ISO 27001 : LO STANDARD INTERNAZIONALE DELLA SICUREZZA DELLE INFORMAZIONI
Ma la resilienza contro gli attacchi informatici richiede non solo la capacità di organizzare difese digitali, visto che la gran parte degli attacchi ha origine nel mondo analogico e sono spesso provocati da vulnerabilità fisiche e ambientali, ma anche l’adozione di un sistema di gestione della sicurezza delle informazioni che sia metodico, completo e solido.
La norma internazionale UNI CEI EN ISO/IEC 27001:2017 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione – Requisiti” è un piano di azione per sviluppare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) in linea con l’operatività, i requisiti contrattuali e normativi e la propensione al rischio di un’organizzazione.
La ISO 27001 non è quindi unicamente uno standard di sicurezza informatica in quanto, oltre alla sicurezza logica, include la sicurezza fisica ambientale e la sicurezza organizzativa. Inoltre la nuova versione, la precedente era del 2013, è il risultato di 4 anni di miglioramenti nella comprensione di un’efficace gestione della sicurezza e include una vasta serie di controlli basati sulle best practice (¹).
I PRINCIPALI STANDARD DELLA SERIE ISO 27000
Una parte della norma (UNI CEI EN ISO/IEC 27001:2017 ) fornisce i requisiti generali di un Sistema di Gestione per la Sicurezza delle Informazioni e contiene le specifiche formali alle quali un SGSI dovrà attenersi affinché l’organizzazione possa conseguire la certificazione ISO 27001.
L’altra parte (UNI CEI EN ISO/IEC 27002:2017) è un Codice di condotta, contiene le linee guida relative al processo di attuazione e controllo di un sistema di gestione per la sicurezza delle informazioni basato sulla ISO 27001.
Nell’ambito delle norme per i sistemi di gestione esiste una differenza tra una specifica e un codice di condotta.
La prima indica ciò che è obbligatorio per un sistema affinché soddisfi la conformità alla norma e contiene verbi al presente e al futuro.
Il secondo fornice le linee guida e usa il condizionale per indicare che la conformità non è obbligatoria. Infatti la certificazione avviene per una specifica dei requisiti e non per un codice di condotta.
Sia la ISO 27001 che la ISO 27002 sono supportate dalla ISO 27000 che oltre a fornire un quadro generale dello standard sui Sistemi di Gestione per la Sicurezza delle Informazioni contiene termini e definizioni utilizzati nelle altre norme della serie(²).
Inoltre la norma ISO 27001 si armonizza con la ISO 9001:2015 (Sistemi di gestione per la qualità – Requisiti) e la ISO 14001:2015 (Sistemi di gestione ambientale – Requisiti e guida per l’uso) e la ISO 22301:2019 (Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti).
LA GESTIONE DEL PROGETTO SICUREZZA DELLE INFORMAZIONI E IL SUPPORTO DELLA DIREZIONE AZIENDALE.
Il motivo per cui la Direzione deve sostenere il progetto SGSI e chi lo gestisce è che si tratta di un progetto che interessa tutti, è un progetto strategico allineato con la strategia e gli obiettivi a lungo termine dell’organizzazione.
La persona incaricata deve occuparsi di ridurre qualcosa che appare potenzialmente complessa, difficile e costosa in termini di tempo e impiego di risorse in qualcosa a cui tutti dovranno dare il loro sostegno e possa essere completata nei tempi definiti e con le risorse assegnate.
Ciò significa che la Direzione deve nominare un Project Manager che dovrà impostare il progetto e avere le risorse necessarie, il tempo sufficiente e la conoscenza dei rischi per poter impostare le necessarie contromisure. Inoltre al pari di qualsiasi altra iniziativa progettuale un progetto SGSI porterà dei cambiamenti all’interno della vita lavorativa dell’organizzazione e non tutti saranno pronti ad accoglierli.
Spetta al Project Manager approfondire i vari aspetti del progetto all’interno dell’organizzazione, fornire chiarimenti e alimentare entusiasmo, certezze e comprensione di quanto si sta realizzando.
In questa fase il supporto al progetto da parte della Direzione è ancora più importante.
