ISO 27001: una norma standard per la sicurezza delle informazioni in azienda

Per svolgere il proprio lavoro in modo sicuro ed efficace nell'epoca della digitalizzazione, le aziende devono soddisfare standard elevati di sicurezza delle informazioni. L'Organizzazione internazionale per la normazione (ISO) ha sviluppato una norma per la sicurezza delle informazioni in azienda. Se le aziende rispettano i requisiti della norma possono richiedere una certificazione di questo tipo. La certificazione in questione è stata sviluppata da esperti rinomati e riconosciuti a livello mondiale nell'ambito della sicurezza delle informazioni e descrive un metodo che le aziende devono applicare al fine di garantire uno standard elevato di sicurezza dei dati.

Con la norma internazionale ISO-27001 è possibile creare standard per la sicurezza delle informazioni all'interno di un'azienda o di un'organizzazione. La norma è strutturata in modo da rendere le dimensioni e il settore dell'azienda ininfluenti per la sua realizzazione. Attenendosi alle direttive, si può ricevere una certificazione ISO-27001. Possedendo un certificato di questo tipo, un'azienda può dimostrare ai clienti e ai partner commerciali di essere un'organizzazione affidabile che prende sul serio il tema della sicurezza delle informazioni.

I vantaggi per le aziende coinvolgono quattro settori diversi. Prima di tutto un certificato di questo tipo costituisce una base per l'attuazione delle disposizioni legislative. Inoltre, con questo certificato si ottiene un vantaggio competitivo poiché non tutte le aziende sono certificate ISO 27001. Le aziende che hanno ottenuto la certificazione in questione possono fornire ai clienti documentazioni concrete sulla priorità della propria politica riguardo un trattamento sicuro delle informazioni sensibili. La conformità allo standard ISO-27001 riduce il rischio di incidenti per la sicurezza delle informazioni e contribuisce anche a una riduzione dei costi, poiché incidenti di questo tipo comportano notevoli oneri finanziari.

Inoltre una certificazione ISO-27001 ottimizza i processi aziendali. Vengono minimizzati i tempi morti dei collaboratori attraverso la registrazione per iscritto dei principali processi aziendali.

Ulteriori vantaggi sono:

• Riduzione dei rischi aziendali
• Minimizzazione dei rischi di responsabilità
• Premi assicurativi più vantaggiosi
• Sistema affidabile di riconoscimento dei problemi e delle minacce

La norma ISO-27001 è composta da varie parti. La base è costituita dalla stessa norma ISO/IEC 27001 del 2005. Nell'anno 2015 questa base è stata rielaborata e integrata da un ulteriore capitolo, ossia la seconda parte. Quest'ultima viene inserita nella norma come allegato e mostra in maniera dettagliata tutte le novità aggiornate. La norma può essere globalmente suddivisa in 3 paragrafi:Dopo il capitolo introduttivo segue la parte principale. La conclusione contiene i due allegati già menzionati.

Determinante per la certificazione conforme all'ISO-27001 è la componente normativa, dove sono spiegate in maniera precisa le misure da intraprendere. Le misure collegate non rappresentano però una guida per la realizzazione dello standard ma piuttosto consigli per un'attuazione efficace. I fondamenti di questi consigli si basano sui pilastri della riservatezza, disponibilità e integrità.

Per semplificare i processi e la loro attuazione, l'ISO-27001 si serve anche di principi di altri standard. Questo perché parallelismi con altre norme (che forse molti di voi conosceranno già) possono aiutare le organizzazioni nel processo di attuazione e vi incoraggeranno ad introdurre gli standard ISO-27001.

Nel 2013, i requisiti dell'ISO-27001 sono cambiati in maniera notevole rispetto alle prime versioni del 2005. La struttura portante della norma non è stata soltanto modificata, ma anche rafforzata in modo significativo.

La norma ISO-27001 è successiva all'attuazione di un Information Security Management System (ISMS), un approccio procedurale. Mentre nella prima versione era ancora presente un rimando esplicito al ciclo PDCA, adesso quest'ultimo non è più obbligatorio. I requisiti valgono per organizzazioni di qualsiasi dimensione e settore.

L'ISO-27001 richiede alle aziende di definire e considerare tutti i temi esterni e interni che possono influire sulla propria capacità di attuare con successo un ISMS. Con questo si intendono in particolare la cultura aziendale, le condizioni ambientali, le disposizioni regolamentari, gli obblighi contrattuali e legali nonché le linee guida ufficiali in relazione alla governance. Ai vertici della direzione di un'organizzazione l'ISO-27001 richiede di stabilire in maniera chiara la politica in materia di sicurezza delle informazioni e di definire competenze e responsabilità per lo svolgimento dei compiti. Inoltre un'organizzazione ha l'obbligo di promuovere la consapevolezza sul tema della sicurezza delle informazioni in tutta l'azienda.

