Il ciclo di vita delle risorse: una tecnica per definire le misure di sicurezza sulla protezione dei dati
Impostare le misure basate sul “ciclo di vita” di una entità è un approccio che merita di essere esplorato per l’ottimale gestione delle risorse e delle modifiche che impattano sulle stesse. In particolare, implementando misure di sicurezza per la protezione dei dati durante le fasi di: progettazione, sviluppo, acquisto, implementazione, utilizzo, manutenzione e fine vita si considera la sicurezza come un processo continuo e integrato, piuttosto che come un’azione isolata o occasionale.
La mitigazione delle minacce attraverso l’analisi del ciclo di vita – Considerare il “ciclo di vita” aiuta a comprendere quali possono essere le minacce che possono rendere vulnerabile una risorsa all’interno di un’organizzazione. Una “risorsa” attraversa fasi diverse nel suo percorso all’interno di una organizzazione. Valutare tale aspetto significa esaminare, in modo puntuale, le minacce nelle diverse fasi disponendo di un quadro più completo. Si pensi ad esempio all’introduzione di un nuovo trattamento – per il quale il GDPR chiede di applicare la procedura di privacy by design – in tale fase le minacce sono diverse da quelle presenti quando il trattamento è consolidato a regime. L’accesso abusivo ai dati processati in un trattamento che si sono accumulati nel tempo è evento di gravità rilevante proprio per la mole di dati che si sono accumulati nel tempo. D’altra parte la mancata definizione delle misure e tempi per la distruzione dei dati presenta una maggiore probabilità di verificarsi in fase di introduzione del trattamento.
Inoltre, molti standard di sicurezza e normative (come la ISO/IEC 27001 o il GDPR) richiedono un approccio basato sul ciclo di vita per garantire la conformità e dimostrare la gestione continua della sicurezza, dalla creazione alla dismissione di una entità.
Quali risorse considerare – Per individuare e risorse da considerare nell’ottica della gestione del ciclo di vita ci vengono in aiuto i controlli della ISO/IEC 27001:2022 che, per una gran parte, sono impostati secondo questo approccio. Di seguito sono indicati le entità a cui è possibile associare il “ciclo di vita” così come mutuate dalla ISO/IEC 27001:2022 che ci aiuta ad avere un quadro molto chiaro degli elementi da considerare. Tali entità spaziano dal fornitore, al supporto di storage, al SW fino alle risorse umane. La seguente lista riporta l’elenco completo supportato dai riferimenti ai controlli della ISO/IEC 27001:2022. Nel dettaglio:
– Ciclo di vita delle minacce – da controllo da 5.5 a 5.7
– Ciclo di vita asset – da controllo 5.9 a 5.11
– Ciclo di vita dei diritti di accesso – 5.18
– Ciclo di vita del fornitore – da controllo 5.19 a 5.22
– Ciclo di vita del cloud – controllo 5.23
– Ciclo di vita della gestione dell’identità – controllo 5.16
– Ciclo di vita dell’incidente sulla sicurezza delle informazioni – da controllo 5.24 a 5.29
– Ciclo di vita del Piano di business continuity – da controllo 5.29 a 5.30
– Ciclo di vita del dipendente/collaboratore – tutti i controlli della sezione 6
– Ciclo di vita del supporto di storage/asset fisico – controllo 7.10
– Ciclo di vita della configurazione – controllo 8.9
– Ciclo di vita dell’informazione – da controllo 8.10 a 8.12
– Ciclo di vita delle chiavi di crittografia – controllo 8.24
– Ciclo di vita del SW – da controllo 8.25 a 8.34
Tra l’altro alcuni controlli citano esplicitamente nella descrizione il termine “ciclo di vita” e nello specifico:
– 8.24 – “Uso della crittografia” – sotto controllo Gestione delle chiavi che recita “Un’appropriata gestione delle chiavi richiede processi sicuri per la generazione, l’archiviazione, la memorizzazione, il recupero, la distribuzione, il ritiro e la distruzione delle chiavi crittografiche” – vds ISO/IE 27002:2022;
– 8.25 – “Ciclo di vita dello sviluppo sicuro” che recita “Devono essere stabilite e applicate regole per lo sviluppo sicuro di software e sistemi”.
Inoltre, per quanto non citato espressamente il concetto del ciclo di vita è riportato nel controllo 5.23 “Sicurezza delle informazioni per l’uso dei servizi cloud” nel quale si fa riferimento a tale aspetto “I processi per l’acquisizione, l’utilizzo, la gestione e l’uscita dei servizi cloud devono essere stabiliti in conformità con i requisiti per la sicurezza delle informazioni dell’organizzazione”.
I legami tra il ciclo di vita e la gestione delle modifiche nella ISO/IEC 27001:2022 – Durante il ciclo di vita del sistema, le minacce evolvono costantemente. Un approccio basato su tale modello consente di implementare un monitoraggio continuo e aggiornare le misure di sicurezza in risposta a nuove vulnerabilità e tecniche di attacco emergenti ovvero in presenza di modifiche rilevanti.
A tal proposito uno dei requisiti delle norme sui sistemi di gestione – in particolare della ISO/IEC 27001:2022 il requisito 6.3 “Change management” – chiede di tener conto delle modifiche e come queste possono impattare sul sistema di gestione sia a livello di macro modifiche che di micro.
Le prime sono/dovrebbero essere gestiti attraverso gli obiettivi di miglioramento (requisito 6.2); le seconde attraverso lo strumento del “ciclo di vita” si individua un modello efficace per la loro gestione.
Esempi pratici – Un paio di esempio della applicazione di questo modello sono riportati di seguito:
– fornitore – da considerare i processi relativi a: qualifica iniziale, fornitura del prodotto/servizio, valutazione dinamica, gestione delle modifiche nel rapporto e chiusura del rapporto con il fornitore;
– dispositivo che contiene dati – da valutare i processi relativi a: scelta del dispositivo, censimento, utilizzo, manutenzione e dismissione;
– collaboratore – da valutare nell’ambito del ciclo di vita dello stesso all’interno dell’organizzazione: la selezione, la contrattualizzazione, la formazione e la dismissione dello stesso.
Conclusioni – In sintesi il ciclo di vita di una risorsa abbraccia tutte le fasi: dall’concezione dell’esigenza alla dismissione. Questo permette di identificare e gestire i rischi in modo sistematico e in ogni fase specifica che comporta sfide e vulnerabilità diverse, quindi un approccio basato su tale modello permette di adottare misure di sicurezza mirate per ciascuna fase ridicendo le minacce complessive che incombono sulle entità.
Articolo ripreso da FederPrivacy