ISO 27001 Guest WiFi: A Compliance Primer

ISO 27001 Guest WiFi: Una Guida alla Conformità Podcast Purple Technical Briefing — Trascrizione dell'Episodio Durata approssimativa: 10 minuti | Voce: Inglese britannico, tono da consulente senior --- SEGMENTO 1: INTRODUZIONE E CONTESTO (circa 1 minuto) Benvenuti al Purple Technical Briefing. Sono il vostro ospite per l'episodio di oggi e approfondiremo un argomento che si colloca all'intersezione tra le operazioni di rete e la governance della sicurezza delle informazioni: il guest WiFi e la conformità allo standard ISO 27001. Se siete IT manager, network architect o lead auditor ISO 27001 presso un gruppo alberghiero, una catena retail, uno stadio o un'organizzazione del settore pubblico, questo episodio è pensato per voi. Non spiegheremo la norma ISO 27001 da zero — conoscete già lo standard. Quello che faremo è fornirvi una mappa precisa e pratica di come la vostra implementazione del guest WiFi si inserisce nel vostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS), quali controlli si applicano, cosa deve documentare la vostra valutazione dei rischi e, soprattutto, quali prove dovete produrre quando l'auditor si presenterà alla porta. Il guest WiFi è una di quelle aree che le organizzazioni sottovalutano costantemente dal punto di vista della conformità. Sembra un servizio banale — colleghi alcuni access point, distribuisci una password e il gioco è fatto. Ma dal punto di vista dell'ISMS, si tratta di un asset informativo attivo che tocca il perimetro della vostra rete, le relazioni con i vostri fornitori, i vostri obblighi di protezione dei dati e la vostra esposizione legale. Analizziamo tutto questo nel dettaglio. --- SEGMENTO 2: APPROFONDIMENTO TECNICO (circa 5 minuti) Iniziamo con la mappatura dei controlli. Lo standard ISO 27001:2022 ha ristrutturato i controlli dell'Annex A, e molti di essi si applicano direttamente al guest WiFi. Il cluster più critico si trova nella sezione Controlli Tecnologici — ovvero la clausola 8 dell'Annex A. Il Controllo A.8.22 — Segregazione delle Reti — rappresenta il vostro requisito fondamentale. Questo controllo impone che i gruppi di servizi informativi, utenti e sistemi siano segregati sulle reti. Per il guest WiFi, questo si traduce direttamente nell'isolamento della VLAN. La vostra rete ospiti deve essere logicamente e, dove opportuno, fisicamente separata dalla rete aziendale, dall'ambiente di elaborazione dei pagamenti e da qualsiasi segmento IoT o di tecnologia operativa. Se un auditor rileva che il traffico degli ospiti può raggiungere condivisioni di file interne o interfacce di gestione, si tratta di una chiara non conformità rispetto al controllo A.8.22. Il Controllo A.8.20 — Sicurezza delle Reti — richiede che le reti siano gestite e controllate per proteggere le informazioni nei sistemi e nelle applicazioni. Per il guest WiFi, ciò significa regole firewall documentate, liste di controllo degli accessi (ACL) e una policy di sicurezza di rete che affronti esplicitamente il segmento ospiti. Dovete essere in grado di mostrare all'auditor un diagramma di rete aggiornato con la VLAN ospiti chiaramente etichettata e il set di regole del firewall che disciplina ciò che quel segmento può e non può raggiungere. Il Controllo A.8.21 — Sicurezza dei Servizi di Rete — si rivolge ai fornitori di servizi di rete terzi. La maggior parte delle organizzazioni che gestiscono un servizio WiFi per gli ospiti utilizza un fornitore di servizi gestiti, una piattaforma di Captive Portal basata su cloud o una soluzione fornita da un ISP. Ognuno di questi rappresenta un rapporto con un fornitore che deve essere regolamentato. Sono necessari accordi sul livello del servizio (SLA) che includano requisiti di sicurezza, nonché prove di revisioni periodiche dei fornitori. È qui che le attestazioni SOC 2 Type II dei fornitori diventano davvero utili — ci torneremo più avanti. Il Controllo A.8.15 — Registrazione degli Eventi — richiede che i log degli eventi siano prodotti, archiviati, protetti e analizzati. Per il WiFi ospiti, ciò significa registrare gli eventi di connessione, i tentativi di autenticazione e i dati di sessione. In questo ambito esiste una tensione con il GDPR e i principi di minimizzazione dei dati, in particolare nel Regno Unito e nell'UE. È necessario registrare quanto basta per soddisfare gli obblighi di monitoraggio della sicurezza, ma non al punto da conservare dati personali oltre il necessario. La politica di logging deve fare esplicito riferimento all'ambito del WiFi ospiti, definire i periodi di conservazione e documentare la base giuridica per tutti i dati personali acquisiti. Il Controllo A.8.23 — Filtraggio Web — richiede che l'accesso ai siti web esterni sia gestito per proteggere i sistemi dalle infezioni da malware e per impedire l'accesso a risorse web non autorizzate. Per il WiFi ospiti, questo significa solitamente implementare un filtraggio basato su DNS o un proxy web cloud che blocchi i domini dannosi noti, le infrastrutture di comando e controllo e, a seconda del settore, le categorie di contenuti inappropriati. Un operatore alberghiero che si rivolge a famiglie ha obblighi di filtraggio diversi rispetto a un centro congressi che ospita delegati aziendali, ma entrambi necessitano di una politica documentata e di prove che il filtraggio sia attivo e periodicamente verificato. Passando ai Controlli Organizzativi — Allegato A clausola 5 — due controlli sono particolarmente rilevanti. Il Controllo A.5.14 — Trasferimento delle Informazioni — disciplina le regole, le procedure e i controlli per il trasferimento delle informazioni. Se gli ospiti utilizzano la rete per trasferire file, accedere a servizi cloud o svolgere attività commerciali, è necessaria una Politica di Utilizzo Accettabile (AUP) che venga presentata al momento dell'autenticazione — in genere tramite il Captive Portal — e accettata prima che venga concesso l'accesso. Tale evento di accettazione deve essere registrato come prova. Il Controllo A.5.31 — Requisiti Legali, Statutari, Regolamentari e Contrattuali — richiede di identificare e documentare tutti gli obblighi legali e normativi pertinenti. Per il WiFi ospiti, questo include il GDPR o il GDPR del Regno Unito se si acquisiscono dati personali al momento dell'autenticazione, l'Investigatory Powers Act se ci si trova nel Regno Unito e potrebbe essere richiesto di conservare i dati sulle comunicazioni, e normative specifiche di settore come il PCI DSS se la rete ospiti rientra nell'ambito dei dati dei titolari di carta di credito. Ora, la valutazione dei rischi. La norma ISO 27001 è uno standard basato sul rischio, il che significa che non è possibile limitarsi a implementare i controlli e ritenere il lavoro concluso. È necessario documentare una valutazione formale dei rischi per l'asset del guest WiFi. Tale valutazione deve identificare le minacce: accesso non autorizzato ai sistemi interni, propagazione di malware dai dispositivi degli ospiti, intercettazione dei dati sul mezzo wireless, denial of service e danni d'immagine derivanti dall'uso improprio della rete. Per ciascuna minaccia, si valutano la probabilità e l'impatto, si stabilisce il trattamento del rischio — che si tratti di mitigare, accettare, trasferire o evitare — e si documenta il rischio residuo. La Dichiarazione di Applicabilità deve fare riferimento alla valutazione dei rischi del guest WiFi come giustificazione per l'inclusione o l'esclusione di specifici controlli dell'Annex A. Parliamo di WPA3 e degli standard di autenticazione. Le generazioni di hardware WiFi IEEE 802.11ax e 802.11be supportano il WPA3, che fornisce la Simultaneous Authentication of Equals — SAE — in sostituzione del vecchio handshake Pre-Shared Key. Per una rete ospiti in cui si utilizza una passphrase condivisa, WPA3-Personal con SAE garantisce la forward secrecy, il che significa che anche se la passphrase viene compromessa, il