Consulenza sulla certificazione
UNI-EN-ISO-27001.

Il processo di certificazione ISO 27001 prescrive la conservazione e la difesa delle risorse informative di un’impresa.

L’ ISO 27001 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato.

Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo del nuovo standard ISO 27001 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

ISO/IEC 27001, lo standard più importante legato alla gestione della sicurezza dei dati.

Quando si parla di ISO/IEC 27001 si fa riferimento alla sola norma a livello internazionale, che è oggetto di controlli ed è certificabile, che va a stabilire i requisiti per un sistema di gestione della sicurezza delle informazioni. Lo sviluppo legislativo di tale norma è stato previsto per poter garantire un livello di verifiche di sicurezza che sia sempre proporzionato e adatto allo scopo da raggiungere. Questo standard mira essenzialmente a garantire la massima protezione possibile a tutte le informazioni, dando contemporaneamente fiducia ai vari stakeholder.

Tutte quelle aziende che riescono a ottenere una certificazione accreditata ISO 27001 hanno la possibilità di dimostrare come la propria azienda stia operando nel migliore dei modi, e rispettando le normative più stringenti, per quanto riguarda la sicurezza delle informazioni. Al tempo stesso, va a certificare pure il fatto che viene svolto un controllo di natura indipendente e qualificata in merito al fatto che la gestione della sicurezza dei dati avviene rispettando tutte le pratiche di tutela previste a livello internazionale, ma anche in relazione agli obiettivi che l’azienda ha posto per la sua attività.

Si parla di ISMS per fare riferimento ad un insieme di dati, processi, tecnologie e risorse umano, che favoriscono la gestione, il controllo, la verifica e il miglioramento della sicurezza legata al flusso di informazioni di una determinata azienda, attuando una gestione del rischio che mira ad essere il più efficiente possibile.

Perché è importante ottenere una certificazione ISO 27001?

Il primo vantaggio è indubbiamente quello di riuscire a risparmiare su spese che potrebbero essere messe in conto in futuro. Ad esempio, rispettare questa normativa e quanto prevede permette di evitare ogni tipo di sanzione pecuniaria e tutte quelle perdite economiche che sono all’atto pratica la principale conseguenza di una violazione che ha colpito i vari dati gestiti dall’azienda.

Il secondo vantaggio è quello di rispettare tutti i vari requisiti che sono stati previsti dalla legge. Di conseguenza, va ad allineare il modo di operare di un’azienda con quanto viene previsto a livello normativo e con i requisiti più importanti, come ad esempio quelli imposti dal GDPR privacy.

Applicabilità

La normativa ISO 27001 si caratterizza per essere applicabile praticamente a ogni tipo di impresa privata e pubblica. L’obiettivo della norma è slegato al fatto di appartenere ad un particolare settore economico o dal modo in cui è organizzata un’azienda. È fondamentale mettere in evidenza come sia l’adozione che la gestione di un SGSI (sistema di gestione della sicurezza delle informazioni) comporta un certo dispendio di risorse. Ecco spiegato il motivo per cui, in alcuni casi, c’è la necessità di poter disporre di una serie di risorse qualificate e con determinate competenze, messe a disposizione da un’azienda terza, per poter raggiungere la certificazione ISO 27001.

Se da una parte è vero come ci siano già due standard correlati con il controllo della sicurezza dei dati e delle informazioni (ovvero ISO 27001 e ISO 27002), esiste una specifica norma ISO che fa riferimento a tutti quei servizi denominati di “public cloud”. Un’altra norma molto importante è quella ISO 27018, che è stata introdotta con l’intento di garantire una più ampia protezione dei dati personali e, nello specifico, quelli legati alla perdita del controllo sugli stessi, così come gli eventuali pericoli che sono correlati con la gestione dei dati.

La normativa ISO 27018 è strettamente legata agli standard ISO 27001 e 27002, e mira a garantire il massimo rispetto di regole e norme legate alla privacy per quanto riguarda i providers di public cloud. Uno standard che mira a diventare una vera e propria risposta a tutte quelle discussioni e problema che si formano in merito al controllo e alla diffusione dei dati personali all’interno di sistemi informatici. La norma ISO 27018 va a fare leva su ben sei principi primari. Si tratta del controllo e dell’uso dei dati, della protezione degli stesi, della qualità dei vari servizi cloud proposti, dell’accesso ai dati fornito alle autorità e della validazione di una parte esterna e terza.

Come si ottiene la certificazione ISO 27001

La prima cosa da fare è quella di provvedere all’implementazione di un sistema che possa gestire la sicurezza di tutti quei dati che vengono trasmessi all’interno dell’ambito aziendale. E tale sistema, ovviamente, deve avere la piena conformità rispetto agli standard imposti dalla normativa ISO 27001.

Come deve avvenire l’implementazione del sistema ISMS

Il progetto che riguarda l’implementazione di un tale sistema ISMS comprende diverse fasi. La prima è quella relativa all’individuazione dell’ambito di un progetto. Il secondo passo è quello di riuscire ad avere il supporto della dirigenza, in maniera tale che venga destinato il budget che serve per svolgere tale operazione correttamente. La terza fase riguarda l’individuazione delle parti che devono essere coinvolte in questo progetto, cercando di comprendere al contempo anche quali debbano essere i requisiti normativi, legali, ma anche contrattuali che devono essere valutati. Il quarto passo è quello di eseguire una specifica valutazione del rischio. Infine, la quinta fase prevede di analizzare nuovamente e implementare tutte le verifiche che potrebbero essere richieste. Lo sviluppo delle competenze interne e della documentazione che serve per poter far funzionare il sistema di gestione rappresentano la sesta fase. È importante che l’azienda organizzi dei veri e propri corsi di formazione all’uso di tali sistemi per il personale. Infine, l’ultimo passo è quello di provvedere alla misurazione, ma anche all’analisi dell’audit che riguardano tale sistema di gestione delle informazioni.

La richiesta e l’emissione della certificazione da parte di un organismo accreditato

Una volta completata l’implementazione del sistema di gestione, ecco che si può effettuare la richiesta della certificazione ISO 27001. In che modo? Basta farlo presso un organismo di certificazione accreditato da Accredia (in Italia) o da un ente associato all’IFA. Spetterà a tale organismo analizzare tutto il percorso compiuto fino a questo punto dall’azienda, richiedere delle verifiche, qualora fosse necessario, e solamente alla fine di tale procedimento, emettere la certificazione. Il costo di tale progetto è variabile e dipende essenzialmente dall’organismo di certificazione e dal rischio correlato con il sistema che è stato implementato da parte dell’azienda.

Alitec s.r.l. attraverso la propria consolidata struttura è in grado di assisterVi per l’implementazione del sistema a tutela delle informazioni sensibili.