ISO/IEC 27001

Lo standard ISO/IEC 27001 è la norma internazionale, di cui è certificabile la applicazione, che definisce i requisiti che deve possedere un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).

Essa è stata progettata per fornire linee guida idonee alla realizzazione di un sistema di controlli di sicurezza adeguati e proporzionati sul patrimonio di informazioni presenti in una azienda.

L’adozione di un sistema di gestione per la sicurezza delle informazioni aziendali è il migliore strumento che l’azienda può adottare per proteggere le proprie informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.

Il sistema di protezione prende in considerazione anche i nuovi tipi di minacce e di contromisure (ad esempio protezione da attacchi APT), tenendo a mente i possibili rischi nell’uso di nuove tecnologie, tra cui gli algoritmi di apprendimento automatico.

La implementazione di un SGSI prevede l’analisi della documentazione presente in azienda, interviste ai dipendenti, l’esame degli specifici aspetti tecnici e organizzativi della protezione dei dati, e delle procedure più critiche per quanto riguarda la gestione controllata delle informazioni aziendali.

Si analizza anche come il servizio IT si occupa della manutenzione della rete aziendale e della gestione del data center.

Si osservano le modalità lavorative dei dipendenti, si verifica se lasciano documenti stampati e dispositivi rimovibili in giro per l’ufficio, se bloccano i computer quando si allontanano, cosa mostrano i loro schermi e le dashboard e quali programmi usano per lavorare.

Si analizza la condotta aziendale in termini di cybersecurity, prestando particolare attenzione alla verifica dei processi di sistema per la gestione della sicurezza informatica: Analisi della sicurezza delle informazioni, gestione dei rischi, gestione degli incidenti, azioni correttive, audit, miglioramento della consapevolezza dei dipendenti in tematiche di cybersecurity, continuità delle attività aziendali.

PUNTI CHIAVE

I punti chiave della norma ISO/IEC 27001 sono:

Di fondamentale importanza è l’Annex Control objectives and controls che contiene i 133 controlli a cui l’organizzazione che intende applicare la norma deve attenersi. Essi riguardano tra l’altro:

Perché certificarsi ISO 27001?

I vantaggi che una certificazione ISO 27001 può apportare ad un’azienda sono numerosi, sia diretti che indiretti:
  • Protezione degli asset strategici dell’azienda
  • Mappatura della struttura del proprio sistema informativo
  • Riduzione e gestione dei rischi individuando le criticità, attraverso l’analisi dei rischi, ed introducendo azioni volte al miglioramento continuo.
  • Riduzione dei costi, attraverso la riduzione dei punti deboli e degli incidenti.
  • Miglioramento dell’efficienza dei processi e degli investimenti a livello informatico.
  • Dotarsi di un efficace strumento per garantire la propria conformità ai regolamenti e alle normative in vigore (ad es. GDPR).
  • Riduzione dei costi assicurativi.
  • Incrementare la consapevolezza verso la sicurezza e delle responsabilità del personale.
  • Miglioramento dell’immagine aziendale nei confronti dei partner, delle autorità e della comunità.
  • Aumento della fiducia da parte dei clienti dimostrando l’assunzione di responsabilità verso la protezione delle informazioni sensibili del cliente
  • Garantire la continuità operativa dei servizi erogati alla propria clientela/utenza, anche in caso di incidente.

Come funziona la certificazione ISO 27001?

Potrete far certificare il vostro sistema di gestione una volta che tutti i requisiti della ISO 27001 saranno stati implementati. UESE ITALIA vi sottoporrà ad un processo di certificazione in più fasi. Se l’azienda possiede già un sistema di gestione certificato, il processo può essere abbreviato.

Nella prima fase, è necessario fornirci informazioni sulla vostra azienda e sugli obiettivi della certificazione ISO 27001. Dopodiché, riceverete un’offerta dettagliata su misura per le esigenze specifiche della vostra azienda.

