ISO/IEC 27001 – Sistemi di gestione della sicurezza delle informazioni

ISO/IEC 27001 è lo standard più conosciuto al mondo per i sistemi di gestione della sicurezza delle informazioni (SGSI) .

Lo standard ISO/IEC 27001 definisce in dettaglio i requisiti che un SGSI deve soddisfare e fornisce alle aziende e organizzazioni di qualsiasi dimensione e di tutti i settori di attività una guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni, con lo scopo di aiutare le stesse aziende e organizzazioni a rendere più sicure le risorse informative in loro possesso.

Con l’aumento della criminalità informatica e l’ emergere costante di nuove minacce , può sembrare difficile o addirittura impossibile gestire i rischi informatici. Lo standard ISO/IEC 27001 aiuta le organizzazioni a diventare consapevoli dei rischi ea identificare e affrontare in modo proattivo i punti deboli.

L’ abbreviazione ufficiale dello standard internazionale sui requisiti per la gestione della sicurezza delle informazioni è ISO/IEC 27001 . Questo perché è stato pubblicato congiuntamente dall’ Organizzazione internazionale per la normazione (ISO) e dalla Commissione Elettrotecnica Internazionale (IEC) .

La dicitura attuale esatta e completa della norma, giunta il 25 ottobre 2022 alla sua 3^ edizione, è ISO/IEC 27001:2022 (titolo inglese: “ Sicurezza delle informazioni, cybersicurezza e protezione della privacy – Sistemi di gestione della sicurezza delle informazioni – Requisiti ” ).

Se un’organizzazione o un’azienda è conforme alla norma ISO/IEC 27001 significa che essa ha messo in atto un sistema per gestire i rischi relativi alla sicurezza dei dati posseduti o gestiti dall’organizzazione o azienda medesima e che questo sistema rispetta tutte le migliori pratiche ei principi sanciti in questo standard internazionale.

La norma ISO/IEC 27001 sottolinea l’importanza di identificare e valutare i rischi per la sicurezza delle informazioni. Le organizzazioni sono aziende che implementano processi di gestione del rischio per identificare potenziali minacce, valutarne l’impatto e sviluppare strategie di mitigazione adeguate.

La norma ISO/IEC 27001 promuove un approccio “olistico” alla sicurezza delle informazioni: controllo delle persone, delle politiche e della tecnologia. Un sistema di gestione della sicurezza delle informazioni implementato secondo questo standard è uno strumento per la gestione del rischio , la resilienza informatica e l’ eccellenza operativa.

Al giorno d’oggi, il furto di dati, la criminalità informatica e la responsabilità per la perdita di dati riservati sono rischi di cui tutte le organizzazioni devono tenere conto. Qualsiasi azienda deve pensare in modo strategico alle proprie esigenze di sicurezza delle informazioni e al modo in cui si collegano ai propri obiettivi, processi, dimensioni e struttura. Lo standard ISO/IEC 27001 consente alle organizzazioni di istituire un sistema di gestione della sicurezza delle informazioni e di applicare un processo di gestione del rischio adattato alle loro dimensioni e alle loro esigenze , calibrandolo, secondo necessità, sull’evoluzione di questi fattori.

Sebbene l’informatica (IT) sia il settore con il maggior numero di imprese certificate ISO/IEC 27001 (quasi 1/5 di tutti i certificati ISO/IEC 27001 validi secondo l’ISO Survey 2021), i vantaggi di questo standard hanno interessato e convinto le aziende in tutti i settori economici di produzione di beni materiali e immateriali – tanto quello dei servizi (terziario) e della manifattura (secondario), quanto quello delle materie prime (primario): organizzazioni private, pubbliche e senza scopo di lucro, commerciali e industriali, finanza e assicurazioni, telecomunicazioni, servizi di trasporto e di comunicazione, enti governativi e Pubblica Amministrazione).

Le aziende che adottano l’approccio globalistico descritto nella norma ISO/IEC 27001 sono in grado di garantire che la sicurezza delle informazioni sia integrata nei processi organizzativi, nei sistemi informativi e nei controlli di gestione. Guadagnano in efficienza e spesso emergono come leader nei rispettivi settori .

L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001 ed il Risk management , basandosi sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo .

Infatti, ottenere la conformità allo standard ISO/IEC 27001 non è un risultato una tantum; piuttosto, richiede miglioramento e manutenzione continua. Le organizzazioni devono rivedere e aggiornare periodicamente il proprio ISMS per adattarsi ai mutevoli rischi, tecnologia e requisiti normativi.

Audit interni e riesami della direzione regolare sono essenziali per garantire l’efficacia e la pertinenza dell’ISMS.

Vantaggi

L’implementazione del quadro di sicurezza delle informazioni specifiche nello standard ISO/IEC 27001 aiuta le aziende e le organizzazioni a:

• ridurre la vulnerabilità alla crescente minaccia di attacchi informatici ;
• rispondere all’evoluzione dei rischi per la sicurezza ;
• garantire che risorse quali rendiconti finanziari, proprietà intellettuale, dati dei dipendenti e informazioni affidate da terzi rimangano intatte, riservate e disponibili secondo necessità;
• fornire un quadro di riferimento gestito centralmente che protegge tutte le informazioni in un unico luogo;
• preparare le persone, i processi e la tecnologia dell’intera organizzazione ad affrontare i rischi basati sulla tecnologia e altre minacce;
• proteggere le informazioni in tutte le forme , compresi i dati cartacei, basati su cloud e digitali;
• risparmiare denaro aumentando l’efficienza e riducendo le spese per tecnologie di difesa inefficaci.

I tre principi della sicurezza delle informazioni (triade CIA)

1. Riservatezza (Riservatezza)

→ Significato: solo le persone giuste possono accedere alle informazioni detenute dall’organizzazione.

