Cosa trovi in questo articolo
La certificazione ISO IEC 27001 è uno standard internazionale per il sistema di gestione della sicurezza per tutto ciò che concerne le informazioni private. Per poter ottenere questo tipo di certificazione è importante che l’azienda dimostri che sta seguendo un programma qualificato sulla sicurezza delle informazioni attraverso un sistema di processi e tecnologie capaci di monitorare e gestire le informazioni private.
L’ISO IEC 27001 o Information Security Management System consiste quindi in un documento normativo al quale deve riferirsi ciascuna azienda o organizzazione che sia intenzionata a certificarsi.
La certificazione ISO IEC 27001 è uno standard internazionale per il sistema di gestione della sicurezza per tutto ciò che concerne le informazioni private
Cos’è la Certificazione ISO IEC 27001?
La certificazione ISO IEC 27001 è una norma standard internazionale in cui sono contenute tutte le regole per poter gestire un sistema di gestione di sicurezza delle informazioni. Questa norma include oltre alla sicurezza informatica anche regole di gestione della sicurezza ambientale, fisica e organizzativa.
Pubblicata per la prima volta nel 2005 arriva in Italia nel 2006 con lo scopo di garantire una corretta gestione della sicurezza informatica. Nasce in sostituzione delle norme inglesi considerate fino a quel momento norme di riferimento per i sistemi di gestione e sicurezza dell’informazione.
Ne esistono varie versioni ma la più recente è quella del 2017 conosciuta appunto come ISO IEC 27001 che non è altro che la versione del 2013 ampliata con la versione del 2014 e del 2015. Si tratta di una raccolta di best practices alla quale azienda o organizzazione devono fare riferimento per ottenere la certificazione in cui si attesta che sono capaci di mettere in atto tutte le misure per gestire in maniera idonea il sistema di sicurezza delle informazioni.
In altri termini ogni organizzazione deve poter dimostrare che tutte le informazioni e tutti i dati sono protetti da quelli che possono essere i rischi di violazione dei sistemi. Questa norma è applicabile a tutti i settori commerciali, dei trasporti, delle telecomunicazioni, della finanza e delle assicurazioni e si basa sull’identificazione, sull’analisi, sulla valutazione e sul trattamento dei rischi utilizzando tutte le procedure correttive e di prevenzione deputate ad un miglioramento costante.
Ne esistono varie versioni ma la più recente è quella del 2017 conosciuta appunto come ISO IEC 27001 che non è altro che la versione del 2013 ampliata con la versione del 2014 e del 2015
Cos’è un Sistema di Gestione della Sicurezza delle Informazioni (SGSI)?
Il sistema di gestione della sicurezza informatica è l’insieme di tutte le pratiche che un’azienda utilizza per garantire la difesa dei dati relativi alle risorse informatiche da possibili minacce; si basa dunque sulla valutazione dei rischi che un’azienda può correre.
Per poter garantire la sicurezza informatica è necessario seguire le norme standard di sicurezza informatica. Tali norme descrivono la metodologia per poter realizzare un sistema di sicurezza e se vengono applicate in maniera corretta permettono all’azienda di ottenere una certificazione.
Per sistema di sicurezza informatico si intende quindi il complesso di tecnologie e pratiche il cui scopo è quello di proteggere tutti i dispositivi e le reti contenenti dati riservati da possibili attacchi esterni. Il rischio di minacce alla sicurezza informatica è notevolmente aumentato ed è per questo motivo che si rende necessaria una formazione che possa prevenire tale evenienza.
Differenze e similitudini tra norma ISO IEC 27001 e GDPR
L’ ISO IEC 27001 è un regolamento generale per ottenere i requisiti richiesti dal GDPR o regolamento generale sulla protezione dei dati. Secondo questo regolamento le aziende devono mettere in atto tutte le procedure appropriate per la protezione dei dati personali di cui sono in possesso.
L’ ISO IEC 27001 utilizza una serie di procedure e documenti che servono per il sistema di gestione della sicurezza delle informazioni, conosciuto anche come SGSI. Tale protezione che avviene attraverso un sistema di monitoraggio e controllo ha lo scopo di migliorare la sicurezza delle informazioni aziendali.
ll GDPR è una normativa europea che riguarda la protezione dei dati personali che è entrata in vigore nel 2016 ed è stata effettivamente attuata due anni dopo, nel 2018. Secondo il GDPR la protezione dei dati personali deve essere intesa come un diritto fondamentale delle persone fisiche per cui la normativa sposta la sua attenzione dalla tutela dell’interessato alla responsabilità del titolare che deve adottare tutte le misure di tutela per garantire la riservatezza dei dati trattati.
L’ISO 27001 e il GDPR sono due normative volte a garantire la sicurezza dei dati prevenendo il rischio di violazione. Rispettare le norme dell’ ISO 27001 non significa necessariamente che si rispettino tutti i principi del GDPR. Ciò dipende dalla differenza sostanziale che c’è tra i due regolamenti.
Rispetto all’ISO IEC 27001 il GDPR ha un campo d’azione più ampio quindi la certificazione ISO può semplificare il processo di conformità al GDPR. Tra i due regolamenti ci sono diverse differenze e infatti il GDPR è un regolamento standard che indirizza le aziende sulle tecniche di riservatezza mentre l’ISO 27001 è un insieme di best practices che riguardando soprattutto la sicurezza delle informazioni senza coprire quelli che sono gli aspetti legati ai dati personali.
