Oltre il ripristino: guida per il CISO alla costruzione di una reale resilienza operativa con ISO 27001:2022
Maria, CISO di una fintech in crescita, sta presentando al consiglio di amministrazione le metriche di rischio del terzo trimestre. Le sue slide sono chiare: mostrano una riduzione del numero di vulnerabilità e simulazioni di phishing concluse con successo. All’improvviso, il telefono vibra con insistenza. È un’allerta prioritaria del responsabile del SOC: “Ransomware rilevato. Movimento laterale in corso. Servizi di core banking impattati.”
L’atmosfera nella sala passa dalla sicurezza alla tensione. L’amministratore delegato pone la domanda inevitabile: “In quanto tempo possiamo ripristinare dal backup?”
Maria sa che i backup esistono. Li testano ogni trimestre. Ma mentre il suo team avvia il failover, le affiorano una dozzina di altre domande. Gli ambienti di ripristino sono sicuri o stanno semplicemente reinfettando i sistemi ripristinati? La registrazione degli eventi funziona ancora nel sito di backup o stiamo procedendo alla cieca? Chi dispone di accessi amministrativi di emergenza e le relative attività sono tracciate? Nella fretta di riportare online i servizi, qualcuno sta per inviare dati sensibili dei clienti da un account personale?
Questo è il momento critico in cui un piano tradizionale di disaster recovery fallisce e viene messa alla prova la reale resilienza operativa. Non si tratta solo di ripartire; si tratta di ripartire mantenendo l’integrità. È il cambio di mentalità richiesto da ISO/IEC 27001:2022: passare dal semplice ripristino al mantenimento di un livello di sicurezza olistico e continuo, anche nel pieno del caos.
La definizione moderna di resilienza: la sicurezza non si ferma mai
Per anni, la pianificazione della continuità operativa si è concentrata soprattutto sugli obiettivi di tempo di ripristino (RTO) e sugli obiettivi di punto di ripristino (RPO). Pur essendo essenziali, queste metriche raccontano solo una parte della storia. Misurano velocità e perdita di dati, ma non misurano il livello di sicurezza durante la crisi stessa.
ISO/IEC 27001:2022, in particolare attraverso i controlli dell’Allegato A, eleva il livello della discussione. Riconosce che un’interruzione non è un pulsante di pausa per la sicurezza delle informazioni. Anzi, il caos di una crisi è proprio il momento in cui i controlli di sicurezza sono più necessari. Gli attaccanti prosperano nella confusione, sfruttando proprio le soluzioni alternative e le procedure di emergenza pensate per ripristinare il servizio.
La resilienza in ISO/IEC 27001:2022 significa mantenere la sicurezza delle informazioni durante le interruzioni (controllo dell’Allegato A 5.29), una solida Prontezza ICT per la continuità operativa (5.30) e un affidabile backup delle informazioni (8.13). L’obiettivo è assicurare che la risposta non crei vulnerabilità nuove e più pericolose. Come descritto nel Clarysec Zenith Blueprint: roadmap in 30 passaggi per auditor Zenith Blueprint, “gli auditor cercheranno allineamento non solo con la politica, ma con la realtà.” È qui che molte organizzazioni falliscono: pianificano la continuità del servizio, ma non il mantenimento della conformità nel caos.
Le fondamenta: perché la resilienza parte dal contesto, non dai controlli
Prima di poter applicare in modo efficace controlli specifici di resilienza, è necessario costruire un solido Sistema di gestione della sicurezza delle informazioni (SGSI). Molte organizzazioni inciampano proprio qui, passando direttamente all’Allegato A senza predisporre le basi corrette.
Il Zenith Blueprint sottolinea l’importanza di partire dalle clausole fondamentali del SGSI, perché questo lavoro di base costituisce il fondamento della resilienza. Il processo inizia dalla comprensione dell’ambiente specifico dell’organizzazione:
- Clausola 4: contesto dell’organizzazione: Comprendere il contesto dell’organizzazione, inclusi i fattori interni ed esterni e i requisiti delle parti interessate, e definire il campo di applicazione del SGSI.
- Clausola 5: leadership: Ottenere l’impegno dell’alta direzione, stabilire una Politica per la sicurezza delle informazioni e definire ruoli e responsabilità organizzative.
- Clausola 6: pianificazione: Condurre una valutazione del rischio e una pianificazione del trattamento approfondite e stabilire obiettivi chiari per la sicurezza delle informazioni.
