ISO 27001: una norma standard per la sicurezza delle in­for­ma­zio­ni in azienda

Per svolgere il proprio lavoro in modo sicuro ed efficace nel­l'e­po­ca della di­gi­ta­liz­za­zio­ne, le aziende devono sod­di­sfa­re standard elevati di sicurezza delle in­for­ma­zio­ni. L'Or­ga­niz­za­zio­ne in­ter­na­zio­na­le per la nor­ma­zio­ne (ISO) ha svi­lup­pa­to una norma per la sicurezza delle in­for­ma­zio­ni in azienda. Se le aziende ri­spet­ta­no i requisiti della norma possono ri­chie­de­re una cer­ti­fi­ca­zio­ne di questo tipo. La cer­ti­fi­ca­zio­ne in questione è stata svi­lup­pa­ta da esperti rinomati e ri­co­no­sciu­ti a livello mondiale nel­l'am­bi­to della sicurezza delle in­for­ma­zio­ni e descrive un metodo che le aziende devono applicare al fine di garantire uno standard elevato di sicurezza dei dati.

Con la norma in­ter­na­zio­na­le ISO-27001 è possibile creare standard per la sicurezza delle in­for­ma­zio­ni al­l'in­ter­no di un'a­zien­da o di un'or­ga­niz­za­zio­ne. La norma è strut­tu­ra­ta in modo da rendere le di­men­sio­ni e il settore del­l'a­zien­da inin­fluen­ti per la sua rea­liz­za­zio­ne. At­te­nen­do­si alle direttive, si può ricevere una cer­ti­fi­ca­zio­ne ISO-27001. Pos­se­den­do un cer­ti­fi­ca­to di questo tipo, un'a­zien­da può di­mo­stra­re ai clienti e ai partner com­mer­cia­li di essere un'or­ga­niz­za­zio­ne af­fi­da­bi­le che prende sul serio il tema della sicurezza delle in­for­ma­zio­ni.

I vantaggi per le aziende coin­vol­go­no quattro settori diversi. Prima di tutto un cer­ti­fi­ca­to di questo tipo co­sti­tui­sce una base per l'at­tua­zio­ne delle di­spo­si­zio­ni le­gi­sla­ti­ve. Inoltre, con questo cer­ti­fi­ca­to si ottiene un vantaggio com­pe­ti­ti­vo poiché non tutte le aziende sono cer­ti­fi­ca­te ISO 27001. Le aziende che hanno ottenuto la cer­ti­fi­ca­zio­ne in questione possono fornire ai clienti do­cu­men­ta­zio­ni concrete sulla priorità della propria politica riguardo un trat­ta­men­to sicuro delle in­for­ma­zio­ni sensibili. La con­for­mi­tà allo standard ISO-27001 riduce il rischio di incidenti per la sicurezza delle in­for­ma­zio­ni e con­tri­bui­sce anche a una riduzione dei costi, poiché incidenti di questo tipo com­por­ta­no notevoli oneri fi­nan­zia­ri.

Inoltre una cer­ti­fi­ca­zio­ne ISO-27001 ottimizza i processi aziendali. Vengono mi­ni­miz­za­ti i tempi morti dei col­la­bo­ra­to­ri at­tra­ver­so la re­gi­stra­zio­ne per iscritto dei prin­ci­pa­li processi aziendali.

Ulteriori vantaggi sono:

• Riduzione dei rischi aziendali
• Mi­ni­miz­za­zio­ne dei rischi di re­spon­sa­bi­li­tà
• Premi as­si­cu­ra­ti­vi più van­tag­gio­si
• Sistema af­fi­da­bi­le di ri­co­no­sci­men­to dei problemi e delle minacce

La norma ISO-27001 è composta da varie parti. La base è co­sti­tui­ta dalla stessa norma ISO/IEC 27001 del 2005. Nell'anno 2015 questa base è stata rie­la­bo­ra­ta e integrata da un ulteriore capitolo, ossia la seconda parte. Que­st'ul­ti­ma viene inserita nella norma come allegato e mostra in maniera det­ta­glia­ta tutte le novità ag­gior­na­te. La norma può essere glo­bal­men­te suddivisa in 3 paragrafi:Dopo il capitolo in­tro­dut­ti­vo segue la parte prin­ci­pa­le. La con­clu­sio­ne contiene i due allegati già men­zio­na­ti.

De­ter­mi­nan­te per la cer­ti­fi­ca­zio­ne conforme all'ISO-27001 è la com­po­nen­te normativa, dove sono spiegate in maniera precisa le misure da in­tra­pren­de­re. Le misure collegate non rap­pre­sen­ta­no però una guida per la rea­liz­za­zio­ne dello standard ma piuttosto consigli per un'at­tua­zio­ne efficace. I fon­da­men­ti di questi consigli si basano sui pilastri della ri­ser­va­tez­za, di­spo­ni­bi­li­tà e integrità.