E’ per questo motivo che solamente integrando i due standard si può gestire meglio la sicurezza riducendo al massimo i possibili rischi cui potrebbe andare incontro.
Rispetto all’ISO IEC 27001 il GDPR ha un campo d’azione più ampio quindi la certificazione ISO può semplificare il processo di conformità al GDPR
La Certificazione ISO IEC 27001 è obbligatoria in Italia?
Il presupposto da cui partire è che la certificazione ISO IEC 27001 è una norma non cogente e pertanto assunta ed osservata solamente su base volontaria. Rispettando tale normativa le aziende si impegnano all’osservanza delle regole relative alla protezione dei dati.
In Italia non esiste obbligo di certificazione ISO IEC 27001 e ciascuna organizzazione ha la possibilità di decidere liberamente se adottare la norma e in che misura farlo. Qualunque azienda o organizzazione intenzionata ad ottenere una certificazione ISO 27001 è tenuta a dimostrare il rispetto dei requisiti richiesti dalla norma.
Nonostante la ISO IEC 27001 sia una norma non obbligatoria la pubblica amministrazione è comunque orientata verso quelle aziende e quei fornitori che riescono a garantire il rispetto di determinati livelli di sicurezza informativa.
I vantaggi della Certificazione ISO 27001 per le aziende
Le aziende che sono in possesso di una certificazione ISO 27001 possono godere di diversi vantaggi. Prima di tutto è bene ricordare che questo standard è appositamente pensato per garantire dei controlli di qualità e sicurezza adeguati e di conseguenza per proteggere i dati in maniera conforme a quanto previsto dalle leggi in tema di sicurezza sulle informazioni.
Il rispetto di questo standard aiuta le organizzazioni a diventare più produttive stabilendo in maniera chiara i ruoli e le responsabilità in caso di minacce alle informazioni. Fornendo indicazioni generali relative all’efficacia delle sicurezza che sono accettate a livello internazionale, la certificazione ISO IEC 27001 riduce la necessità di ripetuti controlli ed audit frequenti.
Altro vantaggio è il miglioramento di reputazione. Gli attacchi informatici sono sempre più frequenti e la scarsa sicurezza delle informazioni è in grado di creare importanti danni finanziari e reputazionali; grazie a questo modello è possibile proteggere la propria organizzazione da minacce ed al contempo dimostrare di aver adottato tutti gli strumenti utili a contrastarle.
All’interno delle aziende che sono in possesso di una certificazione ISO 27001 vengono periodicamente eseguiti audit interni e revisioni. Questo serve a garantire un continuo miglioramento e tra i diversi benefici di questa certificazione vi è proprio la possibilità di avere dei controlli da parte di un revisore esterno che dopo aver fatto le sue valutazioni dà il proprio parere ai responsabili.
Grazie a questo modello è possibile proteggere la propria organizzazione da minacce ed al contempo dimostrare di aver adottato tutti gli strumenti utili a contrastarle
Cosa fare per implementare un SGSI conforme allo Standard ISO IEC 27001
Dopo aver ottenuto una certificazione ISO IEC 27001 il problema è quello di implementare un SGSI conforme allo standard. Quando ci si sofferma sulla tutela dei dati e delle informazioni un primo aspetto da tenere presente è che l’uso della tecnologia non è più sufficiente da solo e deve essere affiancato da un’adeguata strategia organizzativa.
Se un’organizzazione vuole dimostrare di esser capace di proteggere adeguatamente dati e informazioni allora deve adottare procedure operative adeguate e monitorare costantemente i processi aziendali. Gli aspetti da tenere in considerazione sono le tecnologie che devono essere mantenute e gestite correttamente, le persone ed i processi.
Il Lead Auditor per la Certificazione ISO IEC 27001: chi è? Cosa fa?
Il Lead Auditor per la certificazione ISO IEC 27001 è un professionista competente che attraverso la frequenza e il superamento di corsi ottiene una buona conoscenza della normativa. Si tratta di un soggetto competente in materia, responsabile della direzione del team revisori.
Il lead auditor è una figura responsabile cui è affidato il compito di dirigere lavori delicati e complessi in azienda. Si occupa di fare controlli, revisioni e valutazioni al fine di comprendere se l’azienda in possesso di certificazione ne rispetti realmente i principi e quali potrebbero essere i margini di miglioramento.
Questa professione sta diventando sempre più importante ed infatti oggigiorno è possibile partecipare a diversi corsi professionalizzanti. Uno dei più validi è il Corso Auditor ISO IEC 27001, un corso online proposto dalla piattaforma Alteredu appositamente pensato per tutti coloro che vogliono formarsi per svolgere attività di audit all’interno delle aziende o organizzazioni in possesso di certificazione ISO IEC 27001. Questo corso qualificato viene proposto online e pertanto con modalità e-learning. I partecipanti sono tenuti a seguire delle lezioni e a prepararsi sulla base di queste ultime per poter sostenere un test valutativo finale con il superamento del quale si ottiene una certificazione valida legalmente e quindi utilizzabile sul posto di lavoro.
