La definizione del campo di applicazione del Sistema di Gestione per la Sicurezza delle Informazioni è probabilmente uno dei temi più dibattuti della norma ISO 27001, poiché le aziende che non hanno esperienza con lo standard devono prendere una decisione importante su cosa includere nel campo di applicazione già nelle fasi iniziali del progetto. Tuttavia, ragionando in modo strutturato, non è poi così difficile impostare correttamente il perimetro. In questo articolo cercheremo di scoprire qual è lo scopo del campo di applicazione del SGSI, come redigere una dichiarazione di campo, e un esempio concreto di campo di applicazione secondo ISO 27001.

Requisiti ISO 27001 nella definizione del campo di applicazione del SGSI:

• Considerare il contesto interno ed esterno
• Tenere conto delle esigenze e delle aspettative delle parti interessate (gli stakeholders)
• Valutare interfacce e dipendenze tra ciò che avviene all’interno del campo di applicazione SGSI e il mondo esterno

Qual è lo scopo del campo di applicazione del SGSI?

Lo scopo principale nel definire il campo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni è stabilire quali informazioni si intende proteggere. Non importa se queste informazioni sono conservate negli uffici aziendali o nel cloud; non ha importanza se vi si accede dalla rete locale o tramite accesso remoto. L’essenziale è che sarete responsabili della protezione di tali informazioni, ovunque, comunque e da chiunque esse vengano consultate.

Ad esempio, se i vostri dipendenti utilizzano laptop che portano fuori dall’ufficio, ciò non significa che questi dispositivi siano esclusi dal campo di applicazione: devono essere inclusi se vengono utilizzati per accedere alla rete locale e a tutte le informazioni e servizi sensibili presenti.

Il campo di applicazione è fondamentale anche in ottica di certificazione: l’auditor controllerà che tutti gli elementi del SGSI funzionino correttamente all’interno del perimetro definito; non verranno esaminati reparti o sistemi che non hanno accesso alle informazioni incluse nel campo di applicazione.

I requisiti di ISO 27001 relativi al campo di applicazione

In sostanza, ISO 27001 per definire il campo di applicazione richiede di:

• Considerare il contesto interno ed esterno definito al punto 4.1
• Considerare tutti i requisiti delle parti interessate (clausola 4.2)
• Valutare interfacce e dipendenze tra quanto accade all’interno e all’esterno del campo di applicazione ISMS.

Un elemento utile da includere nel documento relativo al campo di applicazione è una breve descrizione della sede (ad esempio, planimetrie per indicare il perimetro) e delle unità organizzative coinvolte (ad esempio, organigrammi): non è obbligatorio da norma, ma gli auditor di certificazione lo apprezzano perché facilita la comprensione e la verifica del sistema.

ISO 27001 richiede la redazione di un documento che descriva il campo di applicazione del SGSI: si può unire questo documento con altri (ad esempio, la Politica della Sicurezza delle Informazioni), mantenerlo separato, oppure avere un unico documento con riferimenti ad altri (come le parti interessate e i loro requisiti, il contesto organizzativo, ecc.).

Cosa sono interfacce e dipendenze?

Partiamo dalle dipendenze.
Si possono disegnare i processi inclusi nel campo di applicazione e, all’esterno di questo primetro, indicare i processi forniti da soggetti esterni. Con “processi” non si intendono solo quelli legati alla sicurezza o all’IT, ma tutti i principali processi aziendali inclusi nel campo di applicazione; chi ha già implementato ISO 9001 probabilmente dispone di una mappa dei processi simile.

Una volta identificate le dipendenze, occorre individuare le interfacce.
Sono fondamentali per comprendere i confini del SGSIe sapere quali input e output transitano da queste interfacce per proteggerli adeguatamente. Per identificare le interfacce, occorre individuare tutti i punti terminali sotto il proprio controllo – ad esempio, nella rete locale potrebbe essere il router (perché oltre quel punto il collegamento è gestito dal provider), mentre in ufficio l’interfaccia può essere la porta di ingresso, ecc.

