ISO 27001, perché è importante che il tuo fornitore di servizi cyber security sia certificato
Indice articolo
È facile cadere nell’illusione di essere sufficientemente protetti quando si parla di attacchi informatici.
Potremmo pensare che i nostri dipendenti o collaboratori siano certamente a conoscenza della maggior parte dei possibili rischi informatici.
Tuttavia dobbiamo dirvelo, si tratta di mera illusione.
Esistono dei modi per essere certi di avere sotto controllo la sicurezza dei dati aziendali. Tuttavia, esiste solo un modo di certificare la messa in sicurezza dei dati e si chiama standard ISO 27001.
Che cos’è l’ISO e ISO 27001
ISO è l’acronimo che indica un’organizzazione: l’International Standardization Organization (in italiano, Organizzazione per la standardizzazione internazionale). Nel caso di ISO 27001, indichiamo con il numero uno standard specifico.
L’ISO o Organizzazione internazionale per la normazione viene definita come la più importante organizzazione a livello mondiale che definisce le normative tecniche. L’organizzazione ha sede a Ginevra ed è formata da 167 membri. Il focus delle attività dell’ISO è lo sviluppo di standard internazionali che supportano l’innovazione.
In particolare, la ISO 27001 indica i requisiti per pianificare, attuare, operare, monitorare, riesaminare, mantenere e migliorare il sistema di gestione per la sicurezza delle informazioni delle aziende.
Tuttavia, esistono molti altri standard interazionali ISO oltre alla 27001, eccone alcuni.
- ISO 9001 ad esempio si focalizza sulla gestione della qualità. Per la massima soddisfazione del cliente e al contempo ridurre gli sprechi delle risorse a nostra disposizione. Cyberment ha ottenuto questa certificazione nel 2020.
- ISO 14001 punta ad attuare e migliorare un sistema di gestione ambientale.
E ancora, - ISO 50001 specifica come produrre, avviare, mantenere e migliorare un sistema di gestione dell’energia.
A tal proposito, considerato che ora che abbiamo richiamato alla mente alcune nozioni, siamo pronti ad addentrarci nel vivo del nostro articolo.
Vi parleremo di cos’è ISO 27001, come si ottiene e perché è importante averla.
Se l’azienda decide di intraprendere il percorso di certificazione ISO 27001, deve stipulare un contratto con un Organismo di certificazione (OdC).
Questa entità ha il compito di verificare la qualità dei prodotti e servizi.
Esistono diverse tipologie di qualità certificabili, le più famose sono quelle che riguardano i prodotti alimentari DOP, IGP e “marchio BIO”.
L’organo OdC si impegnerà dunque a effettuare diversi sopralluoghi nei luoghi di lavoro, sia preventivi che periodici.
Per fare fronte ad un impegno così impattante, normalmente l’impresa incarica uno o più professionisti che hanno seguito un complesso processo di formazione sia teorico che pratico relativo alle ISO.
Il fine ultimo è quello di ricevere una certificazione ufficiale e mantenerla valida nel tempo.
Tramite la ISO 27001, infatti, è possibile avere la garanzia che in ogni parte del mondo vengano riconosciuti gli sforzi intrapresi per soddisfare i requisiti di sicurezza per la protezione dati.
Ma non è finita qui.
Per fugare ogni possibile sotterfugio è indispensabile una figura che partecipi senza fini di lucro. In tutto il processo viene così introdotta una seconda figura, ovvero, l’ente di accreditamento.
All’interno dell’unione europea ogni stato ha uno e un solo Ente Unico nazionale di accreditamento, come stabilito dal Regolamento (CE) N. 765/2008.
In Italia è stata designata Accredia. In Germania esiste Unicert.
Entrambe le società rispondono dinnanzi ai rappresentanti delle istituzioni, fornendo giudizi quanto più imparziali ci si aspetterebbe da un organo dello stato.
Gli impegni che devono essere assunti si concretizzano con la realizzazione di un sistema di gestione per la sicurezza delle informazioni (abbreviato in SGSI).
Si tratta di un insieme di processi e strumenti ideati appositamente per controllare le dinamiche di gestione e conservazione delle informazioni che transitano in azienda. Nei paesi anglofoni è conosciuto con l’acronimo di ISMS (Information security management system). Caratteristica imprescindibile è quella di essere ben progettato a monte, seguendo un approccio top-down (i.e. disegnando a priori le componenti).
Il suo processo di creazione coinvolge varie fasi, ognuna delle quali ha l’intento di modellare lo scheletro delle linee guida che i dipendenti dell’azienda devono adottare.
Identificazione dei requisiti di sicurezza delle informazioni (Assessing information security risks)
Vengono stabilite quale sono le informazioni prioritarie e se ne determina il loro valore intrinseco.
Vengono altresì chiariti gli obblighi legali e contrattuali di ogni genere.
Per esempio, se abbiamo predisposto in azienda un sistema informativo per gestire gli accessi effettuati dai nostri dipendenti dobbiamo verificare che ogni dipendente sia l’unico che possa registrare nel sistema la propria entrata e uscita nel luogo di lavoro.
In questo modo se dovesse sorgere un contenzioso di qualsiasi tipo abbiamo preventivamente immagazzinato l’informazione con tutte le tutele del caso, potendo dimostrare che il sistema è stato progettato secondo le norme riconosciute globalmente.
