ISO27002:2022: I controlli sulle persone

ISO 27002:2022 è divisa in quattro capitoli che affrontano rispettivamente quattro temi: controlli organizzativi, controlli sulle persone, controlli fisici, controlli tecnologici.

Abbiamo visto in ISO27002:2022: I controlli organizzativi i controlli richiesti per una gestione sicura dell’organizzazione.

In questo articolo, sintetizziamo la nuova ISO 27002:2022 capitolo 6 – Controlli sulle persone. Questo capitolo copre i controlli richiesti per una gestione sicura delle risorse umane. Nella versione precedente, ISO 27002:2013, molti di questi controlli si trovavano nel capitolo 7, Risorse umane. Chi ha familiarità con la versione 2013, troverà alcuni nuovi controlli in questa versione.

Questo è il secondo articolo di una serie di quattro, ogni articolo copre un capitolo:

• Controlli dell’organizzazione (capitolo 5)
• Controlli sulle persone (capitolo 6)
• Controlli fisici (capitolo 7)
• Controlli tecnologici (capitolo 8)

Screening (ISO 27002:2022 capitolo 6.1)

Un sistema di gestione della sicurezza delle informazioni ha bisogno di una politica per lo screening di tutti i dipendenti nuovi o promossi, compresi i consulenti e il personale temporaneo. Ciò per assicurare che i dipendenti siano competenti e degni di fiducia. La politica deve prendere in considerazione sia la legislazione e i regolamenti locali che il ruolo del nuovo dipendente per assicurare che lo screening sia sufficiente, ma non sproporzionato. Alcuni ruoli all’interno di un’organizzazione possono richiedere un livello più alto di screening, per esempio se i dipendenti tratteranno informazioni riservate. Per i ruoli di sicurezza delle informazioni in particolare, lo screening dovrebbe includere anche le competenze necessarie e l’affidabilità, e questo dovrebbe essere documentato di conseguenza.

Termini e condizioni di impiego (ISO 27002:2022 capitolo 6.2)

Prima di iniziare a lavorare, il dipendente deve essere consapevole della politica di sicurezza delle informazioni dell’organizzazione, compresi i ruoli e le responsabilità in materia di sicurezza delle informazioni. Questo potrebbe essere comunicato tramite un codice di condotta firmato o un metodo simile. I contratti dei dipendenti dovrebbero anche includere la politica di sicurezza delle informazioni dell’organizzazione, compreso un accordo di riservatezza se il dipendente avrà accesso a informazioni riservate.

Consapevolezza, istruzione e formazione sulla sicurezza delle informazioni (ISO 27002:2022 capitolo 6.3)

I dipendenti necessitano di una formazione sulla sicurezza delle informazioni quando entrano nell’organizzazione o cambiano ruolo. Anche il personale in servizio da più tempo deve mantenere la propria consapevolezza con una formazione regolare. La formazione deve essere pertinente al ruolo. Per molti dipendenti, questo includerà nozioni di base come promemoria sulla sicurezza delle password e attacchi di Social Engineering. Per il personale tecnico o per coloro che maneggiano materiale riservato sarà necessaria una formazione più approfondita per il loro ruolo specifico.

Processo disciplinare (ISO 27002:2022 capitolo 6.4)

Dovrebbe essere in vigore una politica per il processo disciplinare a seguito di una violazione confermata della politica di sicurezza delle informazioni. La procedura disciplinare dovrebbe essere proporzionata e graduata, con azioni che dipendono dalla gravità dell’incidente, dall’intenzione, dal fatto che si tratti di un’infrazione ripetuta e soprattutto dal fatto che il dipendente sia stato adeguatamente addestrato. Molti incidenti di sicurezza registrati saranno il risultato di una violazione della politica e dovrebbero portare a un’azione disciplinare. Questo è importante da ricordare perché il personale dovrebbe evitare di segnalare incidenti di sicurezza per paura di azioni disciplinari.

Responsabilità dopo la cessazione o il cambiamento di impiego (ISO 27002:2022 capitolo 6.5)

Le responsabilità in merito alla sicurezza delle informazioni non finiscono quando il lavoro o la mansione vengono cambiati o terminati. I termini e le condizioni di impiego del dipendente dovrebbero contenere accordi di riservatezza, che richiedono al dipendente di rispettare la riservatezza delle informazioni dopo che ha lasciato l’organizzazione. Quando un dipendente lascia, può anche lasciare vacanti i ruoli di sicurezza delle informazioni. Per mantenere la continuità della sicurezza, il management deve identificare questi ruoli in modo che possano essere trasferiti.

Accordi di riservatezza o di non divulgazione (ISO 27002:2022 capitolo 6.6)

Se la riservatezza delle informazioni è sufficientemente alta, potrebbe essere necessario proteggerla con termini legalmente applicabili. In questo caso, si possono usare accordi di riservatezza che stabiliscono le informazioni coperte, le responsabilità di tutte le parti, la durata dell’accordo e le sanzioni in caso di violazione dell’accordo. Questi proteggono le informazioni dalla divulgazione dopo che il dipendente ha lasciato l’organizzazione per un determinato periodo di tempo.

Lavoro a distanza (ISO 27002:2022 capitolo 6.7)

Il lavoro a distanza è diventato uno standard in molte organizzazioni, dando sia alle organizzazioni che ai dipendenti più flessibilità. Ci sono comunque implicazioni di sicurezza delle informazioni per il lavoro a distanza, che dovrebbero essere considerate e documentate. La politica sul lavoro a distanza dovrebbe delineare dove e quando il lavoro a distanza è permesso, la fornitura di dispositivi e attrezzature, l’accesso autorizzato e quali informazioni possono essere accessibili a distanza. Di particolare importanza sono le politiche che regolano l’uso di reti sconosciute e il rischio che amici, familiari o estranei possano ascoltare o vedere informazioni riservate.

Segnalazione di eventi relativi alla sicurezza delle informazioni (ISO 27002:2022 capitolo 6.8)

I dipendenti a volte incontrano incidenti di sicurezza delle informazioni durante il loro lavoro quotidiano. Gli incidenti possono includere errori umani, violazioni della riservatezza, malfunzionamenti, sospette infezioni da malware e non conformità con la politica IS o la legge. Il primo passo per identificare, correggere e prevenire il ripetersi degli incidenti è la segnalazione. I dipendenti hanno quindi bisogno di un canale di segnalazione e di essere consapevoli della sua esistenza.

Bibliografia:

• https://www.iso.org/standard/75652.html