Conformità ISO 27001

ISO 27001 è il framework per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS) più diffuso  al mondo. Costituisce il fulcro di molti programmi di cybersecurity aziendali; la ISO 27001 è considerata  anche per una serie di regimi di conformità. I controlli di accesso, compreso il PAM, sono ampiamente presenti nei suoi requisiti.

Che cos’è la ISO 27001?

La ISO 27001 è promulgata dall’International Standards Organization (ISO). L’ISMS che ne deriva ha lo scopo di proteggere le infrastrutture critiche. La ISO 27001 è completa e affronta la quasi totalità  degli aspetti della sicurezza delle informazioni. I controlli riguardano la politica di sicurezza, la sicurezza fisica e la risposta agli incidenti. Garantisce che l’organizzazione segua le migliori pratiche accettate a livello internazionale in materia di sicurezza delle informazioni.

L’obiettivo del framework è il miglioramento continuo. Questo approccio è basato sul processo plan/do/check/act, che consente a un’organizzazione di autocertificarsi come conforme alla ISO 27001.  In alternativa, è possibile ottenere una certificazione indipendente rilasciata da una terza parte a seguito di un audit.

ISO 27001 e conformità

Il framework aiuta le organizzazioni a conformarsi a normative come ad esempio GDPR, HIPAA e PCI-DSS. Questo è vero per due motivi. In primo luogo, i controlli di un ISMS possono essere configurati in modo da corrispondere ai requisiti di una normativa, ad esempio se la crittografia è richiesta per la conformità HIPAA, allora rendere la crittografia obbligatoria per l’ISMS aiuterà con l’HIPAA.

Il quadro normativo ISO 27001 aiuta le organizzazioni a capire cosa devono fare per conformarsi a una serie di normative.

In secondo luogo, la ISO27001 richiede letteralmente la conformità alla legge come parte del suo processo di certificazione. La sezione A.18.1, intitolata “Conformità ai requisiti legali e contrattuali”, contiene controlli che impongono la conformità agli obblighi legali e contrattuali dell’organizzazione. In particolare, la sottosezione A.18.1.1. afferma che l’ISMS deve identificare e documentare esplicitamente i requisiti legali e normativi.

I controlli di accesso nella ISO 27001

La ISO 27001 copre l’intero spettro della sicurezza delle informazioni. Il framework include controlli per la politica di sicurezza, la gestione delle risorse, la crittografia, le risorse umane, il ripristino del back-end e altro ancora. Il controllo degli accessioccupa un posto di rilievo. I controlli specifici riguardano l’accesso, ma i temi dell’accesso, dell’autorizzazione e dell’autenticazione sono fondamentali per quasi tutti gli aspetti del framework. Dopo tutto, è impossibile effettuare una crittografia efficace dei dati se non si può controllare chi ha accesso al software di crittografia.

PAM e ISO 27001

Il PAM è un’area della sicurezza che prevede il controllo e il monitoraggio degli utenti con privilegi amministrativi (alias “Root”) o che utilizzano account privilegiati. Un utente privilegiato è colui che ha accesso ai back-end dei sistemi critici. Ad esempio, un utente privilegiato potrebbe essere autorizzato a configurare un firewall o a eliminare un account utente di un database. Gli utenti privilegiati possono anche cancellare o modificare dati, nonché installare e disinstallare software. Un utente privilegiato può essere un dipendente, un fornitore esterno, un partner o persino un’applicazione automatica. Dato il loro accesso a informazioni e sistemi sensibili, l’accesso degli utenti privilegiati deve essere attentamente disciplinato. La ISO 27001 tratta questo requisito sia direttamente che indirettamente. La sezione A.9.2.3, “Gestione dei diritti di accesso privilegiato”, stabilisce un requisito per controllare e limitare i diritti di accesso privilegiato.  La sezione A.9.4.4, “Uso di programmi di utilità privilegiati”, aggiunge un’altra salvaguardia PAM all’ISMS, discutendo la necessità di controllare i programmi di utilità che possono annullare altri controlli.

