In che modo la gestione delle password aiuta le aziende a ottenere la certificazione ISO 27001

Aggiornamento: da marzo 2025, Bitwarden è certificata ISO 27001 in conformità ai controlli ISO 27001 relativi alla sicurezza dei dati.

La ISO 27001, uno standard internazionale, pone le basi per creare, mantenere e sviluppare sistemi di gestione della sicurezza delle informazioni (ISMS), inclusa la gestione dei dati. Le aziende che puntano a ottenere la conformità o la certificazione ISO 27001 dovrebbero considerare l'aggiunta della gestione delle password per ISO 27001 al proprio set di strumenti.

L'Organizzazione internazionale per la normazione (ISO) sviluppa e pubblica standard tecnici, industriali e commerciali a livello mondiale. Aggiornato l'ultima volta a ottobre 2022, lo standard ISO 27001 per gli ISMS fornisce un framework per la sicurezza dei dati composto da 93 controlli. Per ottenere la certificazione ISO 27001, le aziende devono dimostrare la conformità a tutti questi controlli.

Per certificarsi come azienda ISO 27001, è necessario rispettare 93 controlli.

Il processo di certificazione ISO 27001 consiste in un audit condotto da organismi di certificazione indipendenti che esaminano le politiche e le procedure aziendali per la sicurezza dei dati, nonché il modo in cui vengono applicate. Il processo può essere lungo, ma superare un audit di certificazione ISO 27001 dimostra che la tua azienda ha effettuato una valutazione dei rischi di sicurezza per identificare potenziali minacce e ha introdotto controlli di sicurezza per proteggersi dalle violazioni dei dati.

La certificazione ISO 27001 offre alle organizzazioni un vantaggio competitivo nell'attrarre e fidelizzare i clienti, perché dimostra la presenza di solidi controlli di sicurezza delle informazioni. La certificazione può anche aiutare ad attrarre e mantenere fornitori e altri stakeholder attenti a come le loro informazioni vengono gestite e protette.

Anche la sola preparazione al processo di audit può rafforzare le politiche ISO 27001 esistenti e migliorare sistemi, strutture e processi aziendali quotidiani interni. Il processo di gestione del rischio può inoltre aiutare le organizzazioni a rispettare meglio le leggi sulla protezione dei dati, come CCPA e GDPR, ed evitare sanzioni per mancata conformità o danni reputazionali dovuti a una violazione dei dati evitabile.

I 93 controlli sono contenuti nell'Allegato A e rientrano in 4 macro-aree. Per ottenere la certificazione ISO 27001, le aziende devono dimostrare la conformità a questi controlli. Le categorie sono:

• Controlli organizzativi (37 controlli)

• Controlli sulle persone (8 controlli)

• Controlli fisici (14 controlli)

• Controlli tecnologici (34 controlli)

La versione precedente della ISO includeva 114 controlli suddivisi in 14 categorie. Tale versione includeva anche indicazioni sui sistemi di accesso sicuro e di gestione delle password. 

Il controllo sull'accesso sicuro specificava che “l'accesso a sistemi e applicazioni deve essere controllato da una procedura di accesso sicura quando richiesto dalla Policy di controllo degli accessi”. Con un gestore di password, gli utenti possono aggiungere un ulteriore livello di sicurezza agli accessi e disporre di un unico punto per gestire e integrare l'autenticazione a due fattori per tutti i siti web che la supportano. 

Il controllo sui sistemi di gestione delle password affermava che “i sistemi di gestione delle password devono essere collaborativi per garantire la qualità delle password”. ISO consiglia di utilizzare un gestore di password che consenta agli utenti di creare password robuste e univoche e offra funzionalità di condivisione sicura per la collaborazione.

I gestori di password definiscono la robustezza delle password, applicano la 2FA e utilizzano registri eventi per monitorare l'attività degli utenti: tutte capacità che le aziende devono possedere per soddisfare i requisiti ISO relativi al controllo degli accessi, alla protezione dei dati personali identificabili (PII) e alla protezione degli endpoint.

La versione più recente della ISO 27001 affronta la gestione delle password nell'Allegato A 5.17. Esistono molti altri requisiti dell'Allegato A che possono essere soddisfatti o supportati adottando un gestore di password. Tra gli esempi, non esaustivi, figurano:

• Allegato A 5.3, Separazione dei compiti: i compiti in conflitto e le aree di responsabilità in conflitto devono essere separati.

• Allegato A 5.14, Trasferimento delle informazioni: per tutti i tipi di strutture di trasferimento all'interno dell'organizzazione e tra l'organizzazione e altre parti devono essere predisposte regole, procedure o accordi per il trasferimento delle informazioni.

