Per un’organizzazione proteggere i dati è fondamentale perché significa, prima di ogni altra cosa, dimostrare una solida cultura della digitalizzazione sicura, sempre più necessaria per la competitività e la sopravvivenza stessa delle imprese. La certificazione ISO 27001 aumenta la protezione contro le violazioni dei dati con ricadute positive per tutti gli stakeholder e quindi anche per tutta la filiera di approvvigionamento di cui un’organizzazione fa parte.
È un percorso che ha il merito di fare convergere nella medesima direzione ogni unità aziendale, rendendole compatte nella protezione dei dati dalle incursioni di hacker, truffatori e cyber criminali in genere.
La preparazione e l’ottenimento della certificazione ISO/IEC 27001 danno benefici certi e misurabili.
Indice degli argomenti
Cosa è la certificazione ISO 27001
La certificazione ISO 27001 è uno standard internazionale che definisce i requisiti di un sistema di gestione della sicurezza delle informazioni (ISMS). Serve a proteggere dati sensibili, garantendo riservatezza, integrità e disponibilità delle informazioni. Aiuta le organizzazioni a identificare e gestire i rischi legati alla sicurezza informatica, dimostrando affidabilità a clienti e partner.
Lo standard ISO 27001 fa riferimento tanto alle informazioni digitali quanto a quelle cartacee, non è quindi soltanto prerogativa delle infrastrutture IT propriamente dette.
Completare il processo di certificazione ISO/IEC 27001 aumenta la protezione contro le violazioni dei dati e incrementa la fiducia di clienti, fornitori, finanziatori e quella delle autorità.
Lo standard è pubblicato dall’International Organization for Standardization (ISO) e dalla International Electrotechnical Commissione (IEC).
A chi si rivolge la certificazione ISO 27001
Partendo dal presupposto che qualsiasi realtà aziendale è chiamata a proteggere i dati di cui dispone, si può asserire che la certificazione ISO 27001 si rivolge a ogni impresa e organizzazione a prescindere dal segmento di mercato in cui si inserisce e dalla sua grandezza. È da intendere, come abbiamo descritto qui, come uno dei tasselli da implementare per ottenere un’efficace protezione dei dati.
Obiettivamente è particolarmente utile, se non persino necessaria, per tutte quelle realtà che sono più appetibili per il cyber crimine. Tra queste spiccano:
- Aziende ICT come, per esempio, i fornitori di servizi cloud, software e infrastrutture
- Banche e istituti finanziari chiamate a proteggere le transazioni e i dati dei propri clienti
- Enti e aziende sanitarie che, per principio, trattano dati particolarmente sensibili
- Enti pubblici e governativi che hanno la grande responsabilità di proteggere i dati di soggetti fisici e giuridici
Un elenco tutt’altro che esaustivo e che include qualsiasi realtà privata o pubblica che abbia a cuore o che debba per legge o statuto dimostrarsi affidabile nella gestione sicura dei dati e quindi delle infrastrutture ICT.
Per quanto banale, può giovare ricordare che il dato rappresenta l’atomo di ogni struttura: difendere i dati significa proteggere le infrastrutture e la protezione di queste ultime è finalizzata alla protezione dei dati.
Come ottenere la certificazione ISO 27001
Possiamo procedere soltanto per sommi capi, perché le attività da svolgere per ottenere la certificazione sono più macchinose con l’aumentare della complessità e della ramificazione dei flussi aziendali.
Il testo completo dei requisiti utili all’ottenimento della certificazione può essere acquistato qui al costo di 129 franchi svizzeri (pari attualmente a 139,2 euro) ed è pubblicato esclusivamente in lingua inglese o in francese. Altri enti mettono a disposizione il testo in italiano a prezzi inferiori.
L’approccio basato sul rischio
Lo standard ISO 27001 si basa essenzialmente sul rischio. Ciò significa che ogni postulante deve:
- Identificare e valutare i rischi legati alla sicurezza delle informazioni
- Implementare controlli per mitigare tali rischi
- Monitorare e migliorare continuamente le misure di sicurezza.
Argomenti ampi che possono essere affrontati con il supporto di diverse tecnologie e di figure professionali preparate come, per esempio, il Security consultant oppure il Security analyst.
Qui elenchiamo una serie di tecniche e tecnologie alle quali possono accedere anche le realtà aziendali che hanno budget limitati, fermo restando che i danni reputazionali ed economici di una perdita di dati non ammettono risparmi sulla cyber security, come abbiamo mostrato in questo articolo.
Sono di supporto queste tecnologie:
- Software per la gestione ISMS che aiutano a pianificare, a implementare e a monitorare i requisiti per la certificazione ISO 27001
- Sistemi per la gestione dei rischi che aiutano a identificarli e a mitigarli. Rientrano nella categoria dei software ERM
- Soluzioni per il controllo degli accessi
- Strumenti per il monitoraggio della sicurezza come, per esempio, una soluzione di Security Information and Event Management (SIEM)
- Strumenti per la protezione dei dati. La crittografia rientra tra questi e, a sua volta, risponde a norme specifiche che abbiamo trattato qui
- Misure per la conformità e l’audit
- Software per la gestione dei backup e del relativo ripristino dei dati
Questi strumenti, integrati con politiche aziendali solide e condivise, sono propedeutici all’ottenimento della certificazione ISO 27001.
L’Annex A
L’Annex A è un elenco di controlli auspicati che va personalizzato a seconda delle necessità che risultano dall’analisi dei rischi.
Di fatto, fornisce un punto di riferimento che guida verso l’adozione delle misure adatte per gestire la sicurezza.
Una lista di 114 controlli di sicurezza organizzati in 14 categorie che includono anche la definizione delle corrette politiche di sicurezza, i ruoli, le responsabilità e la formazione del personale. Non tratta soltanto le tecnologie ma mette anche il focus sull’elemento umano insieme alla gestione dell’incidenti, alla conformità e alla continuità operativa in caso di attacco da parte del cyber crimine.
Quali enti rilasciano la certificazione e quanto costa
La certificazione ISO 27001 viene rilasciata da organismi riconosciuti ed elencati da Accredia.
L’ente scelto tra quelli disponibili effettuerà una valutazione iniziale per poi effettuare l’audit vero e proprio e, se del caso, rilasciare la certificazione.
Stimare il costo è complesso, perché occorre tenere conto delle tecnologie da adottare e della formazione del personale. Ciò rende i costi variabili a seconda delle necessità e della grandezza di ogni singola organizzazione.
Indicativamente, si può sostenere che i costi variano dai 5.000 euro per una piccola realtà aziendale fino a superare abbondantemente i 100.000 euro per le realtà aziendali più grandi.
Va anche considerato il costo della revisione continua e perpetua del sistema di gestione dei rischi, dei sistemi per la difesa dell’azienda e della formazione del personale in entrata e di quello in uscita.