Per la fintech di Maria, un’analisi approfondita ai sensi della Clausola 4 avrebbe individuato le pressioni normative derivanti da DORA e NIS2 come fattori esterni chiave. Una valutazione del rischio ai sensi della Clausola 6 avrebbe modellato esattamente lo scenario ransomware che ora sta affrontando, evidenziando il rischio di ambienti di ripristino compromessi e di registrazione degli eventi inadeguata durante un incidente. Senza questo contesto, qualsiasi piano di resilienza resta un tentativo alla cieca.
I due pilastri della resilienza operativa in ISO/IEC 27001:2022
Nel quadro di riferimento ISO/IEC 27001:2022, due controlli dell’Allegato A emergono come pilastri della resilienza operativa: backup delle informazioni (8.13) e sicurezza delle informazioni durante le interruzioni (5.29).
Controllo 8.13: backup delle informazioni - la rete di sicurezza essenziale
Questo è il controllo che tutti pensano di avere già coperto. Ma una strategia di backup realmente efficace è molto più della semplice copia dei file. È un controllo correttivo focalizzato su integrità e disponibilità ed è strettamente interconnesso con numerosi altri controlli.
Attributi: correttivo; integrità, disponibilità; ripristino; continuità; protezione.
Capacità operativa: continuità.
Dominio di sicurezza: protezione.
Aspetto di audit: un auditor richiederà molto più di un “sì” alla domanda “Avete backup?”. Pretenderà log che dimostrino l’esistenza di backup recenti, evidenze dell’esito positivo dei test di ripristino e prova che i supporti di backup siano stati cifrati, archiviati in modo sicuro e abbiano coperto tutti gli asset critici definiti nell’inventario.
Scenario: un sistema viene cancellato da un ransomware o da un errore critico di configurazione. La capacità di ripristinare con integrità dipende da una strategia di backup matura. Gli auditor verificheranno che tale strategia non sia isolata, ma collegata ad altri controlli critici:
- 5.9 Inventario delle informazioni e degli altri asset associati: Non puoi eseguire il backup di ciò che non sai di avere. Un inventario completo è imprescindibile.
- 8.7 Protezione dal malware: I backup devono essere isolati e protetti proprio dal ransomware che sono progettati per contrastare. Ciò include l’uso di archiviazione immutabile o copie air-gapped.
- 5.31 Requisiti legali, statutari, normativi e contrattuali: I piani di conservazione dei backup e le ubicazioni di archiviazione rispettano le leggi sulla localizzazione dei dati e gli obblighi contrattuali?
- 5.33 Protezione delle registrazioni: I backup rispettano i requisiti di conservazione e privacy per dati personali, registrazioni finanziarie o altri dati regolamentati?
Controllo 5.29: sicurezza delle informazioni durante le interruzioni - il presidio dell’integrità
Questo è il controllo che distingue un SGSI conforme da un SGSI resiliente. Risponde direttamente alle domande critiche che tormentano Maria durante la crisi: come manteniamo la sicurezza quando gli strumenti e i processi primari non sono disponibili? Il controllo 5.29 richiede che le misure di sicurezza restino pianificate ed efficaci per tutta la durata di un evento di interruzione.
Attributi: preventivo, correttivo; proteggere, rispondere; riservatezza, integrità, disponibilità.
Capacità operativa: continuità.
Dominio di sicurezza: protezione, resilienza.
Aspetto di audit: gli auditor esaminano i piani di continuità operativa e di disaster recovery proprio per individuare evidenze delle considerazioni di sicurezza. Controllano le configurazioni di sicurezza dei siti alternativi, verificano che registrazione degli eventi e controllo degli accessi siano mantenuti e analizzano i processi alternativi alla ricerca di debolezze di sicurezza, non solo della loro capacità di ripristinare il servizio.
Scenario: il data center primario è offline e le operazioni vengono spostate su un sito di backup. Gli auditor si aspettano evidenze - rapporti di sopralluogo, file di configurazione, log degli accessi - che dimostrino che il sito secondario soddisfa i requisiti di sicurezza del sito primario. Il passaggio di emergenza al lavoro da remoto ha esteso la protezione degli endpoint e l’accesso sicuro a tutti i dispositivi? Sono state documentate le decisioni di allentare temporaneamente alcuni controlli e poi ripristinarli?
Il Zenith Blueprint ne coglie perfettamente l’essenza: “Ciò che è essenziale è che la sicurezza non si fermi mentre i sistemi vengono ripristinati. I controlli possono cambiare forma, ma l’obiettivo resta invariato: mantenere protette le informazioni, anche sotto pressione.” Questo controllo obbliga a pianificare la realtà disordinata di una crisi ed è strettamente intrecciato con altri controlli:
- 5.30 Prontezza ICT per la continuità operativa: Assicura che il piano tecnico di ripristino non ignori il piano di sicurezza.
