In uno scenario di digital transformation sempre più caratterizzato da tecnologie disruptive come il 5G e il cloud, i dispositivi IoT aumentano la loro penetrazione anche in ambito produttivo allargando il perimetro di sicurezza e modificando la postura cyber delle aziende che sono quindi chiamate a proteggerli adottando le necessaire misure di sicurezza delle informazioni come, ad esempio, quelle indicate nella norma ISO 27001.
Indice degli argomenti
Dispositivi IoT e ISO 27001: il contesto
I dati che ci fornisce l’Osservatorio Internet of Things della School of Management del Politecnico di Milano sulla diffusione della IoT, anche Internet delle Cose, in Italia sono chiari: se nel 2018 c’è stato un incremento del 35% rispetto all’anno precedente, nel 2019 si può parlare di una crescita del 24%, con 6,2 miliardi di euro grazie alle applicazioni che sfruttano la connettività cellulare e a quelle che utilizzano altre tecnologie di comunicazione.
Ma vediamo quali sono i settori in crescita:
- Smart Metering e Smart Asset Management hanno visto un +19% rispetto al 2018 (con un valore di mercato pari a 1,7 miliardi di euro);
- Smart Car ha registrato un +14% con 1,2 miliardi di euro;
- Smart Home ha raggiunto 530 milioni di euro (+40%) grazie all’arrivo in Italia degli smart home speaker di Google e Amazon;
- Smart Factory, 350 milioni di euro (+40%);
- Smart Building, 670 milioni di euro (+12%), per la videosorveglianza e la gestione dei consumi energetici negli edifici;
- Smart City 520 milioni di euro (+32%).
L’interconnessione tra dispositivi è un tema molto discusso, soprattutto relativamente alla sicurezza delle informazioni che circolano tra gli stessi dispositivi. Cioè è, come abbiamo detto tante volte, un’infrastruttura critica o un servizio essenziale. O perlomeno lo diventerà.
Le aziende, per tutelarsi e garantire al meglio la sicurezza sul lavoro, sempre più digitalizzato, hanno a disposizione parecchie soluzioni. La più adatta in termini di sicurezza è, come dicevamo, la norma internazionale ISO 27001.
Gestire le informazioni in piena sicurezza
Messa a punto dall’Organizzazione Internazionale per la normazione (ISO appunto), che si occupa proprio di questo, regola la sicurezza delle informazioni nelle organizzazioni private, pubbliche o non a scopo di lucro, attraverso la descrizione su come creare un sistema che gestisca le informazioni in piena sicurezza.
La norma ISO 27001 ha come base la stessa della ISO/IEC 27001 del 2005. Le misure espresse dalla norma rappresentano dei consigli per attuarla in maniera efficace, secondo i principi di riservatezza, disponibilità e integrità, propri della norma, e secondo principi di altri standard che incoraggiano le aziende ad attuare quelli della ISO 27001.
Quest’ultima è successiva all’attuazione di un Information Security Management System (ISMS), un approccio procedurale di gestione della sicurezza delle informazioni, nel quale in passato era presente, ora non più obbligatorio, un rimando esplicito al ciclo PDCA, che sta per “Plan, Do, Check e Act” (in italiano: pianificare, implementare, verificare e agire), anche detto Ciclo di Deming, che prevede l’introduzione di strumenti di controllo in tutte le fasi del processo produttivo attraverso la sequenza ripetuta delle quattro fasi appena elencate.
L’ISMS deve essere attuato dalle risorse di un’azienda, a seconda delle caratteristiche dell’azienda stessa, che ne garantisce un miglioramento continuo e il mantenimento. Lo stesso ISMS, a sua volta, deve essere controllato nella sua efficacia ad intervalli regolari.
Impostato l’ISMS, si classificano i valori aziendali, come già anticipato, secondo i 3 principi di riservatezza, integrità e disponibilità, in 3 livelli: il primo comprende i documenti pubblici, il secondo i documenti interni, ad esempio legati alla contabilità o alla retribuzione, il terzo riguarda i documenti contenenti dati interni molto sensibili.
Partendo dal decidere chiaramente la politica in materia di sicurezza delle informazioni e dalla conseguente definizione di competenze e responsabilità per l’esecuzione dei compiti, l’azienda deve tener presente i seguenti aspetti al suo interno ed eterno: cultura aziendale, condizioni ambientali, obblighi contrattuali e legali, disposizioni regolamentari, linee guida ufficiali in relazione alla governance. Importante è poi diffondere una consapevolezza e sensibilizzazione al tema della sicurezza delle informazioni tra il personale.
Dispositivi IoT e ISO 27001: regole applicative
Le aziende, quindi, indipendentemente dalla loro dimensione o dal settore di appartenenza, possono e devono realizzare uno standard per la sicurezza delle informazioni al proprio interno, seguendo appunto la norma, e ricevere una certificazione ISO 27001, che descrive un metodo che le aziende devono applicare al fine di garantire uno standard elevato di sicurezza dei dati.
Per assicurarsi una certificazione è innanzitutto prioritario assicurare protezione e obblighi dei vertici della direzione, che devono attuare con successo un ISMS e renderne chiari a tutti gli obiettivi, che saranno poi il quadro di riferimento per gli sviluppi futuri.
Si passa successivamente a definire i campi di applicazione dell’ISMS, con relativa analisi dei rischi e dei punti deboli del sistema aziendale e ovviamente le misure da attuare in caso di incidenti, il cosiddetto pre-audit al quale seguirà il vero audit per l’ottenimento della certificazione tramite un ente indipendente.
Ottenere la certificazione ISO 27001 porta all’azienda diversi vantaggi che possiamo riassumere in: attestazione che l’azienda attua le disposizioni legislative, dimostrazione che tratta in maniera sicura le informazioni sensibili, riduzione dei rischi di incidenti dovuti a minacce cyber e conseguente riduzione di eventuali costi legati alla gestione di tali incidenti.
Inoltre, grazie alla certificazione ISO 27001 i processi aziendali vengono ottimizzati in quanto si riducono i tempi di registrazione per iscritto, diminuiscono i rischi aziendali e i rischi di responsabilità, i premi assicurativi sono più vantaggiosi e il sistema riconosce facilmente e in maniera affidabile problemi e minacce.
