ISO 27001, CHE COS’È ?
La certificazione è un processo volontario ed indica alle aziende come strutturarsi per gestire le persone, i processi e la tecnologia per garantire la riservatezza, la disponibilità e l’integrità delle informazioni digitali utilizzate.
La norma 27001 richiede alle aziende di identificare i rischi per la sicurezza delle informazioni digitali per il proprio sistema ed i controlli corrispondenti per gestirli.
Lo standard ISO/IEC 27001 è la norma internazionale, di cui è certificabile la applicazione, che definisce i requisiti che deve possedere un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
Essa è stata progettata per fornire linee guida idonee alla realizzazione di un sistema di controlli di sicurezza adeguati e proporzionati sul patrimonio di informazioni presenti in una azienda.
L’adozione di un sistema di gestione per la sicurezza delle informazioni aziendali è il migliore strumento che l’azienda può adottare per proteggere le proprie informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.
Il sistema di protezione prende in considerazione anche i nuovi tipi di minacce e di contromisure (ad esempio protezione da attacchi APT), tenendo a mente i possibili rischi nell’uso di nuove tecnologie, tra cui gli algoritmi di apprendimento automatico.
La implementazione di un SGSI prevede l’analisi della documentazione presente in azienda, interviste ai dipendenti, l’esame degli specifici aspetti tecnici e organizzativi della protezione dei dati, e delle procedure più critiche per quanto riguarda la gestione controllata delle informazioni aziendali.
Si analizza anche come il servizio IT si occupa della manutenzione della rete aziendale e della gestione del data center.
Si osservano le modalità lavorative dei dipendenti, si verifica se lasciano documenti stampati e dispositivi rimovibili in giro per l’ufficio, se bloccano i computer quando si allontanano, cosa mostrano i loro schermi e le dashboard e quali programmi usano per lavorare.
Si analizza la condotta aziendale in termini di cybersecurity, prestando particolare attenzione alla verifica dei processi di sistema per la gestione della sicurezza informatica: Analisi della sicurezza delle informazioni, gestione dei rischi, gestione degli incidenti, azioni correttive, audit, miglioramento della consapevolezza dei dipendenti in tematiche di cybersecurity, continuità delle attività aziendali.
PUNTI CHIAVE
I punti chiave della norma ISO/IEC 27001 sono:
la valutazione dei rischi coerentemente al contesto di riferimento;
il concetto di informazione (o risorsa informativa) con relativa valorizzazione;
gli aspetti economico-finanziari inerenti la Sicurezza delle Informazioni;
l’aspetto organizzativo (e non solo tecnologico) della Sicurezza delle Informazioni;
l’efficacia del SGSI e delle contromisure adottate per trattare i rischi.
Di fondamentale importanza è l’Annex Control objectives and controls che contiene i 133 controlli a cui l’organizzazione che intende applicare la norma deve attenersi. Essi riguardano tra l’altro:
la politica e l’organizzazione per la sicurezza delle informazioni
la sicurezza delle risorse umane
la gestione degli asset
il controllo degli accessi logici
la crittografia
la sicurezza fisica e ambientale,la sicurezza delle attività operative, la sicurezza delle comunicazioni e la gestione della sicurezza applicativa
la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
la gestione della Business Continuity
il rispetto normativo
Perché certificarsi ISO 27001?
I vantaggi che una certificazione ISO 27001 può apportare ad un’azienda sono numerosi, sia diretti che indiretti:
- Protezione degli asset strategici dell’azienda
- Mappatura della struttura del proprio sistema informativo
- Riduzione e gestione dei rischi individuando le criticità, attraverso l’analisi dei rischi, ed introducendo azioni volte al miglioramento continuo.
- Riduzione dei costi, attraverso la riduzione dei punti deboli e degli incidenti.
- Miglioramento dell’efficienza dei processi e degli investimenti a livello informatico.
- Dotarsi di un efficace strumento per garantire la propria conformità ai regolamenti e alle normative in vigore (ad es. GDPR).
- Riduzione dei costi assicurativi.
