Sicurezza IT

C’è anche la certificazione ISO nella compliance delle aziende

L’incremento delle ISO 27001 in Italia dimostra che la protezione delle informazioni si sta rivelando sempre più una priorità per le organizzazioni. Un nuovo approccio nel segno dell’efficacia reale

Pubblicato il 19 Ott 2022

Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

ISO/IEC 27002

Gli standard dell’Organizzazione Internazionale per la Standardizzazione (ISO) coprono aree essenziali come, ad esempio, la gestione della qualità, della sicurezza IT, la continuità operativa, la qualità del servizio e l’impatto ambientale.

Sviluppati da esperti dei 167 organismi membri dell’ISO e continuamente riesaminati e migliorati nel tempo, rappresentano le migliori pratiche in una vasta gamma di aree operative.

Certificazioni ISO: è importante ottenerle, ma diamogli valore

L’importanza dei sistemi certificativi

Le aziende che decidono di adottare i sistemi di gestione secondo le ISO possono apportare miglioramenti sostenibili e di lungo corso alle operazioni aziendali in funzione della conformità, ma questo avviene realmente, se e solo se l’azienda opera un cambio di gestione effettivo e non solo ai fini di una compliance normativa o di facciata.

Infatti, la conformità ISO di per sé non è obbligatoria; tuttavia, se gli standard ISO sono considerati affidabili dalle organizzazioni di tutto il mondo, e questo rende la conformità ISO un prerequisito importante ai fini della reputazione aziendale.

ISO/IEC 27400:2022: perché è importante per la sicurezza e la protezione dati dell’IoT

Un questione reputazionale

Inoltre alcuni tipi di certificazione ISO possono essere richiesti come prerequisito nei procedimenti di gara, ovvero come mezzo di filtro per scremare le azienda considerate più virtuose rispetto alle altre dove l’assenza di un processo certificato non consente di valutare criteri come l’affidabilità e la priorità della soddisfazione del cliente (ISO 9001) o il sistema di gestione della sicurezza delle informazioni (ISO 27001) o anche l’attenzione all’impatto ambientale (ISO14001) solo per citare alcuni degli esempi più noti.

La compliance alle ISO

Gli standard della ISO possono essere considerati come una “una formula che descrive il modo migliore di fare qualcosa” (fonte: ISO) e coprono un’ampia gamma di diversi processi aziendali, servizi e prodotti. Includono infatti Standard di gestione della qualità, standard di gestione ambientale, standard di salute e sicurezza, standard di gestione dell’energia, norme di sicurezza alimentare e standard di sicurezza IT e standard di continuità operativa.

La conformità si ottiene quando un’organizzazione soddisfa i requisiti delineati in uno standard specifico sviluppato fra quelli delle ISO e si sottopone ad un processo di verifica da parte di terzi autorizzati e certificati per il procedimento di audit.

I framework ISO sono utilizzati dalle organizzazioni per incorporare pratiche commerciali standardizzate a livello internazionale e costituiscono buone prassi di gestione che, rivalutate periodicamente, apportano il miglioramento continuo alle operazioni aziendali secondo il noto ciclo di Deming (Plan-do-check-act).

Il significato della conformità

Quindi essere conforme allo standard ISO significa che l’organizzazione utilizza processi e procedure sviluppati da esperti. Progressivamente all’adozione delle prassi e alla ottimizzazione, le organizzazioni possono allinearsi agli standard internazionali e ottenere un immediato Ritorno di Investimento (ROI) delle spese legate alla preparazione e certificazione.

Tra tutti i tipi di standard, la ISO 27001 (Sicurezza delle informazioni e IT) aiuta le organizzazioni a creare e mantenere un sistema di gestione della sicurezza delle informazioni (ISMS) che rafforza le difese contro le minacce informatiche. La conformità alla ISO 27001 significa che un’organizzazione dispone di controlli di sicurezza IT chiari per proteggere le operazioni, l’hardware e i dipendenti dagli attacchi informatici. Gli interventi sono organizzativi, di processo e di tipo tecnologico.

Quando ISO 27001 e cyber security vanno a braccetto: il caso E-Repair

Dalla necessità di compliance alla efficacia reale

Fino ad oggi l’adozione delle certificazioni per la sicurezza ha avuto una adozione a macchia di leopardo in Italia. Lara Lattanzi, Privacy manager e auditor chiarisce che “in Italia i sistemi di gestione per la sicurezza delle informazioni (UNI ISO 27001) hanno avuto negli anni passati una bassa diffusione rispetto ad altri standard quali ad esempio la ISO 9001”.

