Per redigere la procedura di sicurezza dei controlli crittografici individuiamo gli asset da sottoporre a tale controllo, stabiliamo le occasioni di cifratura e decifratura e progettiamo i rimedi per accedere ai dati resi indisponibili da tali controlli
Cosa si deve esattamente specificare nella procedura relativa ai controlli crittografici previsti dall’Annex A della ISO 27001? Vediamo come implementare le policy di sicurezza per la cifratura delle informazioni in maniera efficace e conformemente a quanto prevede la norma
La procedura di cifratura deve avere uno scopo preciso
L’azienda deve spiegare e documentare a tutti color che sono impiegati nell’elaborazione delle informazioni che gli algoritmi di crittografia, attraverso il software che ne presiede la gestione, convertono i testi in chiaro in testi cifrati, sotto il controllo delle chiavi crittografiche.
In pratica, se un utente accedesse ai testi in chiaro ne comprenderebbe il senso ed il contenuto e potrebbe conoscere informazioni riservate ma se i testi sono cifrati i contenuti sarebbero visibili come una sequenza di caratteri incomprensibili.
La cifratura delle informazioni quindi costituisce un controllo di sicurezza nei confronti del rischio di perdita della riservatezza delle stesse. L’applicazione di tale controllo deve essere documentata nell’Inventario degli asset nell’ambito dei controlli intesi a protezione della riservatezza.
Informazioni e asset soggetti a cifratura
La procedura di cifratura deve essere molto semplice. Come anticipavamo, l’azienda deve definire gli asset da sottoporre a cifratura. In realtà ciò che viene cifrato non è proprio l’asset in sé ma le informazioni che esso contiene o protegge. L’elenco, a titolo di esempio, potrebbe riguardare:
- Gli hard disk del server
- I dati riposti in back sul cloud
- I supporti nei quali sono presenti i dati di configurazione dei dispositivi della rete
- I dischi dei personal computer portatili
- I dischi dei personal computer fissi
- La memoria degli smartphone
- Le credenziali di autorizzazione per l’accesso fisico tramite porte
- I campi dei database
- I supporti nei quali sono presenti i dati di configurazione dei dispositivi di sicurezza
- I software che conservano i dati scansionati, tracciati e copiati per la sicurezza del sistema informativo e della rete
- I segnali audio della comunicazione telefonica in VOIP interna all’organizzazione
Le occasioni in cui procedere alla cifratura
Una buona procedura di cifratura deve stabilire sicuramente quali sono le occasioni in cui gli asset vengono sottoposti al controllo. È necessario individuare delle fasi di lavoro ben precise in corrispondenza delle quali, in relazione ai requisiti di disponibilità dei dati da parte degli utenti si procede a “blindare” le informazioni presenti:
- Sulle postazioni di lavoro al computer presenti in azienda
- Sui pc portatili impiegati per il telelavoro
- Nei vari database presenti nel sistema informativo aziendale
- Nei server presenti in sala server
- Nelle sezioni del cloud (presenti presso provider remoti)
Le occasioni in cui procedere alla decifratura
La decifratura dei file protetti o in generale delle informazioni protette è un’operazione controllata e cioè supervisionata poiché permette agli utenti autorizzati di accedere ai contenuti in chiaro.
La decifratura delle informazioni e dei supporti deve avvenire dunque in occasione della necessità dell’accesso in chiaro per motivi di lavoro in modalità supervisionata dall’alta direzione e dal RGSI, con il supporto del personale tecnico appropriato.
L’azienda, ove ritenute necessario, deve stabilire:
- I contenuti da rendere in chiaro
- L’occasione della decifratura
- Il responsabile dell’operazione di decifratura
- La modalità con cui si provvede alla decifratura
La disponibilità dei dati corrisponde alla disponibilità della chiave per decifrare
Il rischio della perdita della chiave di decifratura può avere dimensioni incalcolabili nell’azienda. I file resterebbero cifrati per sempre, e sarebbero totalmente persi.
Le chiavi devono essere rese disponibili a parti autorizzate per accedere al testo in chiaro. Così, le chiavi devono essere nascoste e selezionate con la dovuta accortezza. Il “Key Recovery” è il metodo adottato dall’organizzazione per il recupero delle informazioni crittografiche.