- Incrementare la consapevolezza verso la sicurezza e delle responsabilità del personale.
- Miglioramento dell’immagine aziendale nei confronti dei partner, delle autorità e della comunità.
- Aumento della fiducia da parte dei clienti dimostrando l’assunzione di responsabilità verso la protezione delle informazioni sensibili del cliente
- Garantire la continuità operativa dei servizi erogati alla propria clientela/utenza, anche in caso di incidente.
Come funziona la certificazione ISO 27001?
Potrete far certificare il vostro sistema di gestione una volta che tutti i requisiti della ISO 27001 saranno stati implementati. UESE ITALIA vi sottoporrà ad un processo di certificazione in più fasi. Se l’azienda possiede già un sistema di gestione certificato, il processo può essere abbreviato.
Nella prima fase, è necessario fornirci informazioni sulla vostra azienda e sugli obiettivi della certificazione ISO 27001. Dopodiché, riceverete un’offerta dettagliata su misura per le esigenze specifiche della vostra azienda.
Una pianificazione del progetto può essere utile per i progetti più grandi, ad esempio per coordinare meglio la pianificazione e lo svolgimento degli audit in più sedi o settori. Il pre-audit vi offre l’opportunità di identificare in anticipo i punti di forza ed il potenziale di miglioramento del vostro sistema di gestione. Entrambe i servizi sono facoltativi.
L’audit di certificazione inizia con l’analisi del sistema e con la valutazione del vostro ISMS (audit di Stage 1). In questa fase, il vostro auditor determina se il vostro sistema di gestione è sufficientemente sviluppato e pronto per la certificazione.
Nella fase successiva (audit di Stage 2), il vostro auditor valuta l’efficacia di tutti i processi di gestione sul sito, applicando lo standard ISO 27001. Il risultato dell’audit viene presentato in un meeting finale. Se necessario, vengono concordati dei piani di azione.
Dopo l’audit di certificazione, i risultati vengono valutati dal comitato di certificazione indipendente di UESE ITALIA. Se tutti i requisiti standard sono soddisfatti, riceverete il certificato ISO 27001.
Dopo aver ottenuto la certificazione, allo scopo di garantire il miglioramento continuo, gli elementi chiave del vostro ISMS vengono sottoposti ad un nuovo audit sul posto almeno una volta all’anno.
Il certificato ISO 27001 è valido per un massimo di tre anni. La ricertificazione viene eseguita in tempo utile prima della scadenza per garantire la continua conformità ai requisiti della norma applicabile. In caso di conformità, viene rilasciato un nuovo certificato.
Vantaggi
La gestione della continuità operativa e il rispetto normativo, completano l’;elenco degli obiettivi di controllo.
I più evidenti vantaggi che può offrire ad una organizzazione la adozione di un sistema di gestione per la sicurezza delle informazioni (SGSI) sono:
soddisfare i requisiti contrattuali dei propri clienti per quanto riguarda la sicurezza delle loro informazioni
identificare, valutare e gestire i rischi dell’organizzazione, formalizzando al tempo stesso i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni
dimostrare l’osservanza delle leggi e normative applicabili
dimostrare l’impegno direzionale per garantire la sicurezza delle informazioni
garantire il monitoraggio delle prestazioni aziendali e attivare le azioni di miglioramento necessarie.
Quanto costa la certificazione ISO 27001?
I costi per la certificazione secondo la norma ISO 27001 vengono stabiliti, tra gli altri, secondo i seguenti quattro criteri:
1. La complessità del vostro sistema di gestione della sicurezza delle informazioni.
Vengono presi in considerazione i valori critici della vostra azienda (ad esempio i brevetti, i dati personali, le strutture, i processi). Il costo della certificazione si basa principalmente sui requisiti di sicurezza dell’informazione e sulla misura in cui sono interessate la riservatezza, l’integrità e la disponibilità delle informazioni.