- 8.16 Attività di monitoraggio: Impone di disporre di un modo per mantenere la visibilità anche quando gli strumenti primari di monitoraggio sono offline.
- 5.24 Pianificazione e preparazione della gestione degli incidenti di sicurezza delle informazioni: I team di crisi e di continuità devono operare in parallelo, garantendo che la consapevolezza della risposta agli incidenti sia mantenuta durante l’interruzione.
- 5.28 Raccolta delle evidenze: Assicura che, nella fretta di ripristinare, non vengano distrutte evidenze forensi essenziali per l’indagine e per le segnalazioni alle autorità.
Guida pratica per applicare una resilienza verificabile in audit
Tradurre questi controlli dalla teoria alla pratica richiede politiche e procedure chiare e azionabili. I modelli di policy Clarysec sono progettati per incorporare questi principi direttamente nel SGSI. Ad esempio, la nostra Politica di backup e ripristino Politica di backup e ripristino fornisce un quadro di riferimento che va oltre la semplice pianificazione dei backup:
“La politica applica i controlli ISO/IEC 27001:2022 relativi alla raccolta delle evidenze (5.28), alla resilienza durante le interruzioni (5.29), al ripristino operativo (8.13) e alla cancellazione delle informazioni (8.10), e li mappa alle migliori pratiche di ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA e NIS2.”
Questo approccio olistico trasforma la resilienza da concetto astratto in un insieme di attività operative e verificabili in audit.
Checklist operativa: audit della strategia di backup e resilienza
Usa questa checklist, supportata da una politica completa, per predisporre le evidenze che un auditor richiederà.
| Domanda di audit | Riferimento del controllo | Indicazioni della politica Clarysec | Evidenze da preparare |
|---|---|---|---|
| Il campo di applicazione dei backup è allineato alla BIA e all’inventario degli asset? | 8.13, 5.9 | La politica richiede di collegare la pianificazione dei backup alla classificazione di criticità degli asset informativi. | Inventario degli asset con livelli di criticità; configurazione dei backup che evidenzi i sistemi prioritari. |
| I test di ripristino vengono eseguiti regolarmente e i risultati sono documentati? | 8.13, 9.2 | La politica definisce una frequenza minima di test e impone la creazione di un rapporto di test, includendo metriche sui tempi di ripristino e controlli di integrità dei dati. | Piani e rapporti dei test di ripristino degli ultimi 12 mesi; registrazioni di eventuali azioni correttive adottate. |
| Come vengono protetti i backup dal ransomware? | 8.13, 8.7 | La politica specifica i requisiti per archiviazione immutabile, copie air-gapped o reti di backup isolate, in allineamento con i controlli di protezione antimalware. | Diagrammi di rete; dettagli di configurazione dell’archiviazione dei backup; scansioni di vulnerabilità dell’ambiente di backup. |
| I controlli di sicurezza sono mantenuti durante un’operazione di ripristino? | 5.29, 8.16 | La politica richiama la necessità di ambienti di ripristino sicuri e di registrazione continua degli eventi, garantendo l’allineamento con il piano di risposta agli incidenti dell’organizzazione. | Piano di risposta agli incidenti; documentazione dell’ambiente sandbox sicuro per i ripristini; log di un test di ripristino recente. |
| I piani di conservazione dei backup sono allineati alle leggi sulla protezione dei dati? | 8.13, 5.34, 8.10 | La politica impone che le regole di conservazione dei backup rispettino il Piano di conservazione dei dati, per evitare l’archiviazione indefinita di dati personali e supportare il diritto alla cancellazione previsto dal GDPR. | Piano di conservazione dei dati; configurazioni dei processi di backup che mostrino i periodi di conservazione; procedure per cancellare dati dai backup. |
L’imperativo della conformità trasversale: mappare la resilienza su DORA, NIS2 e oltre
Per le organizzazioni nei settori critici, la resilienza non è solo una buona pratica ISO/IEC 27001:2022: è un obbligo di legge. Regolamenti come il Regolamento sulla resilienza operativa digitale (DORA) e la Direttiva NIS2 pongono un’enorme enfasi sulla capacità di resistere alle interruzioni ICT e di ripristinare i servizi.
Fortunatamente, il lavoro svolto per ISO/IEC 27001:2022 offre un importante vantaggio iniziale. Il Zenith Controls: guida alla conformità trasversale di Clarysec Zenith Controls è progettato per creare tabelle di mappatura esplicite che dimostrano questo allineamento ad auditor e autorità di regolamentazione. Una documentazione proattiva dimostra che la sicurezza viene gestita nel suo pieno contesto legale.