Esempio di rischio: i criminali si impadroniscono dei dati di accesso dei vostri clienti e li vendono nella Darknet.

2. Integrità (Integrità)

→ Significato: i dati che l’organizzazione utilizza per garantire la propria attività o che tiene al sicuro per gli altri vengono archiviati in modo affidabile e non vengono cancellati o danneggiati.

Esempio di rischio: un membro dello staff elimina accidentalmente una riga in un file durante l’elaborazione.

3. Disponibilità (Disponibilità)

→ Significato: l’organizzazione ei suoi clienti possono accedere alle informazioni ogni volta che è necessario affinché gli scopi aziendali e le aspettative dei clienti siano soddisfatti.

Esempio di rischio: il database aziendale è offline a causa di problemi del server e backup insufficiente.

Un sistema di gestione della sicurezza delle informazioni che soddisfa i requisiti della norma ISO/IEC 27001 preserva la riservatezza, l’integrità e la disponibilità delle informazioni applicando un processo di gestione del rischio e dà fiducia alle parti interessate che i rischi sono adeguatamente gestiti.

La certificazione ISO 27001

La certificazione ISO/IEC 27001 è un modo per dimostrare alle parti interessate e ai clienti che un’azienda o un’organizzazione è impegnata e in grado di gestire le informazioni in modo sicuro e protetto . Possedere un certificato emesso da un organismo di accreditamento può apportare un ulteriore livello di fiducia, dato che un organismo di accreditamento ha fornito una conferma indipendente della competenza dell’organismo di certificazione.

Come per altri standard di sistemi di gestione ISO, le organizzazioni che implementano uno standard ISO/IEC 27001 possono decidere se vogliono sottoporsi a un processo di certificazione , dopo aver completato con successo un audit condotto da un organismo di certificazione accreditato . Alcune organizzazioni scelgono di implementare lo standard per beneficiare delle migliori pratiche in esso contenute, mentre altre vogliono anche ottenere la certificazione per rassicurare clienti e committenti .

La certificazione ISO/IEC 27001 è ampiamente utilizzata in tutto il mondo. Secondo l’ISO Survey 2021, sono stati segnalati oltre 50.000 certificati in più di 140 paesi e da tutti i settori economici, spaziando dall’agricoltura alla produzione fino ai servizi sociali.

Processo di certificazione ISO/IEC 27001

L’ottenimento della certificazione ISO/IEC 27001 prevede una serie di passaggi ben definiti:

1. Osservazione/esame preliminare ( scoping): le organizzazioni determinano l’ambito del proprio SGSI, definendo i confini e le risorse che lo stesso SGSI deve coprire.
2. Valutazione del rischio : viene condotta una valutazione del rischio per identificare e valutare i rischi per la sicurezza delle informazioni, garantendo che siano implementati controlli adeguati per gestire tali rischi in modo efficace.
3. Analisi delle lacune (gap analysis): un’analisi delle carenze del SGSI in atto confronta le pratiche di sicurezza delle informazioni esistenti dell’organizzazione con i requisiti della norma ISO/IEC 27001 per identificare le aree di miglioramento.
4. Implementazione e sviluppo SGSI: sulla base dei risultati della valutazione del rischio e dell’analisi delle lacune, l’organizzazione sviluppa e implementa il proprio SGSI, incorporando i necessari controlli di sicurezza.
5. Audit interni: vengono condotti audit interni per valutare l’efficacia e la conformità dell’SGSI implementato con lo standard ISO/IEC 27001.
6. Audit di certificazione: l’organizzazione viene sottoposta a una verifica volta all’ottenimento di una certificazione indipendente da parte di un organismo di certificazione accreditato per valutare la conformità del proprio SGSI alla norma ISO/IEC 27001.
7. Decisione sulla certificazione: se l’audit dimostra la conformità, all’organizzazione viene assegnata la certificazione ISO/IEC 27001

Vantaggi della certificazione ISO/IEC 27001

Il conseguimento della certificazione ISO/IEC 27001 offre numerosi vantaggi alle organizzazioni, tra cui:

• Miglioramento della posizione relativa alla sicurezza delle informazioni : la certificazione ISO/IEC 27001 dimostra l’impegno verso solide pratiche di sicurezza delle informazioni, rafforzando la capacità dell’organizzazione di proteggere dati e risorse riservate.
• Costruire la fiducia con clienti e parti interessate : la certificazione infonde fiducia in clienti, partner e parti interessate, garantendo loro che le loro informazioni siano gestite con la massima cura e sicurezza.
• Soddisfazione dei requisiti normativi e legali : la certificazione ISO/IEC 27001 aiuta a rispettare varie normative sulla protezione dei dati e sulla privacy, come il Regolamento generale sulla protezione dei dati (GDPR) nell’Unione Europea.
• Vantaggio competitivo : le organizzazioni con certificazione ISO/IEC 27001 ottengono un vantaggio competitivo rispetto ai concorrenti, soprattutto quando partecipano a gare d’appalto o fanno offerte per progetti che richiedono rigorose misure di sicurezza.
• Mitigazione del rischio: implementando un approccio basato sul rischio alla sicurezza delle informazioni, le organizzazioni possono identificare e mitigare in modo proattivo le potenziali minacce, riducendo la probabilità di incidenti di sicurezza.
• Preparazione alla risposta agli incidenti : i controlli di gestione degli incidenti previsti dallo standard garantiscono che le organizzazioni siano ben preparate a gestire gli incidenti di sicurezza in modo tempestivo ed efficiente, minimizzandone preventivamente l’impatto.

Fonti principali:

• ISO (Organizzazione internazionale per la standardizzazione), https://www.iso.org
• Wikipedia, https://en.wikipedia.org/