traffico delle sessioni storiche non può essere decifrato. Per le implementazioni enterprise in cui si desidera un'autenticazione per singolo utente, WPA3-Enterprise con IEEE 802.1X e EAP-TLS fornisce un'autenticazione basata su certificati che si mappa direttamente sui controlli di gestione delle identità della norma ISO 27001. La scelta tra questi due modelli dipende dal bacino di utenti e dalla tolleranza alla complessità operativa. Ora, le attestazioni SOC 2 dei fornitori. Se utilizzate una piattaforma guest WiFi gestita in cloud — come fa la maggior parte delle organizzazioni — il report SOC 2 Type II di tale fornitore è un elemento critico per le vostre prove di assurance sui fornitori. Un report SOC 2 Type II copre i Trust Services Criteria: Sicurezza, Disponibilità, Integrità del Trattamento, Riservatezza e Privacy, nell'arco di un periodo di audit che va tipicamente da sei a dodici mesi. Quando create il vostro fascicolo di assurance sui fornitori per la ISO 27001, il report SOC 2 Type II del fornitore, combinato con un questionario sulla sicurezza del fornitore compilato e un accordo sul trattamento dei dati, vi fornisce un pacchetto di prove difendibile per il controllo A.8.21. Purple, ad esempio, vanta un allineamento SOC 2 che supporta direttamente questo requisito ISMS a valle — il che significa che potete fare riferimento alla loro attestazione nelle vostre prove di audit anziché condurre una valutazione di sicurezza personalizzata e completa della piattaforma. --- SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE ED ERRORI COMUNI (circa 2 minuti) Permettetemi di illustrarvi le quattro decisioni di implementazione che la maggior parte delle organizzazioni sbaglia. Primo: l'estensione incontrollata dello scopo (scope creep) nella valutazione dei rischi. Le organizzazioni tendono a definire lo scopo del WiFi per gli ospiti in modo troppo ristretto — considerandolo fuori portata perché destinato solo ai visitatori — o troppo ampio, tentando di applicare ogni controllo possibile a prescindere dalla sua pertinenza. L'approccio corretto consiste nel definirlo come una risorsa informativa inclusa nello scopo dell'ISMS, condurre una valutazione dei rischi proporzionata e documentare la logica di selezione dei controlli nella Dichiarazione di Applicabilità. Secondo: un'inadeguata segmentazione della rete. Ho visto VLAN per gli ospiti tecnicamente separate ma che condividevano una zona firewall con i sistemi interni, o in cui l'interfaccia di gestione del controller wireless era accessibile dal segmento ospiti. La segmentazione deve essere verificata con un penetration test o, come minimo, con una revisione degli accessi di rete, e tale verifica deve essere documentata come evidenza di audit. Terzo: ignorare il Captive Portal come meccanismo di controllo degli accessi. Il Captive Portal non è solo un esercizio di branding. È il punto in cui presentate la vostra Politica di Utilizzo Accettabile, ottenete il consenso al trattamento dei dati e create il registro di autenticazione che funge da evidenza per molteplici controlli ISO 27001. Se il vostro Captive Portal non registra gli eventi di accettazione con timestamp e identificatori di sessione, avete una lacuna che un auditor individuerà. Quarto: considerare la valutazione dei fornitori come un'attività una tantum. I report SOC 2 scadono. I contratti con gli ISP cambiano. I termini di servizio delle piattaforme cloud vengono aggiornati. Il vostro programma di valutazione dei fornitori deve includere una revisione annuale delle attestazioni di sicurezza dei vendor, e tale revisione deve essere documentata. Impostate un promemoria sul calendario per la scadenza del periodo del report SOC 2 di ciascun fornitore e richiedete il report aggiornato in modo proattivo. Sulla questione dei timeout di sessione: la norma ISO 27001 non prescrive valori di timeout specifici, ma la vostra valutazione dei rischi dovrebbe documentare la logica alla