ISO 27001: come implementare un Information Security Management System

L’information security rappresenta una delle principali challenge delle organizzazioni pubbliche e private. Le minacce alla sicurezza delle informazioni sono infatti di natura globale e prendono di mira indiscriminatamente qualsiasi organizzazione o individuo che possieda o utilizzi informazioni in formato elettronico digitale o cartaceo.

Negli ultimi anni i requisiti per una corretta governance aziendale sono divenuti sempre più definiti e specifici. La tecnologia informatica ha un ruolo cruciale nella governance aziendale, essendo un sostegno fondamentale per quasi tutti gli aspetti dell’organizzazione, trattando ed archiviando le informazioni da cui dipende la sua sopravvivenza. La governance IT è oggi sempre più riconosciuta come un’area di attenzione specifica da parte del CdA dell’azienda.

La situazione è divenuta sempre più pressante con l’introduzione di numerose norme europee inerenti la sicurezza delle informazioni. La più conosciuta è sicuramente il Regolamento generale sulla protezione dei dati (GDPR), che impone la sicurezza del trattamento, sia in riferimento ai diritti e alle libertà delle persone fisiche, sia in riferimento alla sicurezza del dato con tecniche adeguate, a fronte di sanzioni pecuniarie ingenti in caso di mancata osservanza delle disposizioni normative. Adeguare la propria organizzazione ha richiesto alle aziende di accrescere le proprie competenze, sia dal punto di vista tecnologico che dal punto di vista legale.

Per proteggere le informazioni, e per dimostrare di farlo, in virtù del principio di accountability introdotto dal GDPR, sempre più aziende decidono di certificarsi secondo lo standard ISO/IEC 27001:2013 che definisce a livello internazionale le best practices per costruire un sistema di gestione della sicurezza delle informazioni (ISMS - Information Security Management System), il cui obiettivo è delineare un eco-sistema di processi, documenti, tecnologie e persone che aiutano a gestire, monitorare, controllare e migliorare la sicurezza delle informazioni di ogni azienda attraverso una gestione del rischio efficiente.

Le organizzazioni che desiderano lavorare con governi o grandi aziende sempre più ritengono la certificazione ISO 27001 un prerequisito per la propria attività. La certificazione è vista infatti come una forte rassicurazione sull’impegno di un’azienda ad adempiere i propri obblighi verso clienti e partner commerciali: lo standard ISO 27001 è infatti un fattore preso in considerazione  da terze parti per valutare la capacità di un’organizzazione di soddisfare i propri requisiti relativi alla sicurezza delle informazioni e si applica alle aziende di ogni settore, IT e non IT.

Ottenere una certificazione accreditata ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato sul fatto che la sicurezza delle informazioni è gestita in linea con le best practice internazionali e gli obiettivi aziendali.

Tra i benefici concreti per l'azienda che finalizza un percorso di costruzione dell'ISMS attraverso la certificazione ISO 27001:

• Riduzione dell'effort economico: evita le sanzioni e le perdite economiche dovute alle violazioni dei dati da parte di esterni e di interni all'organizzazione
• Compliance: permette all'azienda di operare in conformità ai requisiti normativi vigenti, GDPR in primis
• Miglioramento reputation: poter dimostrare di aver messo a punto tutte le misure necessarie per proteggere non solo i propri dati ma anche per contribuire a preservare i dati della filiera di cui si fa parte (clienti, fornitori, partner, ...)
• Sviluppo del Business: seguire le best practices di sicurezza fidelizza i clienti acquisiti e a livello marketing crea un vantaggio tangibile nei confronti di nuovi potenziali clienti
• Ottimizza l'allocazione del budget: grazie alla fotografia dello stato della security, la certificazione ISO 27001 permette di indirizzare gli investimenti in soluzioni di cyber security che riducono il rischio per il contesto specifico dell'azienda.

Tra gli standard inerenti la sicurezza delle informazioni è indispensabile citare, oltre allo standard ISO/IEC 27001:2013, l’ISO 27002. Simili ma con obiettivi differenti:

• lo standard ISO/IEC 27001:2013 è una norma internazionale che definisce i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI)
• lo standard ISO 27002 invece fornisce un utile supporto e la guida per coloro che sono responsabili dell'avvio, dell'implementazione o del mantenimento dell’Information Security Management System

Inoltre, mentre la ISO 27001 è basata su requisiti verificabili e viene utilizzata per controllare e certificare l’SGSI dell'organizzazione, la ISO 27002 è basata sui suggerimenti delle migliori pratiche utilizzate a livello internazionale e può essere utilizzata per valutare l'esaustività del programma di sicurezza delle informazioni. In questo contesto la scelta di un partner di Advisory che accompagni in questo percorso diventa quindi cruciale

Il sistema di gestione per la sicurezza delle informazioni si applica a tutte le informazioni, qualsiasi sia la modalità di trattamento delle stesse (cartaceo ed elettronico) e ne preserva la riservatezza, l’integrità e la disponibilità.

Seguendo il principio di security by design è cruciale intraprendere un percorso guidato sin dalla progettazione del sistema, in modo da costruire soluzioni specifiche sull’organizzazione in oggetto e seguire gli step fondamentali:

• Modello Plan, Do, Check, Act
• Tabella 1 e Annex A con indicazione delle aree tematiche dei controlli da applicare
• Il percorso di certificazione ISO 27001 all’Italia e all’estero

Scarica il whitepaper per iniziare il percorso verso la certificazione ISO 27001

Il Team Advisory del Gruppo Lutech accompagna le aziende Clienti nel processo di certificazione ISO/IEC 27001:2013, con l’obiettivo primario di tutelare gli obiettivi di business, di servizio e di processo, tramite la tutela delle informazioni confidenziali su cui l’azienda poggia.

Svolgiamo un’attività di supporto ai Clienti che decidono di ottenere la certificazione ISO 27001 mediante i seguenti step:

1. Assessment & Gap Analysis ISO27001: è un’attività in cui si verifica il livello di maturità dell’azienda rispetto ai requisiti dello standard ISO 27001 e si evidenziano le possibili azioni di miglioramento.
2. Supporto per l’ottenimento della certificazione ISO 27001: si articola nelle modalità richieste dal caso concreto. Dal supporto nella definizione dell’ambito di certificazione e della struttura organizzativa di Information Security, alla predisposizione dell’impianto documentale, alla realizzazione di una analisi dei rischi relativi alla sicurezza delle informazioni. Siamo inoltre specializzati nella realizzazione di Business Impact Analysis e piani di Business Continuity, necessari per la gestione delle informazioni. Dall’iniziale erogazione di un corso di formazione sulla Information Security al supporto per l’audit dell’Ente di certificazione, siamo al fianco di imprese di grandi dimensioni oltre che PMI, nel loro percorso di gestione della sicurezza delle informazioni. Il nostro approccio è multidisciplinare poiché la ISO richiede competenze in ambito IT, legali e organizzative.
3. Mantenimento del Sistema di Gestione della Sicurezza delle informazioni: consiste nel supportare il Cliente nella correzione delle evidenze emerse dai periodici audit dell’Ente di certificazione e nel mantenere nel tempo l’SGSI adeguato ai requisiti dello standard.