Per sem­pli­fi­ca­re i processi e la loro at­tua­zio­ne, l'ISO-27001 si serve anche di principi di altri standard. Questo perché pa­ral­le­li­smi con altre norme (che forse molti di voi co­no­sce­ran­no già) possono aiutare le or­ga­niz­za­zio­ni nel processo di at­tua­zio­ne e vi in­co­rag­ge­ran­no ad in­tro­dur­re gli standard ISO-27001.

Nel 2013, i requisiti dell'ISO-27001 sono cambiati in maniera notevole rispetto alle prime versioni del 2005. La struttura portante della norma non è stata soltanto mo­di­fi­ca­ta, ma anche raf­for­za­ta in modo si­gni­fi­ca­ti­vo.

La norma ISO-27001 è suc­ces­si­va al­l'at­tua­zio­ne di un In­for­ma­tion Security Ma­na­ge­ment System (ISMS), un approccio pro­ce­du­ra­le. Mentre nella prima versione era ancora presente un rimando esplicito al ciclo PDCA, adesso que­st'ul­ti­mo non è più ob­bli­ga­to­rio. I requisiti valgono per or­ga­niz­za­zio­ni di qualsiasi di­men­sio­ne e settore.

L'ISO-27001 richiede alle aziende di definire e con­si­de­ra­re tutti i temi esterni e interni che possono influire sulla propria capacità di attuare con successo un ISMS. Con questo si intendono in par­ti­co­la­re la cultura aziendale, le con­di­zio­ni am­bien­ta­li, le di­spo­si­zio­ni re­go­la­men­ta­ri, gli obblighi con­trat­tua­li e legali nonché le linee guida ufficiali in relazione alla go­ver­nan­ce. Ai vertici della direzione di un'or­ga­niz­za­zio­ne l'ISO-27001 richiede di stabilire in maniera chiara la politica in materia di sicurezza delle in­for­ma­zio­ni e di definire com­pe­ten­ze e re­spon­sa­bi­li­tà per lo svol­gi­men­to dei compiti. Inoltre un'or­ga­niz­za­zio­ne ha l'obbligo di pro­muo­ve­re la con­sa­pe­vo­lez­za sul tema della sicurezza delle in­for­ma­zio­ni in tutta l'azienda.

Anche la pia­ni­fi­ca­zio­ne svolge un ruolo fon­da­men­ta­le nella cer­ti­fi­ca­zio­ne conforme all'ISO-27001. Perciò le di­spo­si­zio­ni ri­guar­da­no la va­lu­ta­zio­ne di rischi specifici collegati alla sicurezza delle in­for­ma­zio­ni del­l'a­zien­da e l'e­la­bo­ra­zio­ne di un programma di trat­ta­men­to. La re­spon­sa­bi­li­tà di stabilire i rischi e le relative risposte è esclu­si­va­men­te di com­pe­ten­za del­l'a­zien­da. Inoltre la norma prescrive che le risorse di un'a­zien­da debbano essere pronte a garantire un mi­glio­ra­men­to continuo, nonché il man­te­ni­men­to e l'at­tua­zio­ne dell'ISMS. Le in­for­ma­zio­ni ri­guar­dan­ti l'ISMS devono essere inoltre do­cu­men­ta­te con cura. È richiesto anche di preparare a in­ter­val­li regolari rapporti in­for­ma­ti­vi.  Le aziende devono essere in grado di con­trol­la­re, quan­ti­fi­ca­re e ana­liz­za­re l'ef­fi­ca­cia del proprio ISMS. Ecco perché tutto questo deve svolgersi a in­ter­val­li regolari.

Una volta impostato l'ISMS, si procede con la clas­si­fi­ca­zio­ne dei valori aziendali. Questo avviene tenendo in con­si­de­ra­zio­ne i tre pilastri della ri­ser­va­tez­za, integrità e di­spo­ni­bi­li­tà. La clas­si­fi­ca­zio­ne è suddivisa in tre livelli.

Il livello uno, ad esempio, comprende i documenti pubblici che in caso di al­te­ra­zio­ne possono causare al­l'a­zien­da un danno alquanto ir­ri­le­van­te che non supera i 500 euro. Fanno parte di questo livello i documenti che anche in caso di inos­ser­van­za per­si­sten­te di una settimana delle norme ISO com­por­ta­no a malapena danni per l'or­ga­niz­za­zio­ne.

Il secondo livello comprende documenti interni come ad esempio documenti contabili o relativi alla re­tri­bu­zio­ne. In questo caso, con vio­la­zio­ni alla norma ISO per la sicurezza della in­for­ma­zio­ni, possono insorgere notevoli danni economici fino ai 5.000 euro. Incidenti di questo tipo non possono protrarsi per più di 24 ore.

Il terzo e ultimo livello riguarda documenti che con­ten­go­no dati interni molto sensibili. Qui in caso di al­te­ra­zio­ne i danni ol­tre­pas­sa­no la soglia dei 5.000 euro. Incidenti di questo tipo non possono protrarsi per più di 3 ore.

