ISO 27001 - QUADROLOGICO Srls

ISO 27001 : LO STANDARD INTERNAZIONALE DELLA SICUREZZA DELLE INFORMAZIONI

Sicurezza delle informazioni significa protezione dei dati personali, dei dati aziendali su strategie e piani, ma anche integrità e disponibilità delle informazioni sia in forma scritta, verbale o in formato elettronico.

Il rischio informatico o Cyber Risk è diventato una questione centrale per tutte le organizzazioni e il loro management continuamente pressati da utenti, clienti, fornitori, autorità di regolazione e business partner che chiedono assicurazioni nella gestione della sicurezza delle informazioni ed esigono che l’organizzazione sia in grado di difendersi, reagire e riprendersi da eventuali attacchi informatici.
Ma la resilienza contro gli attacchi informatici richiede non solo la capacità di organizzare difese digitali, visto che la gran parte degli attacchi ha origine nel mondo analogico e sono spesso provocati da vulnerabilità fisiche e ambientali, ma anche l’adozione di un sistema di gestione della sicurezza delle informazioni che sia metodico, completo e solido.
La norma internazionale UNI CEI EN ISO/IEC 27001:2017 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione – Requisiti” è un piano di azione per sviluppare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) in linea con l’operatività, i requisiti contrattuali e normativi e la propensione al rischio di un’organizzazione.
La ISO 27001 non è quindi unicamente uno standard di sicurezza informatica in quanto, oltre alla sicurezza logica, include la sicurezza fisica ambientale e la sicurezza organizzativa.
Inoltre la nuova versione, la precedente era del 2013, è il risultato di 4 anni di miglioramenti nella comprensione di un’efficace gestione della sicurezza e include una vasta serie di controlli basati sulle best practice (¹).

I principali standard della serie ISO 27000

La norma sulla sicurezza delle informazioni è uno standard diviso in due parti che negli anni ha subito un rilevante progresso. Una parte della norma (UNI CEI EN ISO/IEC 27001:2017 ) fornisce i requisiti generali di un Sistema di Gestione per la Sicurezza delle Informazioni e contiene le specifiche formali alle quali un SGSI dovrà attenersi affinché l’organizzazione possa conseguire la certificazione ISO 27001. L’altra parte (UNI CEI EN ISO/IEC 27002:2017) è un Codice di condotta, contiene le linee guida relative al processo di attuazione e controllo di un sistema di gestione per la sicurezza delle informazioni basato sulla ISO 27001. Nell’ambito delle norme per i sistemi di gestione esiste una differenza tra una specifica e un codice di condotta. La prima indica ciò che è obbligatorio per un sistema affinché soddisfi la conformità alla norma e contiene verbi al presente e al futuro. Il secondo fornice le linee guida e usa il condizionale per indicare che la conformità non è obbligatoria. Infatti la certificazione avviene per una specifica dei requisiti e non per un codice di condotta. Sia la ISO 27001 che la ISO 27002 sono supportate dalla ISO 27000 che oltre a fornire un quadro generale dello standard sui Sistemi di Gestione per la Sicurezza delle Informazioni contiene termini e definizioni utilizzati nelle altre norme della serie(²). Inoltre la norma ISO 27001 si armonizza con la ISO 9001:2015 (Sistemi di gestione per la qualità – Requisiti) e la ISO 14001:2015 (Sistemi di gestione ambientale – Requisiti e guida per l’uso) e la ISO 22301:2019 (Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti )

LA GESTIONE DEL PROGETTO SICUREZZA DELLE INFORMAZIONI E IL SUPPORTO DELLA DIREZIONE AZIENDALE.

Un progetto di sicurezza delle informazioni in una organizzazione ha aspetti gestionali e di governance. Il successo della realizzazione e della successiva attuazione di un SGSI dipende in particolar modo dal sostegno dei vertici aziendali al progetto.

Ideare, realizzare e mettere in pratica un sistema di gestione della sicurezza delle informazioni è a tutti gli effetti un vero e proprio progetto aziendale e come tale deve essere gestito.
Occorre innanzitutto che la Direzione supporti l’iniziativa progettuale nominando un responsabile in grado di seguire tutte le fasi del progetto SGSI.
Il motivo per cui la Direzione deve sostenere il progetto SGSI e chi lo gestisce è che si tratta di un progetto che interessa tutti, è un progetto strategico allineato con la strategia e gli obiettivi a lungo termine dell’organizzazione.
La persona incaricata deve occuparsi di ridurre qualcosa che appare potenzialmente complessa, difficile e costosa in termini di tempo e impiego di risorse in qualcosa a cui tutti dovranno dare il loro sostegno e possa essere completata nei tempi definiti e con le risorse assegnate.
Ciò significa che la Direzione deve nominare un Project Manager che dovrà impostare il progetto e avere le risorse necessarie, il tempo sufficiente e la conoscenza dei rischi per poter impostare le necessarie contromisure.
Inoltre al pari di qualsiasi altra iniziativa progettuale un progetto SGSI porterà dei cambiamenti all’interno della vita lavorativa dell’organizzazione e non tutti saranno pronti ad accoglierli. Spetta al Project Manager approfondire i vari aspetti del progetto all’interno dell’organizzazione, fornire chiarimenti e alimentare entusiasmo, certezze e comprensione di quanto si sta realizzando.
In questa fase il supporto al progetto da parte della Direzione è ancora più importante. Il successo della realizzazione e della successiva applicazione di un SGSI dipende dal sostegno dei vertici dell’organizzazione; solo con tale appoggio il progetto ha reali chance di successo.

Il supporto della Direzione non deve essere limitato a fornire le risorse necessarie. Difatti occorre che sia attivamente coinvolta e soprattutto determinata a raggiungere l’obiettivo, deve accertarsi che la priorità del progetto sia ben compresa e continuamente sostenuta da tutti all’interno dell’organizzazione, deve comunicare e far comprendere quale deve essere il risultato finale e perché è fondamentale.
Inoltre la Direzione e il project manager devono svolgere un ruolo attivo nella promozione e nella facilitazione del cambiamento prodotto dal progetto (es. nuove procedure per svolgere alcuni compiti nelle attività quotidiane del personale).
Anche se la l’attivazione di un SGSI non richiede profondi stravolgimenti nelle attività lavorative è importante a tal riguardo che la Direzione faccia chiarezza sulla necessità del cambiamento indotto dall’adozione di un SGSI con tutti gli stakeholder, in particolare con coloro le cui attività di lavoro, più di altre, subiranno delle trasformazioni.
La Direzione dunque deve essere la forza trainante in un progetto SGSI e dimostrare leadership e impegno nell’ottenimento della certificazione ISO 27001 e della sua successiva adozione e del miglioramento continuo del sistema di gestione.
D’altronde il supporto concreto, e non solo formale, da parte della Direzione è la chiave per il successo della norma ISO 27001

(¹)Annex A “Control objectives and controls” che contiene i controlli a cui l’organizzazione, che intende applicare la norma, deve attenersi. Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni). La gestione della continuità operativa e il rispetto normativo completano l’elenco degli obiettivi di controllo.

(²)ISO 27003:2017 – Information technology — Security techniques — Information security management systems — Guidance.
ISO 27004:2016 – Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation.
ISO 27005:2018 – Information technology — Security techniques — Information security risk management.
ISO 27011:2020 – Tecnologie informatiche – Tecniche di sicurezza – Raccolta di prassi per i controlli relativi alla sicurezza delle informazioni per le organizzazioni del settore delle telecomunicazioni basata sulla ISO/IEC 27002
ISO 27799:2017 – Informatica medica – Gestione della sicurezza dell’informazione in materia di salute in riferimento alla UNI CEI ISO/IEC 27002

Riferimenti bibliografici:
https://www.uni.com/;
I nove passi per il successo – Compendio per l’attuazione della norma ISO 27001:2013 Di Alan Calder · 2017;
https://www.iso.org/home.html

Photo by Austin Distel on Unsplash

SCOPRI COME IL NOSTRO TEAM DI ESPERTI PUÒ AIUTARTI A CERTIFICARE LA TUA AZIENDA.

LA QUADROLOGICO FORNISCE SERVIZI DI CONSULENZA AZIENDALE E FORMAZIONE IN PROJECT MANAGEMENT A NAPOLI, SALERNO, MATERA, POTENZA, ROMA, PESCARA, CHIETI, PERUGIA, GUBBIO, FIRENZE, BOLOGNA E IN ALTRE CITTÀ ITALIANE