Anche la pianificazione svolge un ruolo fondamentale nella certificazione conforme all'ISO-27001. Perciò le disposizioni riguardano la valutazione di rischi specifici collegati alla sicurezza delle informazioni dell'azienda e l'elaborazione di un programma di trattamento. La responsabilità di stabilire i rischi e le relative risposte è esclusivamente di competenza dell'azienda. Inoltre la norma prescrive che le risorse di un'azienda debbano essere pronte a garantire un miglioramento continuo, nonché il mantenimento e l'attuazione dell'ISMS. Le informazioni riguardanti l'ISMS devono essere inoltre documentate con cura. È richiesto anche di preparare a intervalli regolari rapporti informativi.  Le aziende devono essere in grado di controllare, quantificare e analizzare l'efficacia del proprio ISMS. Ecco perché tutto questo deve svolgersi a intervalli regolari.

Una volta impostato l'ISMS, si procede con la classificazione dei valori aziendali. Questo avviene tenendo in considerazione i tre pilastri della riservatezza, integrità e disponibilità. La classificazione è suddivisa in tre livelli.

Il livello uno, ad esempio, comprende i documenti pubblici che in caso di alterazione possono causare all'azienda un danno alquanto irrilevante che non supera i 500 euro. Fanno parte di questo livello i documenti che anche in caso di inosservanza persistente di una settimana delle norme ISO comportano a malapena danni per l'organizzazione.

Il secondo livello comprende documenti interni come ad esempio documenti contabili o relativi alla retribuzione. In questo caso, con violazioni alla norma ISO per la sicurezza della informazioni, possono insorgere notevoli danni economici fino ai 5.000 euro. Incidenti di questo tipo non possono protrarsi per più di 24 ore.

Il terzo e ultimo livello riguarda documenti che contengono dati interni molto sensibili. Qui in caso di alterazione i danni oltrepassano la soglia dei 5.000 euro. Incidenti di questo tipo non possono protrarsi per più di 3 ore.

L'attuazione della Norma ISO/IEC 27001 richiede di compiere passi specifici che non possono essere applicati da ogni azienda in maniera analoga. Ogni organizzazione presenta esigenze specifiche e ogni ISMS deve essere adeguato in maniera individuale a ciascuna organizzazione. Di seguito abbiamo illustrato tutti i passi che quasi tutte le organizzazioni, indipendentemente dal settore, possono intraprendere.

Il primo passo per una certificazione con esito positivo dell'azienda è assicurare la protezione e gli obblighi dei vertici della direzione. La priorità della direzione deve essere di attuare con successo un ISMS e definire in maniera chiara gli obiettivi perseguiti per una politica di sicurezza delle informazioni per tutti i collaboratori.

Successivamente vengono stabiliti elementi specifici della politica di sicurezza delle informazioni. A questo punto l'organizzazione definisce gli obiettivi e stabilisce la direzione strategica dei principi della sicurezza delle informazioni. Questo servirà da quadro di riferimento per gli sviluppi futuri.

Non appena stabilita la politica relativa alla sicurezza delle informazioni, l'organizzazione definisce i campi di applicazione dell'ISMS. A tal proposito ricoprono un ruolo importante le definizioni specifiche di tutti gli aspetti della sicurezza delle informazioni, efficaci nell'ambito dell'ISMS. Si elabora anche un'analisi dei rischi in relazione alle misure per la sicurezza delle informazioni. Questa permette di comunicare i possibili rischi da considerare. Perciò l'analisi contempla soprattutto i punti deboli del sistema attuale.

Per ridurre i rischi esistenti, l'organizzazione stabilisce le misure a riguardo. Il risultato dell'analisi è un catalogo di misure, da controllare regolarmente e adeguare in base ai casi. Dopo aver attuato con successo tali misure, nell'organizzazione si svolge un pre-audit, che precede quello che sarà il vero audit per ottenere la certificazione. Questo pre-audit serve a rilevare i potenziali problemi e punti deboli che potrebbero avere un impatto negativo per l'audit della certificazione. Sono escluse non conformità alla norma ISO-27001.

L'ultimo passo per un'attuazione con esito positivo della norma ISO-27001 è il vero audit per ottenere la certificazione. Un ente di certificazione indipendente valuta e giudica l'ISMS prodotto. Se il piano soddisfa i requisiti dell'ISO-27001, l'audit si conclude con successo e con l'ottenimento della certificazione. L'ente di certificazione provvederà a preparare il certificato. È in ogni caso fondamentale lo svolgimento di audit di vigilanza a intervalli regolari. Questi servono a garantire che vi sia una verifica continua sulla soddisfazione dei requisiti della norma. Gli audit di vigilanza si svolgono ogni tre anni. Il certificato viene prolungato per altri tre anni esclusivamente in caso di audit di vigilanza conclusi con successo da parte di un ente di certificazione indipendente.

I costi per una certificazione con esito positivo dipendono sempre dalla situazione delle singole organizzazioni. Fattori come formazioni e letteratura specializzata, supporto esterno e costi per la tecnologia svolgono un ruolo fondamentale. Inoltre un'organizzazione deve ricordare che anche il periodo di formazione dei collaboratori comporta dei costi. Infine bisogna naturalmente considerare anche i costi per la certificazione stessa.

I costi per la certificazione sono soggetti a variazioni e dipendono dalle dimensioni dell'organizzazione. Inoltre i costi dipendono notevolmente anche dal numero dei giorni necessari all'ultimo audit. Per le piccole e medie imprese sono richiesti di solito circa dieci giorni lavorativi. Per le aziende più grandi o per i gruppi è necessario più tempo e questo comporta un aumento del budget da investire.