Le nostre politiche sono costruite con questo obiettivo. La Politica di protezione dei dati e privacy Politica di protezione dei dati e privacy, ad esempio, dichiara esplicitamente il proprio ruolo nel rafforzare la conformità a DORA e NIS2 insieme a ISO/IEC 27001:2022.
Questa tabella di mappatura illustra come i controlli fondamentali di resilienza soddisfino requisiti di più importanti quadri di riferimento.
| Quadro di riferimento | Clausole/articoli chiave | Come si mappano i controlli di resilienza (5.29, 8.13) | Aspettative di audit |
|---|---|---|---|
| GDPR | Art. 32, 34, 5(1)(f), 17(1) | La protezione dei dati continua anche sotto pressione; i sistemi di backup devono supportare il ripristino e i diritti di cancellazione; la notifica della violazione è richiesta per le vulnerabilità emerse durante le crisi. | Esame dei log di backup, dei test di ripristino, delle evidenze di cancellazione dei dati dai backup e dei log degli incidenti durante l’interruzione. |
| NIS2 | Art. 21(2)(d), 21(2)(f), 21(2)(h), 23 | La resilienza operativa è irrinunciabile; i controlli devono garantire continuità operativa e validità dei backup; la gestione della crisi deve mantenere protette le informazioni. | Analisi dei piani di continuità operativa, delle pianificazioni dei backup, delle evidenze che i controlli di backup funzionino come richiesto e dei rapporti di gestione degli incidenti. |
| DORA | Art. 10(1), 11(1), 15(3), 17, 18 | Sono richiesti test obbligatori di resilienza, con riferimenti incrociati a trattamento dell’incidente, ripristino da backup e controlli dei fornitori per i servizi ICT. | Audit delle esercitazioni di resilienza, dei log di ripristino dei backup, delle clausole dei fornitori sul ripristino dei dati e dei rapporti sugli incidenti. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | Continuità operativa e gestione del rischio devono essere integrate; le capacità di backup e ripristino sono dimostrate tramite metriche, log e cicli di miglioramento continuo. | Audit dei riesami della continuità, delle misure di prestazione dei backup, dei log e delle registrazioni di remediation e miglioramento. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Le soluzioni di backup e la risposta agli incidenti sono controlli cardine per il ripristino; registrazione e test di ripristino sono obbligatori per dimostrare la capacità. | Verifica delle capacità di ripristino, della sicurezza dei backup, della gestione della conservazione e delle procedure di trattamento dell’incidente. |
Costruendo il SGSI attorno al solido quadro di riferimento ISO/IEC 27001:2022, si costruisce al tempo stesso una posizione difendibile rispetto a queste ulteriori normative rigorose.
Attraverso gli occhi dell’auditor: come verrà testata la resilienza
Gli auditor sono addestrati a guardare oltre le politiche e a cercare prove dell’applicazione. Quando si parla di resilienza, vogliono vedere evidenze di disciplina sotto pressione. Un audit delle capacità di resilienza sarà articolato, con auditor diversi focalizzati su tipi diversi di evidenze.
| Prospettiva dell’auditor (quadro di riferimento) | Area chiave di attenzione | Tipologie di evidenze richieste |
|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Integrazione della sicurezza nei piani BC/DR | Riesame della documentazione BC/DR per confermare che le considerazioni di sicurezza siano integrate, non aggiunte a posteriori. Verifica che i siti alternativi dispongano di controlli di sicurezza equivalenti. |
| COBIT 2019 (DSS04) | Miglioramento continuo e riesame post-incidente | Esame dei rapporti post-evento derivanti da interruzioni reali o esercitazioni. Il focus è verificare se le lacune di sicurezza individuate durante l’evento siano state documentate e risolte. |
| NIST SP 800-53A (CP-10) | Convalida del ripristino e della ricostituzione | Test basati su scenari, tramite esercitazioni tabletop o esercitazioni operative. Gli auditor valutano la capacità dell’organizzazione di mantenere i controlli di sicurezza durante il processo di ripristino. |
| ISACA ITAF | Accettazione del rischio documentata | Documentazione e riesame delle accettazioni del rischio effettuate durante un’interruzione. Le evidenze devono essere presenti nel Registro dei rischi o nel piano BC, con autorizzazione chiara. |
Errori ricorrenti: dove i piani di resilienza spesso falliscono nella realtà
Le risultanze degli audit Clarysec mostrano debolezze ricorrenti che compromettono anche i piani meglio scritti. Evita questi errori comuni:
- I processi manuali alternativi non hanno sicurezza adeguata. Quando i sistemi non sono disponibili, i dipendenti tornano a usare fogli di calcolo ed e-mail. Questi processi manuali spesso non dispongono della sicurezza fisica o logica dei sistemi primari.
