAS) sottoposti a manutenzione o sostituzione, ed addirittura usciti dal sito operativo senza preventiva applicazione di procedure di cancellazione sicura.  In seconda battuta segnalerei l’assenza di test di verifica dell’effettiva cancellazione dei dati prima della dismissione del supporto.  Infine, ma dal punto di vista della norma è addirittura peggio, assenza delle sopracitate “procedure formali” di cancellazione anche in presenza di dati ritenuti critici/sensibili.

Nelle aziende con una realtà IT poco strutturata o non strutturata del tutto come ad esempio la piccola impresa e gli studi professionali, aziende molto diffuse in Italia, che tipo di suggerimento è possibile dare al fine di una corretta gestione dei dati al termine del ciclo di vita dell’hardware sui quali risiedono?

Il ruolo dell’auditor non prevede la possibilità di dare suggerimenti, indicando tecniche o prodotti specifici, ma se rileviamo un approccio “debole” alla gestione dei media ed alla cancellazione sicura, noi raccomandiamo di ricorrere a soluzioni, preferibilmente già disponibili sul mercato, in grado di garantire (in modo oggettivo e misurabile) i livelli di sicurezza delle informazioni richiesti dalla valutazione del rischio effettuata in fase di implementazione del sistema di gestione.

Un’azienda che invia dei supporti di memorizzazione ad un fornitore che si occuperà di cancellarli in modo sicuro si espone ad un rischio di non conformità alla norma ISO?

Solo se il sistema di gestione ISO/IEC 27001 non lo consente, e questo può dipendere da come i dati sono stati classificati (ad esempio riservati o segreti, oppure dati soggetti a specifici requisiti di legge come ad esempio dati inerenti la sicurezza nazionale).

Non implementare un processo di cancellazione sicura dei dati è considerata una grave non conformità? Può portare alla sospensione della certificazione ISO 27001?

Anzitutto occorre definire cosa si intende per “non conformità” che è il “mancato soddisfacimento di un requisito”. A seconda del contesto e del Sistema di Gestione ciò che non è conforme in un certo ambito potrebbe esserlo in un altro. Di sicuro una violazione di legge in materia di dati personali è “automaticamente” una non conformità. Reiterare una non conformità è un’aggravante che può portare alla sospensione e al ritiro del certificato.

Un’ultima domanda. Si pensi ad uno stato di non conformità imputabile ad una violazione di legge in materia di dati personali, ad esempio a supporti di memorizzazione non sottoposti a cancellazione sicura quindi con rischio per i dati stessi. L’organizzazione ha l’obbligo di comunicare a qualche soggetto tale situazione?

La norma richiede che una “non conformità” debba attivare un processo di trattamento e di prevenzione del suo riverificarsi (la cosiddetta “azione correttiva”); inoltre la ISO 27001 richiede specificamente l’effettuazione di comunicazioni alle parti interessate, in relazione agli effetti della “non conformità” ed alle azioni in corso.  A questi meccanismi proattivi possono aggiungersi prescrizioni e direttive di legge, come nel caso dell’obbligo di comunicazione al Garante in caso di “data breach”.