Diverse sezioni della norma ISO 27001 affermano che l’accesso degli utenti privilegiati deve essere accuratamente governato e, pertanto, disporre di un software PAM è un buon inizio per soddisfare la conformità.

Il PAM compare anche nelle sezioni A.6, “Organizzazione della sicurezza delle informazioni”, A.11, “Sicurezza fisica e ambientale” e A.15, “Rapporti con i fornitori” della ISO 27001. La PAM emerge indirettamente nelle sezioni A.5, “Politiche di sicurezza delle informazioni”, A.12, “Sicurezza operativa”, A.16, “Gestione della sicurezza delle informazioni” e A.18, “Conformità ai requisiti interni”. Ciascuna di queste aree di controllo si basa sugli utenti privilegiati per essere efficace.

Come una soluzione PAM abilita i controlli ISO 27001

Una soluzione PAM protegge un’organizzazione dall’abuso, accidentale o intenzionale, di accessi privilegiati. Può (e deve) essere un elemento critico di un ISMS. La soluzione PAM tiene traccia degli utenti privilegiati. Consente l’implementazione della norma ISO 27001 grazie a un meccanismo sicuro, centralizzato e semplificato per autorizzare e monitorare tutti gli utenti privilegiati per tutti i sistemi pertinenti:

• PAM concede e revoca i privilegi agli utenti solo per i sistemi su cui sono autorizzati.
• PAM evita che gli utenti privilegiati conoscano o necessitino di password locali/dirette.
• PAM gestisce in modo rapido e centralizzato l’accesso a una serie di sistemi eterogenei.
• PAM crea un audit trail inalterabile per ogni operazione privilegiata.

Il PAM è un elemento critico dell’ISMS, che consente alle organizzazioni di tenere traccia di tutte le azioni degli utenti privilegiati all’interno della loro infrastruttura IT.

La soluzione PAM4ALL di WALLIX per ISO 27001

WALLIX offre una soluzione PAM completa che si allinea perfettamente alla norma ISO 27001. La sua architettura agentless la rende facile da implementare, mantenere e modificare. Questa qualità le conferisce la capacità di far parte dell’ISMS senza aggiungere rigidità al sistema. I componenti di WALLIX PAM4ALL contribuiscono ciascuno all’adempimento dei controlli ISO 27001 e dell’ISMS:

• WALLIX Access Manager – Gestisce l’accesso agli account privilegiati. Centralizza il controllo degli accessi creando un unico punto di accesso. Gli utenti privilegiati richiedono l’accesso a un sistema attraverso l’Access Manager, realizzando la definizione dei criteri di controllo degli accessi e l’applicazione dei criteri ISO 27001. Access Manager consente l’accesso solo ed esclusivamente aisistemi sensibili a cui un utente è autorizzato. I superamministratori possono utilizzarlo per aggiungere, modificare o eliminare account utente privilegiati.
• WALLIX Password Vault – Impedisce agli utenti privilegiati di conoscere le password o le credenziali effettive dei sistemi critici. Ciò impedisce le sostituzioni manuali sui dispositivi fisici, un rischio di controllo fisico descritto nella Sezione A.11. Permette inoltre una adeguata complessità delle password ed una politica di rotazione delle stesse.
• WALLIX Session Manager – Traccia le connessioni e le attività degli utenti privilegiati, fornendo un monitoraggio e una registrazione in tempo reale di tutte le attività degli utenti. Session Manager consente un audit dettagliato e una risposta accurata agli incidenti, entrambi elementi essenziali per la ISO 27001.

La certificazione e l’audit ISO 27001 sono un processo arduo. Ogni serie di controlli del framework deve essere implementata diligentemente. PAM può contribuire a semplificare il processo e a garantire una conformità più solida e agile agli standard.

Per saperne di più sulla gestione degli accessi privilegiati e sulla conformità alla norma ISO 27001, non perdetevi la replica del nostro recente webinar su come WALLIX PAM4ALL aiuta le organizzazioni a conformarsi a questa severa normativa.