- Rimedio: Integra la protezione fisica (armadi chiusi a chiave, log degli accessi) e i controlli logici (file cifrati, canali di comunicazione sicuri) nei protocolli di crisi per le soluzioni operative manuali.
- I siti alternativi non sono configurati completamente. Il data center di backup dispone di server e dati, ma può non avere regole firewall equivalenti, agenti di registrazione degli eventi o integrazioni di controllo degli accessi.
- Rimedio: Documenta l’equivalenza dei controlli di sicurezza tra siti primari e secondari. Esegui audit tecnici regolari del sito di backup e includi rappresentanti della sicurezza in tutte le esercitazioni di failover.
- I test di ripristino sono incompleti o ad hoc. Le organizzazioni testano se un server può essere ripristinato, ma non verificano se l’applicazione ripristinata è sicura, registra correttamente gli eventi e funziona correttamente sotto carico.
- Rimedio: Rendi obbligatori test completi di ripristino da backup, inclusa la convalida di sicurezza, come parte delle esercitazioni sugli incidenti e dei riesami annuali di audit.
- La protezione dei dati nei backup viene trascurata. I backup possono diventare una fonte di rischio di conformità, conservando dati che avrebbero dovuto essere cancellati ai sensi del diritto alla cancellazione previsto dal GDPR.
- Rimedio: Allinea le procedure di conservazione e cancellazione dei backup alle politiche di protezione dei dati. Assicurati di disporre di un processo documentato per cancellare dati specifici dagli insiemi di backup quando richiesto dalla legge.
Da conforme a resiliente: promuovere una cultura del miglioramento continuo
Raggiungere la resilienza non è un progetto una tantum che termina con la certificazione. È un impegno continuo al miglioramento, sancito dalla Clausola 10 di ISO/IEC 27001:2022. Un’organizzazione realmente resiliente impara da ogni incidente, ogni mancato incidente e ogni risultanza dell’audit.
Questo richiede di andare oltre le correzioni reattive. Il Zenith Blueprint suggerisce di integrare il miglioramento continuo nella cultura organizzativa creando canali attraverso i quali i dipendenti possano proporre miglioramenti di sicurezza, svolgendo valutazioni del rischio proattive quando si verificano cambiamenti significativi ed eseguendo rigorosi riesami post-incidente per acquisire le lezioni apprese.
Inoltre, il controllo 5.35 (riesame indipendente della sicurezza delle informazioni) svolge un ruolo cruciale. Invitare una parte indipendente a riesaminare il SGSI offre una prospettiva imparziale in grado di far emergere punti ciechi che il team interno potrebbe non individuare. Come afferma con forza il Zenith Blueprint: “…ciò che distingue un SGSI conforme da uno realmente resiliente è questo: la disponibilità a porre domande difficili e ad ascoltare quando le risposte sono scomode.”
Il prossimo passo: costruire un SGSI davvero resiliente
La crisi di Maria evidenzia una verità universale: le interruzioni sono inevitabili. Che si tratti di ransomware, di un disastro naturale o del fallimento di un fornitore critico, l’organizzazione verrà messa alla prova. La domanda non è se accadrà, ma come risponderai. Ti limiterai a ripristinare oppure risponderai con resilienza?
Costruire un SGSI che mantenga l’integrità sotto pressione richiede un approccio strategico e olistico. Parte da fondamenta solide, incorpora controlli profondamente interconnessi ed è alimentato da una cultura del miglioramento continuo. Non aspettare che un’interruzione reale riveli le lacune della tua strategia.
Pronto a costruire un SGSI non solo conforme, ma realmente resiliente?
- Scarica il Clarysec Zenith Blueprint: roadmap in 30 passaggi per auditor per guidare l’applicazione dall’inizio alla fine.
- Sfrutta i nostri modelli completi di policy, come la Politica di backup e ripristino, per tradurre gli standard in azioni concrete e verificabili in audit.
- Usa Zenith Controls: guida alla conformità trasversale per assicurare che i tuoi interventi soddisfino i rigorosi requisiti di ISO/IEC 27001:2022, DORA e NIS2.
Contattaci oggi per una valutazione gratuita della resilienza e lascia che gli esperti Clarysec ti aiutino a costruire un SGSI capace di operare anche sotto pressione.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