2. Il core business della vostra azienda nell’ambito dell’ISMS
A questo punto, soprattutto i rischi associati ai vostri processi aziendali giocano un ruolo importante nel determinare le attività di audit necessarie. I requisiti legali vengono presi in considerazione così come le complesse esigenze individuali dei clienti.
3. Le principali tecnologie e i componenti utilizzati nel vostro ISMS
Durante l’audit vengono esaminati sia la tecnologia che i singoli componenti del vostro ISMS. Tra questi ci sono le piattaforme IT, i server, i database, le applicazioni e i segmenti di rete. La regola di base qui è: più alta è la percentuale di sistemi standard e più bassa è la complessità del vostro IT, minore è lo sforzo. I costi di una certificazione ISO 27001 dipendono anche da questo.
4 La proporzione di sviluppi interni al vostro ISMS
Se non c’è sviluppo interno e si usano principalmente piattaforme software standardizzate, il lavoro da svolgere per ottenere la certificazione è inferiore. Se il vostro ISMS è caratterizzato da un uso intensivo di software sviluppato in proprio e se questo software è usato per le aree centrali del business, anche il lavoro richiesto per la certificazione sarà maggiore.
Per potervi dare una panoramica dei costi per una certificazione ISMS abbiamo bisogno preventivamente di informazioni precise sul vostro modello di business e sull’area di applicazione. In questo modo possiamo fornirvi un’offerta su misura.
- Più di 15 anni di esperienza nella certificazione di sistemi e di processi aziendali
- Auditor con esperienza nel settore ed esperti con conoscenze tecniche approfondite
- Approfondimenti di valore per la vostra azienda
- Certificati con riconoscimento internazionale IAF
- Competenze ed accreditamenti per tutte le norme rilevanti
- Supporto personale e costante da parte dei nostri specialisti – a livello regionale, nazionale e internazionale
- Offerte individuali con termini contrattuali flessibili e nessun costo nascosto
Cosa succede se ottieni la certificazione ISO 27001?
Riduci il rischio penale
Sai che il soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente e può essere chiamato a rispondere civilmente per il risarcimento del danno?
Se ottieni la ISO 27001 (per la sicurezza delle informazioni e dei dati in ufficio) e/o il modello Dlgs 231/01 (contro la responsabilità amministrativa degli enti) riduci i rischi aziendali.
Risparmi soldi
Quanto ti costa il fermo azienda?
Evita perdite di denaro e metti al sicuro tutte le tue risorse informatiche, evitando anche sanzioni pecuniarie salate.
Migliori la tua reputazione
Dimostri ai clienti, ai fornitori e agli stakeholders che la sicurezza per te è una priorità assoluta.
Ti difendi dagli attacchi informatici
La tua azienda potrà difendersi dagli attacchi informatici e dall’eventuale perdita di dati mantenendo al sicuro tutte le tue risorse informatiche.
Aggiornamento ISO/IEC 27001:2022
Introduce concetti di cybersecurity e di protezione dei dati personali.
E’ un ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR.
Del resto, tra i controlli della norma sono stati sempre presenti alcuni dedicati esplicitamente alla protezione dei dati personali sia in modo diretto che indiretto.
Qualsiasi organizzazione intenda dotarsi di un sistema per la sicurezza delle informazioni, prevede 93 controlli distinti in 4 nuove categorie:
- A.5 – Controlli organizzativi;
- A.6 – Controlli fisici;
- A.7 – Personale;
- A.8 – Controlli tecnologici.
rispetto alle precedenti 14. Ognuno dei 93 controlli è associato a 5 attributi:
- Tipo di controllo;
- Proprietà di sicurezza delle informazioni;
- Concetti di sicurezza informatica (cybersecuruty);
- Capacità operative;
- Dominio di sicurezza.
ed è etichettato (ISO/IEC 27002:2022) in base al tipo (prevenire, rilevare, correggere), alle proprietà (riservatezza, integrità, disponibilità) e alle linee guida per lo sviluppo di un framework per la cybersecurity (ISO IEC 27110) su cui si fonda il NIST (Identificare, proteggere, rilevare, rispondere, recuperare).