Il Sistema di Gestione della Sicurezza delle Informazioni secondo ISO/IEC 27001
La condizione di base affinché un’azienda possa svolgere la propria attività è la disponibilità di adeguate risorse. Di norma parliamo di risorse suddivise in umane, intese come persone con le relative competenze, abilità ed esperienze; in infrastrutture: sia in termini di macchine e attrezzature, sia di luoghi fisici nei quali vengono svolte le attività.
È importante non dimenticare che, tra le risorse necessarie per il funzionamento dell’azienda, un ruolo sempre più rilevante è costituito dai dati. Tutte le aziende utilizzano dati per svolgere la propria attività, in maniera più o meno strutturata e più o meno digitale (i dati non sono quelli che “vivono” all’interno di un computer, possono essere in forma cartacea) ma senza dati (o informazioni) non si va da nessuna parte. Qualsiasi azienda si troverebbe in grossa difficoltà non potendo più accedere ai preventivi emessi o agli ordini provenienti dai propri clienti o ai dati di produzione.
Come tutte le risorse, le informazioni devono essere gestite e protette; il recente caso del sistema sanitario del Lazio è solo l’ultimo di una serie di episodi di cronaca che raccontano di danni subiti da aziende ed organizzazioni di ogni tipo a seguito di violazioni della sicurezza delle informazioni. Il rischio di perdere dati sia per colpa (atto involontario da parte di un collaboratore), sia per dolo (un vero e proprio attacco proveniente dall’esterno), è sempre presente. L’attacco dall’esterno è un’eventualità che non si prospetta solo per le aziende che hanno una forte esposizione a causa delle loro notorietà o del tipo di business. Esistono organizzazioni criminali che diffondono software in grado di individuare aziende con difese deboli, “cifrare” i dati rendendoli non più disponibili ai legittimi proprietari e chiedere un riscatto per averne nuovamente la disponibilità.
Plan, Do, Check, Act
La norma ISO/IEC 27001 definisce le caratteristiche di un Sistema di Gestione per la protezione delle informazioni. Come tutti i Sistemi di Gestione, il processo di applicazione della norma parte dalla comprensione del contesto e delle aspettative delle parti interesse e dalla valutazione dei rischi connessi con la sicurezza delle informazioni. E prosegue con l’individuazione, l’applicazione e il miglioramento continuo di una serie di misure di prevenzione e protezione secondo la logica Plan, Do, Check, Act. Caratteristica della ISO/IEC 27001 è la presenza di un allegato “normativo” (che è oggetto di verifica da parte del certificatore) che definisce una serie di controlli da mettere in atto ove la tematica sia applicabile. Per esempio un’azienda che non sviluppa software non dovrà mettere in atto i controlli sullo sviluppo del software, ma le tematiche connesse con il lavoro da remoto (che fino a meno di due anni fa era un aspetto applicabile a un numero limitato di aziende) devono essere prese in considerazione in tutti i casi in cui ci siano lavoratori che operano, anche in parte, in smart work. Quest’ultimo esempio evidenzia come la valutazione del contesto debba sempre essere tenuta aggiornata.
I vantaggi e il procedimento
Il vantaggio principale derivante dall’applicazione della ISO/IEC 27001 è nella prevenzione dei problemi che possono comportare danni enormi sia in termini di costi legati al fermo delle attività e alla loro riattivazione, sia in termini di immagine qualora la cosa diventasse di dominio pubblico.
Sempre più spesso le stazioni appaltanti inseriscono la certificazione ISO/IEC 27001 tra i requisiti premianti in fase di gara, questo non solo nel caso di appalti strettamente connessi con l’informatica, ma anche in caso di attività di costruzione (imprese edili) o di servizi di vario tipo, come ad esempio per i servizi di vigilanza.
Il processo di certificazione avviene attraverso una valutazione iniziale, divisa in due fasi. Nella fase 1 si pone attenzione sulla comprensione del contesto dell’azienda e sugli aspetti connessi con la conformità regolamentare che potrebbero diventare non conformità maggiori se non risolti. La fase 2 è invece più orientata all’operatività e all’applicazione dei controlli richiesti dalla norma.
Come sempre ICMQ utilizza per i propri servizi auditor di lunga esperienza sia in relazione alla tematica di riferimento (sicurezza delle informazioni) sia in relazione al settore merceologico dell’azienda che richiede la certificazione. Questo consente di condurre audit che siano di reale utilità mettendo in luce quelli che effettivamente sono punti deboli e spunti di miglioramento sostanziali che aiutano l’azienda a crescere e ad avere processi sempre più efficienti.