Una pianificazione del progetto può essere utile per i progetti più grandi, ad esempio per coordinare meglio la pianificazione e lo svolgimento degli audit in più sedi o settori. Il pre-audit vi offre l’opportunità di identificare in anticipo i punti di forza ed il potenziale di miglioramento del vostro sistema di gestione. Entrambe i servizi sono facoltativi.

L’audit di certificazione inizia con l’analisi del sistema e con la valutazione del vostro ISMS (audit di Stage 1). In questa fase, il vostro auditor determina se il vostro sistema di gestione è sufficientemente sviluppato e pronto per la certificazione.

Nella fase successiva (audit di Stage 2), il vostro auditor valuta l’efficacia di tutti i processi di gestione sul sito, applicando lo standard ISO 27001. Il risultato dell’audit viene presentato in un meeting finale. Se necessario, vengono concordati dei piani di azione.

Dopo l’audit di certificazione, i risultati vengono valutati dal comitato di certificazione indipendente di UESE ITALIA. Se tutti i requisiti standard sono soddisfatti, riceverete il certificato ISO 27001.

Dopo aver ottenuto la certificazione, allo scopo di garantire il miglioramento continuo, gli elementi chiave del vostro ISMS vengono sottoposti ad un nuovo audit sul posto almeno una volta all’anno.

Il certificato ISO 27001 è valido per un massimo di tre anni. La ricertificazione viene eseguita in tempo utile prima della scadenza per garantire la continua conformità ai requisiti della norma applicabile. In caso di conformità, viene rilasciato un nuovo certificato.

Vantaggi

La gestione della continuità operativa e il rispetto normativo, completano l’;elenco degli obiettivi di controllo.
I più evidenti vantaggi che può offrire ad una organizzazione la adozione di un sistema di gestione per la sicurezza delle informazioni (SGSI) sono:

Cosa succede se ottieni la certificazione ISO 27001?

Riduci il rischio penale

Sai che il soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente e può essere chiamato a rispondere civilmente per il risarcimento del danno?

Se ottieni la ISO 27001 (per la sicurezza delle informazioni e dei dati in ufficio) e/o il modello Dlgs 231/01 (contro la responsabilità amministrativa degli enti) riduci i rischi aziendali.

Risparmi soldi

Quanto ti costa il fermo azienda?

Evita perdite di denaro e metti al sicuro tutte le tue risorse informatiche, evitando anche sanzioni pecuniarie salate.

Migliori la tua reputazione

Dimostri ai clienti, ai fornitori e agli stakeholders che la sicurezza per te è una priorità assoluta.

Ti difendi dagli attacchi informatici

La tua azienda potrà difendersi dagli attacchi informatici e dall’eventuale perdita di dati mantenendo al sicuro tutte le tue risorse informatiche.

Aggiornamento ISO/IEC 27001:2022

Introduce concetti di cybersecurity e di protezione dei dati personali.

E’ un ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR.

Del resto, tra i controlli della norma sono stati sempre presenti alcuni dedicati esplicitamente alla protezione dei dati personali sia in modo diretto che indiretto.

Qualsiasi organizzazione intenda dotarsi di un sistema per la sicurezza delle informazioni, prevede 93 controlli distinti in 4 nuove categorie:

  • A.5 – Controlli organizzativi;
  • A.6 – Controlli fisici;
  • A.7 – Personale;
  • A.8 – Controlli tecnologici.

rispetto alle precedenti 14. Ognuno dei 93 controlli è associato a 5 attributi:

  • Tipo di controllo;
  • Proprietà di sicurezza delle informazioni;
  • Concetti di sicurezza informatica (cybersecuruty);
  • Capacità operative;
  • Dominio di sicurezza.

ed è etichettato (ISO/IEC 27002:2022) in base al tipo (prevenire, rilevare, correggere), alle proprietà (riservatezza, integrità, disponibilità) e alle linee guida per lo sviluppo di un framework per la cybersecurity (ISO IEC 27110) su cui si fonda il NIST (Identificare, proteggere, rilevare, rispondere, recuperare).