Valutazione e trattamento dei rischi (Treating information security risks):
In questa fase si analizzano le probabilità e le conseguenze dei possibili problemi, presumendo inoltre cosa potrebbe accadere se si dovessero verificare.
Si cercano le possibili fonti di rischio e si predispongono dei piani da seguire per limitare o addirittura in alcuni casi annullare le perdite sia economiche che di immagine.
Prima di procedere ad azioni di tipo preventivo vengono stabiliti i rischi accettabili.
Ad esempio, potremmo accettare rischi, definiti nella precedente analisi di valutazione, di categoria bassa. Oppure quelli che richiedono un trattamento poco dispendiosi in termini di denaro o tempo per la relativa risoluzione.
I rischi da considerare sono diversi:
• Rallentamenti nella produzione
• Disastri naturali
• Esfiltrazione di dati
• Danno di immagine a causa di eventi mediatici
E molto altro che ne potrebbe conseguire.
Selezione e attuazione dei controlli (Selecting and implementing controls)
Si tratta della la procedura grazie alla quale vengono selezionati e implementati i controlli.
Si lavora sulle informazioni ottenute dalla fase di identificazione dei rischi, sviluppando in dettaglio le azioni esecutive. È possibile eseguire controlli di tipo preventivo, manutentivo e di rilevamento.
Supervisione, mantenimento e miglioramento della correttezza DELL’sgsi
Vengono intraprese azioni di aggiornamento per migliorare l’SGSI, in base alle future scelte organizzative e degli obbiettivi, in modo che i manager responsabili siano sempre a conoscenza delle parti più importanti. Si può agire migliorando i controlli, riducendo così le possibili vulnerabilità.
Miglioramento incrementale
Le cose cambiano in continuazione. Non possiamo negarlo.
Il mondo evolve, nuove tecnologie prendono piede e noi dobbiamo calcare il passo. Si instaura così un ciclo di continuo di studio e attenzione alle nuove sfide del mondo moderno. Si interrogano i clienti chiedendo le loro esigenze. Vengono migliorate le metodologie di lavoro introducendo ad esempio telelavoro (smart working), nuove figure professionali, nuovi contratti di lavoro ecc.
Ecco perché cercare opportunità di miglioramento e integrarle armonicamente nell’SGSI.
Sembra banale, ma è tramite esso che riusciamo a ottenere ottimi risultati dagli obiettivi del nostro business.
Riusciamo, infatti, a dare un supporto tangibile e pratico per tutti i livelli di responsabilità all’interno dell’azienda.
Abbiamo lo strumento giusto sul quale basarci per fornire la formazione necessaria ai dipendenti. Questi ultimi si sentiranno maggiormente incentivati a fornire il loro contributo, lavorando per soddisfare i criteri imposti.
Il livello di sicurezza aziendale potrà fregiarsi di avere a sua disposizione un ulteriore supporto alle decisioni. Basato su studi effettuati all’interno della propria realtà. Il tutto viene realizzato con il lavoro di professionisti esterni, che con il loro parere portano inevitabilmente punti di vista che potrebbero non essere stati presi in considerazione da chi le cose le vede dall’interno.
Durante la giornata lavorativa è necessario preoccuparsi solamente di applicare un ristretto ventaglio di possibilità. Su misura delle proprie esigenze. Dando ai dipendenti la tranquillità necessaria per operare con estrema facilità.
Tutto questo si ripercuote nei bilanci aziendali.
Fattori interni ed esterni che vengono ammaestrati con l’intento di migliorare l’affidabilità e la nomea della nostra azienda.
Fate attenzione. E’ necessario porre attenzione e non confondere l’ISO 27001 con il GDPR, ovvero, Regolamento Europeo 679/16. In questo caso parliamo del regolamento che indica come devono essere trattati i dati in tutto il territorio dell’unione europea.
L’ISO 27001 ha molto in comune con il Regolamento, ma non sono la stessa cosa.
Se siete interessati ad approfondire abbiamo già trattato l’argomento nel seguente articolo link.
Anche le PA richiedono nei bandi di concorso professionisti che possano fregiarsi del titolo di Auditor o Lead Auditor ISO 27001.
Tanto che, tempo fa, una azienda sanitaria del Friuli-Venezia Giulia lo richiedevano come requisito fondamentale per il ruolo di DPO (responsabile della protezione dei dati). Peccato però che con la sentenza n. 287/2018 del 5 settembre 2018 il TAR si è pronunciato a riguardo, definendo illegittima tale richiesta. Questo qui pro quo dimostra come le certificazioni rivestano un ruolo di autorevolezza agli occhi delle aziende.
Conclusione
Abbiamo compreso quali sono le entità che si occupano di redigere, certificare e accreditare i principali operatori del settore riguardante ISO 27001.
Ci siamo soffermati sul valore che il certificato ricopre e come valorizzarlo all’interno dell’azienda per ottenere fiducia dai nostri dipendenti.
Il SGSI è oramai un sistema del quale abbiamo appreso ogni componente principale. Sappiamo quali sono le principali azioni che vengono svolte per costruirne uno ex novo. Quando eventualmente ne sentiremo parlare saremo certamente in grado di capire ciò di cui si sta parlando.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.