Il successo della realizzazione e della successiva applicazione di un SGSI dipende dal sostegno dei vertici dell’organizzazione, solo con tale appoggio il progetto ha reali chance di successo.
Il supporto della Direzione non deve essere limitato a fornire le risorse necessarie. Difatti occorre che sia attivamente coinvolta e soprattutto determinata a raggiungere l’obiettivo, deve accertarsi che la priorità del progetto sia ben compresa e continuamente sostenuta da tutti all’interno dell’organizzazione, deve comunicare e far comprendere quale deve essere il risultato finale e perché è fondamentale.
Inoltre la Direzione e il project manager devono svolgere un ruolo attivo nella promozione e nella facilitazione del cambiamento prodotto dal progetto (es. nuove procedure per svolgere alcuni compiti nelle attività quotidiane del personale).
Anche se la l’attivazione di un SGSI non richiede profondi stravolgimenti nelle attività lavorative è importante a tal riguardo che la Direzione faccia chiarezza sulla necessità del cambiamento indotto dall’adozione di un SGSI con tutti gli stakeholder, in particolare con coloro le cui attività di lavoro, più di altre, subiranno delle trasformazioni.
La Direzione dunque deve essere la forza trainante in un progetto SGSI e dimostrare leadership e impegno nell’ottenimento della certificazione ISO 27001 e della sua successiva adozione e del miglioramento continuo del sistema di gestione.
D’altronde il supporto concreto, e non solo formale, da parte della Direzione è la chiave per il successo della norma ISO 27001.
PERCHÉ CERTIFICARSI ISO 27001, QUALI SONO I VANTAGGI DELLA CERTIFICAZIONE ISO 27001 PER LE AZIENDE.
Continuità operativa: dalla perdita di dati al disaster recovery, dagli attacchi di virus alla pirateria informatica, dagli accessi non autorizzati all’ e-commerce, la ISO 27001 consente di valutare attentamente tutti i rischi per il business aziendale individuando le criticità, evidenziando le aree in cui è necessario un controllo periodico, introducendo azioni volte al miglioramento continuo e fornendo una maggiore garanzia della continuità operativa dei servizi erogati alla propria clientela/utenza in caso di incidente.
Riduzione dei costi: il miglioramento dell’efficienza dei processi consente la riduzione dei punti deboli, degli incidenti e protegge gli asset aziendali e di conseguenza riduce i costi aziendali.
Conformità legale: certificare la propria azienda e dotarsi di un efficace strumento per garantire la propria conformità ai regolamenti e alle normative in vigore permette di evitare il rischio di sanzioni.
Reputazione aziendale: una certificazione ISO 27001 dimostra che l’azienda ha sistema di gestione della sicurezza delle informazioni e questo aumenta la credibilità dell’azienda, migliora l’immagine aziendale nei confronti dei clienti, fornitori, partner commerciali e autorità.
Miglioramento del business aziendale: le aziende certificate acquisiscono un importante vantaggio competitivo e ottengono una premialità nei bandi di gara.
(¹)Annex A “Control objectives and controls” che contiene i controlli a cui l’organizzazione, che intende applicare la norma, deve attenersi. Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni). La gestione della continuità operativa e il rispetto normativo completano l’elenco degli obiettivi di controllo.
(²)ISO 27003:2017 – Information technology — Security techniques — Information security management systems — Guidance.
ISO 27004:2016 – Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation.
ISO 27005:2018 – Information technology — Security techniques — Information security risk management.
ISO 27011:2020 – Tecnologie informatiche – Tecniche di sicurezza – Raccolta di prassi per i controlli relativi alla sicurezza delle informazioni per le organizzazioni del settore delle telecomunicazioni basata sulla ISO/IEC 27002
ISO 27799:2017 – Informatica medica – Gestione della sicurezza dell’informazione in materia di salute in riferimento alla UNI CEI ISO/IEC 27002
Riferimenti bibliografici:
https://www.uni.com/;
I nove passi per il successo – Compendio per l’attuazione della norma ISO 27001:2013 Di Alan Calder · 2017;
https://www.iso.org/home.html
Photo by Austin Distel on Unsplash