ISO 27001 : LO STANDARD INTERNAZIONALE DELLA SICUREZZA DELLE INFORMAZIONI
Il rischio informatico o Cyber Risk è diventato una questione centrale per tutte le organizzazioni e il loro management continuamente pressati da utenti, clienti, fornitori, autorità di regolazione e business partner che chiedono assicurazioni nella gestione della sicurezza delle informazioni ed esigono che l’organizzazione sia in grado di difendersi, reagire e riprendersi da eventuali attacchi informatici.
Ma la resilienza contro gli attacchi informatici richiede non solo la capacità di organizzare difese digitali, visto che la gran parte degli attacchi ha origine nel mondo analogico e sono spesso provocati da vulnerabilità fisiche e ambientali, ma anche l’adozione di un sistema di gestione della sicurezza delle informazioni che sia metodico, completo e solido.
La norma internazionale UNI CEI EN ISO/IEC 27001:2017 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione – Requisiti” è un piano di azione per sviluppare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) in linea con l’operatività, i requisiti contrattuali e normativi e la propensione al rischio di un’organizzazione.
La ISO 27001 non è quindi unicamente uno standard di sicurezza informatica in quanto, oltre alla sicurezza logica, include la sicurezza fisica ambientale e la sicurezza organizzativa.
Inoltre la nuova versione, la precedente era del 2013, è il risultato di 4 anni di miglioramenti nella comprensione di un’efficace gestione della sicurezza e include una vasta serie di controlli basati sulle best practice (¹).
I principali standard della serie ISO 27000
LA GESTIONE DEL PROGETTO SICUREZZA DELLE INFORMAZIONI E IL SUPPORTO DELLA DIREZIONE AZIENDALE.
Ideare, realizzare e mettere in pratica un sistema di gestione della sicurezza delle informazioni è a tutti gli effetti un vero e proprio progetto aziendale e come tale deve essere gestito.
Occorre innanzitutto che la Direzione supporti l’iniziativa progettuale nominando un responsabile in grado di seguire tutte le fasi del progetto SGSI.
Il motivo per cui la Direzione deve sostenere il progetto SGSI e chi lo gestisce è che si tratta di un progetto che interessa tutti, è un progetto strategico allineato con la strategia e gli obiettivi a lungo termine dell’organizzazione.
La persona incaricata deve occuparsi di ridurre qualcosa che appare potenzialmente complessa, difficile e costosa in termini di tempo e impiego di risorse in qualcosa a cui tutti dovranno dare il loro sostegno e possa essere completata nei tempi definiti e con le risorse assegnate.
Ciò significa che la Direzione deve nominare un Project Manager che dovrà impostare il progetto e avere le risorse necessarie, il tempo sufficiente e la conoscenza dei rischi per poter impostare le necessarie contromisure.
Inoltre al pari di qualsiasi altra iniziativa progettuale un progetto SGSI porterà dei cambiamenti all’interno della vita lavorativa dell’organizzazione e non tutti saranno pronti ad accoglierli. Spetta al Project Manager approfondire i vari aspetti del progetto all’interno dell’organizzazione, fornire chiarimenti e alimentare entusiasmo, certezze e comprensione di quanto si sta realizzando.
In questa fase il supporto al progetto da parte della Direzione è ancora più importante. Il successo della realizzazione e della successiva applicazione di un SGSI dipende dal sostegno dei vertici dell’organizzazione; solo con tale appoggio il progetto ha reali chance di successo.
Il supporto della Direzione non deve essere limitato a fornire le risorse necessarie. Difatti occorre che sia attivamente coinvolta e soprattutto determinata a raggiungere l’obiettivo, deve accertarsi che la priorità del progetto sia ben compresa e continuamente sostenuta da tutti all’interno dell’organizzazione, deve comunicare e far comprendere quale deve essere il risultato finale e perché è fondamentale.
Inoltre la Direzione e il project manager devono svolgere un ruolo attivo nella promozione e nella facilitazione del cambiamento prodotto dal progetto (es. nuove procedure per svolgere alcuni compiti nelle attività quotidiane del personale).
Anche se la l’attivazione di un SGSI non richiede profondi stravolgimenti nelle attività lavorative è importante a tal riguardo che la Direzione faccia chiarezza sulla necessità del cambiamento indotto dall’adozione di un SGSI con tutti gli stakeholder, in particolare con coloro le cui attività di lavoro, più di altre, subiranno delle trasformazioni.
La Direzione dunque deve essere la forza trainante in un progetto SGSI e dimostrare leadership e impegno nell’ottenimento della certificazione ISO 27001 e della sua successiva adozione e del miglioramento continuo del sistema di gestione.
D’altronde il supporto concreto, e non solo formale, da parte della Direzione è la chiave per il successo della norma ISO 27001
(¹)Annex A “Control objectives and controls” che contiene i controlli a cui l’organizzazione, che intende applicare la norma, deve attenersi. Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni). La gestione della continuità operativa e il rispetto normativo completano l’elenco degli obiettivi di controllo.
(²)ISO 27003:2017 – Information technology — Security techniques — Information security management systems — Guidance.
ISO 27004:2016 – Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation.
ISO 27005:2018 – Information technology — Security techniques — Information security risk management.
ISO 27011:2020 – Tecnologie informatiche – Tecniche di sicurezza – Raccolta di prassi per i controlli relativi alla sicurezza delle informazioni per le organizzazioni del settore delle telecomunicazioni basata sulla ISO/IEC 27002
ISO 27799:2017 – Informatica medica – Gestione della sicurezza dell’informazione in materia di salute in riferimento alla UNI CEI ISO/IEC 27002
Riferimenti bibliografici:
https://www.uni.com/;
I nove passi per il successo – Compendio per l’attuazione della norma ISO 27001:2013 Di Alan Calder · 2017;
https://www.iso.org/home.html
Photo by Austin Distel on Unsplash