base di qualsiasi valore scelto. Un timeout di sessione di otto ore è comune nel settore dell'ospitalità, ma un centro congressi che ospita un evento di un giorno potrebbe impostare un timeout più breve per garantire che le credenziali non vengano condivise tra i partecipanti. Il principio chiave è che la politica di timeout sia documentata, giustificata dal rischio e implementata in modo coerente. La piattaforma di Purple, ad esempio, consente di configurare e applicare centralmente le politiche di timeout di sessione, con la possibilità di esportare lo stato della configurazione come evidenza di audit. --- SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Passiamo in rassegna le domande che ricevo più frequentemente dai responsabili IT che si preparano alla certificazione ISO 27001. Il WiFi per gli ospiti deve essere incluso nello scopo del nostro ISMS? Se elabora, memorizza o trasmette informazioni che rientrano nello scopo del vostro ISMS, sì. Se gli ospiti si autenticano utilizzando dati personali, o se la rete si connette a sistemi inclusi nello scopo, deve essere incluso. Possiamo escludere il WiFi ospiti dalla Dichiarazione di Applicabilità? È possibile escludere dei controlli, ma è necessario documentarne la giustificazione. Escludere il controllo A.8.22 (Segregazione delle reti) per un'implementazione WiFi ospiti richiederebbe un'argomentazione molto convincente che difficilmente l'auditor accetterà. Qual è il pacchetto minimo di prove valide per un audit sul WiFi ospiti? Un diagramma di rete che mostri la segregazione delle VLAN, il set di regole del firewall, la configurazione del Captive Portal con il testo della politica di utilizzo accettabile, un campione dei log di autenticazione, la voce nel registro dei rischi e il report SOC 2 del fornitore o un documento di garanzia equivalente. In che modo il GDPR interagisce con la norma ISO 27001 per il WiFi ospiti? Il GDPR è un requisito legale che confluisce nel controllo A.5.31. L'informativa sulla privacy, l'accordo sul trattamento dei dati con il fornitore della piattaforma WiFi e la politica di conservazione dei dati sono tutti elementi di prova per la ISO 27001, oltre a essere artefatti di conformità al GDPR. Svolgono una duplice funzione. --- SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI (circa 1 minuto) Per riassumere: il WiFi ospiti non è una questione marginale per il vostro ISMS, bensì un confine di rete attivo con un'esposizione reale al rischio e un set chiaro di controlli ISO 27001:2022 applicabili. I controlli più importanti sono A.8.22 per la segregazione delle reti, A.8.20 per la gestione della sicurezza delle reti, A.8.21 per la garanzia dei fornitori, A.8.15 per la registrazione dei log, A.8.23 per il filtraggio web, A.5.14 per l'utilizzo accettabile e A.5.31 per la conformità legale. I vostri prossimi passi immediati: in primo luogo, confermare che il WiFi ospiti sia esplicitamente incluso nella dichiarazione di scopo del vostro ISMS. In secondo luogo, aggiungere una voce relativa al WiFi ospiti nel registro dei rischi, con minacce documentate, probabilità, impatto e decisioni di trattamento. In terzo luogo, creare il pacchetto di prove: diagramma di rete, regole del firewall, configurazione del Captive Portal, politica di logging e report SOC 2 del fornitore. In quarto luogo, pianificare una revisione annuale della garanzia del fornitore per il provider della piattaforma WiFi. Se state implementando o aggiornando la vostra infrastruttura WiFi ospiti, la piattaforma di Purple è progettata tenendo conto di questi requisiti di conformità: è allineata allo standard SOC 2, con una gestione centralizzata delle politiche e prove di configurazione esportabili che confluiscono direttamente nella documentazione del vostro ISMS. Grazie per aver partecipato al Purple Technical Briefing. Per la guida scritta completa, i diagrammi di architettura e gli esempi pratici, visitate il centro risorse Purple. Alla prossima.