Come definire passo-passo il campo di applicazione secondo la ISO 27001

Stabilire con precisione i confini del campo di applicazione è fondamentale per implementare e gestire con successo un SGSI secondo ISO 27001:2022. Ecco i passaggi principali:

1. Analizzare quali questioni interne o esterne determinano le aree da includere nel campo di applicazione (es: le informazioni più sensibili sono nel reparto R&S).
2. Verificare se le parti interessate possono influenzare il campo di applicazione (es: il GDPR UE richiede che i dati personali siano inclusi).
3. Valutare se interfacce e dipendenze influenzano il campo di applicazione (es: se due reparti condividono ufficio, software e dati, è difficile includere solo uno dei due nel campo di applicazione).
4. Definire esclusioni dal campo di applicazione (es: dispositivi privati esclusi).
5. Redigere il documento che descrive il campo di applicazione SGSI.

Come scrivere una dichiarazione di campo di applicazione secondo ISO 27001

Il documento del campo di applicazione SGSI dovrebbe essere breve e semplice e contenere:

• Elenco dei processi e servizi inclusi nel campo di applicazione
• Elenco dei reparti o unità organizzative incluse nel campo di applicazione
• Elenco delle sedi fisiche comprese nel campo di applicazione
• Eventuali esclusioni dal campo di applicazione

Di seguito, un possibile indice del documento di campo di applicazione SGSI:

Esempi di campo di applicazione SGSI secondo ISO 27001

1 – Un’azienda farmaceutica di 700 dipendenti decide di includere solo il reparto ricerca & sviluppo nel campo di applicazione SGSI, poiché qui vengono gestite le informazioni più sensibili. La descrizione del campo di applicazione risulta la seguente:

• Reparto: Ricerca & Sviluppo
• Processi: analisi di mercato, ricerca, sviluppo e test
• Sede fisica: (indirizzo del reparto R&S)
• Esclusioni: dispositivi privati utilizzati dai dipendenti in smart working, poiché l’azienda non ne ha il controllo

2 – Una software house di 30 dipendenti decide di includere tutta l’azienda nel campo di applicazione, perché troppo piccola per escludere alcune parti. La descrizione del campo di applicazione è la seguente:

• Reparti: (elencare tutti i reparti aziendali)
• Processi: (elencare tutti i processi aziendali)
• Sede fisica: (indirizzo degli uffici operativi)
• Esclusioni: i server fisici dei provider cloud – poiché l’azienda controlla solo i server virtuali, non quelli fisici

Definizione del campo di applicazione SGSI se il server è in cloud

I server implementati in ambienti cloud rappresentano una sfida in più nell’implementazione del SGSI. I modelli di servizio cloud più diffusi, in ordine di complessità crescente, sono:

• Infrastructure as a Service (IaaS): offre solo l’infrastruttura di base (server fisici e virtuali, rete, backup, ecc.)
• Platform as a Service (PaaS): oltre all’infrastruttura, offre un ambiente di sviluppo per gli sviluppatori (sistemi operativi, ambienti di esecuzione, database, ecc.)
• Software as a Service (SaaS): offre agli utenti finali accesso a software applicativi e database (email, file sharing, social, ERP, ecc.)

Man mano che si passa da IaaS a SaaS, la complessità e il numero di asset sotto il controllo del cliente diminuisce, andando sotto la responsabilità del fornitore, e questo influenza il campo di applicazione SGSI come spiegato in seguito.

Soluzioni cloud e impatto sulla definizione del campo di applicazione

Le soluzioni cloud possono essere implementate come cloud privati (quando il fornitore è un reparto interno o una business unit dell’organizzazione) oppure pubblici (quando gli asset vengono esternalizzati a terzi, a seconda del modello cloud scelto).