Ma gli ultimi dati pubblicati dall’International Organization for Standardization (ISO) per il 2021 ISO – The ISO Survey mostrano un incremento delle certificazioni ISO 27001 in Italia a dimostrazione che la protezione delle informazioni si sta rivelando sempre più una priorità per le Organizzazioni (fonte: ISO survey 2021).

GDPR, come funzionano le certificazioni in ambito privacy: rischi e opportunità

Lara Lattanzi spiega inoltre che l’incremento di certificazioni ISO 27001 in Italia è particolarmente legato ad una serie di fattori, fra i quali lo sviluppo dei servizi Cloud, l’ottemperanza al “GDPR”, alla Direttiva “NIS” e ai requisiti chiesti ai fornitori della PA (con le estensioni alla normativa ISO 27017 e ISO 27018) e ultimo ma non meno importante l’esigenza di adeguare la propria organizzazione interna alle sfide poste dall’attuale sistema economico globale (incremento degli attacchi informatici a seguito della pandemia e della guerra russo ucraina):

“Il crescente numero di attacchi, virus e intrusioni ha aumentato la consapevolezza delle aziende del valore strategico del Sistemi di gestione ISO 27001, inteso come opportunità per migliorare la propria organizzazione, la resilienza e adattabilità, la consapevolezza dei dipendenti sui rischi legati alla sicurezza delle informazioni, per evitare danni reputazionali e per dare un segno distintivo nei confronti di clienti, dipendenti, azionisti e competitor non solo quindi come puro adeguamento ad una norma”.

Come intervenire per un reale cambio della gestione aziendale

Con l’estensione progressiva della digitalizzazione per elaborare dati e trasformare digitalmente l’impresa, il rischio legato alla violazione informatica delle informazioni sensibili aziendali aumenta di pari passo.

Le organizzazioni che adottano un sistema di gestione della sicurezza delle informazioni (ISMS) dimostrano di voler proteggere preventivamente le reti IT e i propri sistemi dai rischi della minaccia digitale ed inoltre si dotano procedure per reagire agli incidenti informatici o data breach quando sono coinvolti dati personali.

Quest’ultima è una parte importante della conformità al GDPR e dovrebbe essere centrale per la governance IT e la gestione del rischio digitale. Dunque, la conformità ISO può conferire all’organizzazione la certezza che il proprio sistema di gestione della sicurezza delle informazioni sia accreditato secondo uno standard riconosciuto.

E questo non tanto per una mera “evidenza di facciata” e per la compliance necessaria alla partecipazione di gare e bandi, quanto maggiormente e soprattutto per attuare una gestione realmente efficace da un punto di vista manageriale che garantisce la resilienza del business nonostante le minacce di sicurezza che potrebbero minare l’operatività giornaliera.

La ISO della continuità operativa

È doveroso ricordare che fra le ISO esiste anche la 22301 finalizzata proprio a garantire la continuità operativa mediante l’implementazione di piani ed esercitazioni, finalizzati a risolvere le interruzioni dell’attività evitando le perdite di profitti.

In questi contesti, i professionisti che lavorano nella implementazione delle ISO presso le organizzazioni pubbliche e private possono giocare un ruolo importante nel cambio di approccio verso l’adozione di questi framework.

Lara Lattanzi suggerisce infatti che i consulenti che supportano le organizzazioni nelle gap analysis propedeutiche alla adozione di ISO di questo tipo dovrebbero concentrarsi sula creazione di valore per l’organizzazione; si dovrebbero prediligere sistemi di gestione snelli e facili da mantenere trovando il giusto compresso tra il mero rispetto dei requisiti della normativa ISO e il giusto mix di principi, procedure e processi che l’impresa decide di adottare per funzionare meglio.

Quando invece si opera in qualità di auditor durante le verifiche ispettive si dovrebbero prediligere approcci mirati ad accompagnare le Organizzazioni in un percorso di crescita e miglioramento continuo piuttosto che svolgere audit formali e burocratici volti solo al rilevamento di non conformità rispetto requisiti della norma.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati