Sicurezza delle informazioni proprie e dei clienti: lo standard UNI CEI ISO/IEC 27001 (con infografica)

Osservazioni

Uno degli obiettivi più importanti per un’organizzazione è stabilire un rapporto di fiducia con chi sceglie la sua offerta commerciale: i clienti sono infatti difficili da acquisire e facili da perdere (ancor più se il mercato di riferimento è saturo di concorrenti e ricco di soluzioni alternative).

Come garantire che questo rapporto di fiducia prosegua nell’interesse di entrambi? In primo luogo offrendo prodotti e servizi competitivi per qualità e prezzo e assicurando un’assistenza e un supporto puntuale e personalizzato, prima e dopo l’acquisizione. Ma si dimentica spesso un ulteriore elemento: nell’epoca dei processi digitali è fondamentale, da parte dell’azienda fornitrice, garantire la sicurezza delle informazioni e dei dati trattati: un aspetto che diventa cruciale per chi opera nel campo dei servizi IT. 

Per questo sono così importanti la gestione della sicurezza delle informazioni e la norma ad essa associata: la UNI CEI ISO/IEC 27001, redatta nel 2005 e revisionata nel 2013 (la versione italiana è del 2014).

Il rischio di compromissione delle informazioni e dei dati è oggi infatti davvero elevato: basta pensare alle notizie giornaliere su atti di hackeraggio, violazioni della privacy e pratiche di phishing. Secondo un rapporto Clusit (qui commentato da Tech Economy), il 2016 è stato l’anno peggiore di sempre quanto a incremento degli attacchi informatici, in particolare per i settori della grande distribuzione (+70% rispetto all’anno precedente) e delle banche (+64%). Le attività totali di cybercrime sarebbero aumentate del 9,8%. Il 22% di imprese segnala inoltre di aver perso clienti per colpa di queste attività criminali e il 29% ha perso quote di fatturato (quasi 3 su 10). E non solo gli atti dolosi dovrebbero destare l’attenzione delle imprese sulla sicurezza informatica. Se consideriamo infatti alcuni eventi molto più usuali nella vita di un’azienda, ci rendiamo conto del rischio che corrono le nostre informazioni digitali: sbalzi di tensione energetica, malfunzionamenti della struttura IT, incidenti fisici ai locali…

Quindi, chi mette in atto procedure di prevenzione pone al sicuro il proprio business e quello delle organizzazioni di cui tratta i dati.

Le aziende più attente tutelano sé e i clienti certificandosi secondo la norma UNI CEIISO/IEC 27001:2014: lo scopo è quello di fornire i requisiti per “stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione”. La 27001 fa parte della famiglia di norme UNI CEI ISO/IEC 27000: un insieme di norme, pubblicate congiuntamente dall’International Organization of Standardization (ISO) e dall’International Electrotechnical Commission (IEC), che riguardano il sistema di gestione della sicurezza delle informazioni.

Certificarsi a norma UNI CEI ISO/IEC 27001 non è un obbligo, ma certo l’azienda che segue questa strada offre un plus di sicurezza a sé e ai propri clienti. Possono seguire l’iter di certificazione le organizzazioni di tutti i settori merceologici e di tutte le dimensioni.

a. Come certificarsi a norma UNI CEI ISO/IEC 27001

La UNI CEI ISO/IEC 27001 definisce innanzitutto una serie di requisiti che l’organizzazione deve possedere per ottenere la certificazione: si tratta di parametri volutamente generali (come vedremo nella loro formulazione) proprio per consentire a tutti i settori di calare i principi complessivi nel proprio contesto di business.

Il focus è sull’individuazione preventiva dei potenziali rischi attinenti le informazioni in possesso e in uso nell’organizzazione e, successivamente, sulla definizione di un sistema di gestione della sicurezza delle informazioni (Information Security Management System in inglese, ISMS). Il compito delle aziende non cessa tuttavia qui.

Infatti, la norma UNI CEI ISO/IEC 27001 segue la logica PDCA (Plan – Do – Check – Act): quindi non una gestione lineare del rischio, ma ciclica, nell’ottica del miglioramento continuo dei processi. Ciò vuol dire che, alla definizione della gravità dei rischi e del loro trattamento, segue il monitoraggio dell’efficacia del sistema impostato e la sua ri-definizione attraverso l’analisi e il riesame dei dati acquisiti. E così via.

Compreso quindi il principio generale, e valutata la possibilità di monitorare il processo nel tempo, l’azienda si sottopone all’audit annuale per ottenere la certificazione o per rinnovarla. L’audit viene svolto da un ente certificatore di terza parte scelto dalla stessa organizzazione, purché sia accreditato e presente nel database di Accredia.

b. La misurazione dei rischi per le informazioni

Con quale metodo definire e misurare i rischi relativi alla sicurezza delle informazioni che possono occorrere alla nostra azienda? Innanzitutto il patrimonio di informazioni deve mantenere tre caratteristiche per essere sicuro: riservatezza, integrità, disponibilità.

Data la generalità della norma, ogni azienda dovrà valutare i rischi in riferimento al proprio contesto organizzativo di business e decidere come misurarli e trattarli attraverso un processo di gestione del rischio.

c. Fasi di implementazione della UNI CEN ISO/IEC 27001 e requisiti

Abbiamo visto che nell’era dei processi digitali, certificarsi secondo la UNI CEI ISO/IEC 27001 è un asset strategico per l’azienda e per la sicurezza delle informazioni proprie e ancor più dei clienti. Abbiamo visto che i principi stabiliti dalla norma sono di carattere generale, in modo da adattarsi agevolmente a tutti settori. Dunque, come essere sicuri di conformarsi ai requisiti stabiliti dallo standard? Anche se la norma non definisce criteri rigidi e univoci per la gestione del rischio, vengono stabiliti i requisiti che devono essere applicabili e applicati in ogni azienda (che coprono i punti 4-10 del testo):

  1. determinazione del contesto dell’organizzazione (compresi campo di applicazione, necessità e aspettative delle parti interessate);
  2. definizione della leadership, in capo alla Direzione, e della politica di sicurezza aziendale;
  3. pianificazione delle azioni (per affrontare i rischi e opportunità) e degli obiettivi;
  4. definizione del supporto di risorse, competenze, comunicazioni, documentazioni ecc…;
  5. attività operative (pianificazione e controlli, valutazione e trattamento del rischio);
  6. valutazione delle prestazioni tramite monitoraggio e misurazione, audit interno, riesame della Direzione;
  7. miglioramento continuo (gestione delle non conformità e delle azioni correttive).

Un riferimento ulteriore è poi l’Appendice AObiettivi di controllo e controlli di riferimento. Questa sezione elenca i controlli di sicurezza da attuare, ripresi direttamente dalla UNI CEI ISO/IEC 27002:2013 ai capitoli 5-18, e da implementare all’interno di un’azienda che si vuole certificare. Ogni categoria di controllo contiene: l’obiettivo del controllo da raggiugere e i controlli che possono essere applicati per raggiungere tale obiettivo. A titolo di esempio: fornire gli indirizzi ed il supporto della direzione per la sicurezza delle informazioni; assicurare che il personale e i collaboratori comprendano le proprie responsabilità per la sicurezza delle informazioni; inventariare gli asset aziendali associati alle informazioni e definire un responsabile; e così via.

Informazioni ulteriori sulla UNI CEN ISO/IEC 27001 si possono reperire sul sito dell’International Organization for Standardization: si evince che la sicurezza delle informazioni rappresenta un elemento fondamentale della produttività di un’azienda e che la 27001 rappresenti un vero e proprio asset per garantire la business continuity propria e dei clienti.

 

Autore Paolo Ravalli

CEO Mainline srl

Condividi con noi:
Nessun commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Osservazioni
Innovazione e Design: quali saranno i lavori del futuro

In un’epoca in cui la digitalizzazione del lavoro si sta espandendo in modo esponenziale, anche gli specialisti del design si stanno evolvendo verso strade non ancora battute. La parola Design nasce nel contesto di progettazione di oggetti ai fini della produzione industriale. La figura del designer ha iniziato così a connotarsi, nel sentire comune, di qualità come …

Osservazioni
Economia dei dati e system integration IT: quale relazione?

“L’aggettivo data-driven significa che il progresso in un’attività è condotto da dati, invece che dall’intuizione o dall’esperienza personale”: questa è la definizione di Wikipedia a un fenomeno che sta cambiando la modalità con cui prendere decisioni strategiche in azienda. Eppure, affermano alcuni, già da molto tempo le aziende raccolgono informazioni …

Osservazioni
1
Critica (s)ragionata sull’innovazione

Mi spiace rompere le uova nel paniere, ma così a scanso di equivoci, proverei a considerare l’innovazione come un concetto politico, ancor prima di essere un concetto meramente tecnologico o culturale. Per semplificare, diciamo che la sfera politica ha a che fare con la libertà e la sua misura: Maggiori sono le libertà garantite, più è …