# La Norma ISO/IEC 27040:2024 e la Sicurezza dell’Archiviazione dei Dati

L’archiviazione di dati rappresenta una parte essenziale della gestione delle informazioni nel contesto moderno, caratterizzato sempre più da minacce informatiche e dalla necessità di proteggere la riservatezza, l’integrità e la disponibilità dei dati. Con l’entrata in vigore della norma ISO/IEC 27040:2024, le organizzazioni hanno ora a disposizione uno strumento prezioso per gestire in modo più efficace la sicurezza delle tecnologie di archiviazione.

## Perché la Sicurezza dell’Archiviazione è Fondamentale?

I dati sono il cuore pulsante di ogni organizzazione, e il loro ciclo di vita comprende fasi di creazione, utilizzo, archiviazione e smaltimento. L’archiviazione non è un processo secondario; al contrario, è fondamentale che, durante questa fase, vengano adottate misure di sicurezza adatte. La norma ISO/IEC 27040:2024 si propone di guidare le organizzazioni verso un utilizzo ottimale delle tecnologie di archiviazione elettronica, considerando anche rischi specifici legati a backup e applicazioni.

## I Rischi dell’Archiviazione dei Dati

Uno degli obiettivi principali della norma è far luce sui rischi informatici legati all’archiviazione. Tra questi vi sono la riservatezza delle informazioni, l’integrità dei dati e la disponibilità dei sistemi di storage. I controlli proposti mirano a prevenire le violazioni dei dati e a garantire che i dati siano sempre accessibili e protetti da attacchi maligni o distruzioni accidentali.

### Rischi Comuni Identificati

– **Violazioni dei Dati**: Accessi non autorizzati possono compromettere la riservatezza delle informazioni.
– **Corruzione o Distruzione dei Dati**: Fattori interni o eventi esterni possono danneggiare i dati, riducendo l’affidabilità dei sistemi.
– **Perdita di Accesso ai Dati**: Situazioni impreviste possono rendere inaccessibili i dati archiviati.
– **Non Conformità Normativa**: La mancata aderenza a requisiti legali o regolamentari può portare a sanzioni severe.

## Controlli di Sicurezza Raccomandati dalla Norma

La ISO/IEC 27040:2024 non si limita a elencare i rischi, ma fornisce anche una serie di raccomandazioni pratiche per mitigare tali rischi. Circa il 30% delle raccomandazioni sono classificate come “requisiti”, mentre il restante 70% rientra nelle “linee guida”.

Ecco alcuni esempi di controlli proposti:

– **Crittografia dei Dati a Riposo**: La crittografia aiuta a proteggere i dati memorizzati, riducendo al minimo l’impatto in caso di accessi non autorizzati.
– **Autenticazione e Autorizzazione**: Un robusto sistema di autenticazione deve essere implementato per garantire che solo il personale autorizzato possa accedere ai dati.
– **Meccanismi di Rilevamento delle Modifiche**: Tecniche come hashing e checksum possono identificare modifiche non autorizzate ai dati memorizzati.
– **Controllo dell’Accesso Fisico**: Misure fisiche devono essere adottate per proteggere i dispositivi di archiviazione dall’accesso non autorizzato.
– **Cancellazione Sicura dei Dati**: Procedure specifiche devono essere implementate per assicurare che i dati non più necessari siano eliminati in modo sicuro, prevenendo il recupero non autorizzato.

## Struttura della Norma

La ISO/IEC 27040:2024 segue una struttura chiara e dettagliata. Il secondo capitolo introduce le definizioni tecniche, inclusi termini come “sanificazione”, “disponibilità” e “crittografia”, che aiutano a standardizzare il linguaggio all’interno delle organizzazioni che adottano questa norma.

Il documento fornisce una panoramica introduttiva sull’archiviazione, per poi concentrarsi sull’analisi dei rischi e a 220 raccomandazioni distinte per la sicurezza dello storage. La chiara distinzione tra requisiti e linee guida consente alle organizzazioni di comprendere cosa è obbligatorio e cosa può essere considerato best practice.

## Integrazione della Norma nei Sistemi di Gestione

Per