L'at­tua­zio­ne della Norma ISO/IEC 27001 richiede di compiere passi specifici che non possono essere applicati da ogni azienda in maniera analoga. Ogni or­ga­niz­za­zio­ne presenta esigenze spe­ci­fi­che e ogni ISMS deve essere adeguato in maniera in­di­vi­dua­le a ciascuna or­ga­niz­za­zio­ne. Di seguito abbiamo il­lu­stra­to tutti i passi che quasi tutte le or­ga­niz­za­zio­ni, in­di­pen­den­te­men­te dal settore, possono in­tra­pren­de­re.

Il primo passo per una cer­ti­fi­ca­zio­ne con esito positivo del­l'a­zien­da è as­si­cu­ra­re la pro­te­zio­ne e gli obblighi dei vertici della direzione. La priorità della direzione deve essere di attuare con successo un ISMS e definire in maniera chiara gli obiettivi per­se­gui­ti per una politica di sicurezza delle in­for­ma­zio­ni per tutti i col­la­bo­ra­to­ri.

Suc­ces­si­va­men­te vengono stabiliti elementi specifici della politica di sicurezza delle in­for­ma­zio­ni. A questo punto l'or­ga­niz­za­zio­ne definisce gli obiettivi e sta­bi­li­sce la direzione stra­te­gi­ca dei principi della sicurezza delle in­for­ma­zio­ni. Questo servirà da quadro di ri­fe­ri­men­to per gli sviluppi futuri.

Non appena stabilita la politica relativa alla sicurezza delle in­for­ma­zio­ni, l'or­ga­niz­za­zio­ne definisce i campi di ap­pli­ca­zio­ne dell'ISMS. A tal proposito ricoprono un ruolo im­por­tan­te le de­fi­ni­zio­ni spe­ci­fi­che di tutti gli aspetti della sicurezza delle in­for­ma­zio­ni, efficaci nel­l'am­bi­to dell'ISMS. Si elabora anche un'a­na­li­si dei rischi in relazione alle misure per la sicurezza delle in­for­ma­zio­ni. Questa permette di co­mu­ni­ca­re i possibili rischi da con­si­de­ra­re. Perciò l'analisi contempla so­prat­tut­to i punti deboli del sistema attuale.

Per ridurre i rischi esistenti, l'or­ga­niz­za­zio­ne sta­bi­li­sce le misure a riguardo. Il risultato del­l'a­na­li­si è un catalogo di misure, da con­trol­la­re re­go­lar­men­te e adeguare in base ai casi. Dopo aver attuato con successo tali misure, nel­l'or­ga­niz­za­zio­ne si svolge un pre-audit, che precede quello che sarà il vero audit per ottenere la cer­ti­fi­ca­zio­ne. Questo pre-audit serve a rilevare i po­ten­zia­li problemi e punti deboli che po­treb­be­ro avere un impatto negativo per l'audit della cer­ti­fi­ca­zio­ne. Sono escluse non con­for­mi­tà alla norma ISO-27001.

L'ultimo passo per un'at­tua­zio­ne con esito positivo della norma ISO-27001 è il vero audit per ottenere la cer­ti­fi­ca­zio­ne. Un ente di cer­ti­fi­ca­zio­ne in­di­pen­den­te valuta e giudica l'ISMS prodotto. Se il piano soddisfa i requisiti dell'ISO-27001, l'audit si conclude con successo e con l'ot­te­ni­men­to della cer­ti­fi­ca­zio­ne. L'ente di cer­ti­fi­ca­zio­ne prov­ve­de­rà a preparare il cer­ti­fi­ca­to. È in ogni caso fon­da­men­ta­le lo svol­gi­men­to di audit di vigilanza a in­ter­val­li regolari. Questi servono a garantire che vi sia una verifica continua sulla sod­di­sfa­zio­ne dei requisiti della norma. Gli audit di vigilanza si svolgono ogni tre anni. Il cer­ti­fi­ca­to viene pro­lun­ga­to per altri tre anni esclu­si­va­men­te in caso di audit di vigilanza conclusi con successo da parte di un ente di cer­ti­fi­ca­zio­ne in­di­pen­den­te.

I costi per una cer­ti­fi­ca­zio­ne con esito positivo dipendono sempre dalla si­tua­zio­ne delle singole or­ga­niz­za­zio­ni. Fattori come for­ma­zio­ni e let­te­ra­tu­ra spe­cia­liz­za­ta, supporto esterno e costi per la tec­no­lo­gia svolgono un ruolo fon­da­men­ta­le. Inoltre un'or­ga­niz­za­zio­ne deve ricordare che anche il periodo di for­ma­zio­ne dei col­la­bo­ra­to­ri comporta dei costi. Infine bisogna na­tu­ral­men­te con­si­de­ra­re anche i costi per la cer­ti­fi­ca­zio­ne stessa.

I costi per la cer­ti­fi­ca­zio­ne sono soggetti a va­ria­zio­ni e dipendono dalle di­men­sio­ni del­l'or­ga­niz­za­zio­ne. Inoltre i costi dipendono no­te­vol­men­te anche dal numero dei giorni necessari al­l'ul­ti­mo audit. Per le piccole e medie imprese sono richiesti di solito circa dieci giorni la­vo­ra­ti­vi. Per le aziende più grandi o per i gruppi è ne­ces­sa­rio più tempo e questo comporta un aumento del budget da investire.