Lo standard ISO/IEC 27001

Lo standard ISO/IEC 27001 è la norma internazionale, di cui è certificabile la applicazione, che definisce i requisiti che deve possedere un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).

Essa è stata progettata per fornire linee guida idonee alla realizzazione di un sistema di controlli di sicurezza adeguati e proporzionati sul patrimonio di informazioni presenti in una azienda.

L’adozione di un sistema di gestione per la sicurezza delle informazioni aziendali è il migliore strumento che l’azienda può adottare per proteggere le proprie informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.

Il sistema di protezione prende in considerazione anche i nuovi tipi di minacce e di contromisure (ad esempio protezione da attacchi APT), tenendo a mente i possibili rischi nell’uso di nuove tecnologie, tra cui gli algoritmi di apprendimento automatico.

La implementazione di un SGSI prevede l’analisi della documentazione presente in azienda, interviste ai dipendenti, l’esame degli specifici aspetti tecnici e organizzativi della protezione dei dati, e delle procedure più critiche per quanto riguarda la gestione controllata delle informazioni aziendali.

Si analizza anche come il servizio IT si occupa della manutenzione della rete aziendale e della gestione del data center.

Si osservano le modalità lavorative dei dipendenti, si verifica se lasciano documenti stampati e dispositivi rimovibili in giro per l’ufficio, se bloccano i computer quando si allontanano, cosa mostrano i loro schermi e le dashboard e quali programmi usano per lavorare.

Si analizza la condotta aziendale in termini di cybersecurity, prestando particolare attenzione alla verifica dei processi di sistema per la gestione della sicurezza informatica: Analisi della sicurezza delle informazioni, gestione dei rischi, gestione degli incidenti, azioni correttive, audit, miglioramento della consapevolezza dei dipendenti in tematiche di cybersecurity, continuità delle attività aziendali.

I punti chiave della norma ISO/IEC 27001 sono:

  • la valutazione dei rischi coerentemente al contesto di riferimento;
  • il concetto di informazione (o risorsa informativa) con relativa valorizzazione;
  • gli aspetti economico-finanziari inerenti la Sicurezza delle Informazioni;
  • l’aspetto organizzativo (e non solo tecnologico) della Sicurezza delle Informazioni;
  • l’efficacia del SGSI e delle contromisure adottate per trattare i rischi.

Di fondamentale importanza è l’Annex Control objectives and controls che contiene i 133 controlli a cui l’organizzazione che intende applicare la norma deve attenersi.
Essi riguardano tra l’altro:

  • la politica e l’organizzazione per la sicurezza delle informazioni
  • la sicurezza delle risorse umane
  • la gestione degli asset
  • il controllo degli accessi logici
  • la crittografia
  • la sicurezza fisica e ambientale
  • la sicurezza delle attività operative
  • la sicurezza delle comunicazioni
  • la gestione della sicurezza applicativa
  • la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
  • il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
  • la gestione della Business Continuity
  • il rispetto normativo

La gestione della continuità operativa e il rispetto normativo, completano l’;elenco degli obiettivi di controllo.
I più evidenti vantaggi che può offrire ad una organizzazione la adozione di un sistema di gestione per la sicurezza delle informazioni (SGSI) sono:

  • soddisfare i requisiti contrattuali dei propri clienti per quanto riguarda la sicurezza delle loro informazioni
  • identificare, valutare e gestire i rischi dell’organizzazione, formalizzando al tempo stesso i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni
  • dimostrare l’osservanza delle leggi e normative applicabili
  • dimostrare l’impegno direzionale per garantire la sicurezza delle informazioni
  • garantire il monitoraggio delle prestazioni aziendali e attivare le azioni di miglioramento necessarie.