• Allegato A 5.15, Controllo degli accessi: devono essere definite e implementate regole per controllare l'accesso fisico e logico alle informazioni e ad altri asset associati, in base ai requisiti aziendali e di sicurezza delle informazioni.

• Allegato A 5.16, Gestione delle identità: deve essere gestito l'intero ciclo di vita delle identità.

• Allegato A 5.17, Informazioni di autenticazione: l'assegnazione e la gestione delle informazioni di autenticazione devono essere controllate da un processo di gestione, che includa indicazioni al personale sulle migliori pratiche per la gestione delle informazioni di autenticazione.

  • Un guida introduttiva dettagliata su questo criterio illustra le raccomandazioni per le password con consigli sulla loro gestione, inclusa la possibilità di creare password sicure. Inoltre, l'obiettivo raccomanda alle organizzazioni di evitare credenziali deboli, ampiamente utilizzate o compromesse.

Alla luce di questo criterio, idealmente le organizzazioni dovrebbero adottare un sistema di gestione delle password che consenta loro di generare report e ottenere informazioni utilizzabili su password esposte, riutilizzate, deboli o potenzialmente compromesse.

• Allegato A 5.34, Privacy e protezione delle informazioni personali identificabili (PII): l'organizzazione deve identificare e soddisfare i requisiti relativi alla tutela della privacy e alla protezione delle PII in conformità alle leggi e ai regolamenti applicabili e ai requisiti contrattuali.

• Allegato A 8.1, Dispositivi endpoint degli utenti: le informazioni archiviate, elaborate o accessibili tramite dispositivi endpoint degli utenti devono essere protette.

• Allegato A 8.4, Accesso al codice sorgente: l'accesso in lettura e scrittura al codice sorgente, agli strumenti di sviluppo e alle librerie software deve essere gestito in modo appropriato.

• Allegato A 8.5, Autenticazione sicura: le tecnologie e le procedure di autenticazione sicura devono essere implementate in base alle restrizioni di accesso alle informazioni e alla policy specifica sul controllo degli accessi.

  • Questo obiettivo si concentra sull'uso dell'autenticazione a più fattori per accedere in modo sicuro ai sistemi. Con un password manager, gli utenti possono beneficiare di un ulteriore livello di sicurezza per gli accessi e disporre anche di un unico posto che li aiuti a gestire e integrare l'autenticazione a due fattori (2FA) per tutti i siti web che la supportano. L'obiettivo evidenzia inoltre che le password devono rimanere sempre riservate, rafforzando l'importanza di un vault delle password completamente crittografato.

I sistemi di gestione delle password consentono alle organizzazioni di identificare nei propri vault eventuali elementi con 2FA non attiva.

• Allegato A 8.11, Mascheramento dei dati: il mascheramento dei dati deve essere utilizzato in conformità alla policy specifica dell'organizzazione sul controllo degli accessi e ad altre policy specifiche correlate, nonché ai requisiti aziendali, tenendo conto della legislazione applicabile.

• Allegato A 8.12, Fuga di dati: le misure di prevenzione della fuga di dati devono essere applicate a sistemi, reti e qualsiasi altro dispositivo che elabori, archivi o trasmetta informazioni sensibili.

Un sistema di gestione delle password supporta i numerosi requisiti dell'Allegato A elencati sopra, oltre a molti dei requisiti inclusi nei set di controlli complessivi.

Gli utenti possono mantenere segrete le informazioni di autenticazione, applicare le best practice per le password come la generazione di password robuste e univoche e condividere le password in modo sicuro con un password manager che protegge le informazioni sensibili con crittografia end-to-end. Limitando chi può visualizzare determinate informazioni sensibili o critiche, i password manager aiutano anche a separare le mansioni e a limitare le minacce interne.

Le organizzazioni che utilizzano password manager definiscono requisiti di robustezza delle password, applicano l'autenticazione a due fattori (2FA) e utilizzano i registri eventi per monitorare l'attività degli utenti: tutte funzionalità che le aziende devono implementare per soddisfare i requisiti ISO relativi al controllo degli accessi, alla protezione delle PII e alla protezione degli endpoint. La maggior parte dei password manager affidabili facilita inoltre l'integrazione SSO, fornendo agli amministratori gli strumenti necessari per gestire l'accesso e il processo di autenticazione. Questa funzionalità aiuta a soddisfare il requisito ISO di autenticazione sicura.

Quando valutano password manager a supporto della certificazione ISO 27001, le organizzazioni dovrebbero verificare se il software segue standard di sicurezza e conformità di livello enterprise, come la conformità SOC2 tipo 2, la conformità al GDPR, il Data Privacy Framework e HIPAA. Le aziende dovrebbero scegliere una soluzione che offra crittografia end-to-end a conoscenza zero.