Vi sono molte aziende che potrebbero cogliere le notevoli opportunità che può offrire la certificazione aziendale relativa alla sicurezza delle informazioni di Business, siano esse trattate in formato digitale o tramite documenti cartacei. Oggigiorno sono di attualità termini come Cyber-Security, Cloud Security e più recentemente Application Security. Tutti questi ambiti, oltre agli adempimenti basici della sicurezza delle informazioni (es. Backup dei dati, Disaster Recovery, sicurezza fisica delle sedi e dei locali tecnologici, ecc.), rientrano nella certificazione ISO 27001.
Vantaggi per le aziende e diffusione della certificazione ISO 27001
Molte sono le aziende che, a livello nazionale ed internazionale, si sono certificate nel tempo rispetto allo standard ISO/IEC 27001. Le motivazioni aziendali per far certificare, da terze parti accreditate, il proprio sistema di gestione relativo alla sicurezza delle informazioni sono il soddisfacimento dei requisiti per la partecipazione a bandi di gara, il conseguimento di vantaggi di natura interna (qualità e sicurezza dei processi aziendali) o esterna (competitività sul mercato), la minimizzazione di possibili sanzioni a fronte di violazioni di compliance, la possibile riduzione del premio relativo a polizze assicurative, il miglioramento dell’immagine verso gli Stakehoders (es. Clienti, azionisti, parti sociali, ecc.), la motivazione e crescita professionale dei dipendenti, ecc. Non solo le grandi aziende, anche le PMI possono trovare nella certificazione ISO 27001 significativi benefici in termini di garanzie verso il mercato (es. Clienti, Partner, consumatori, ecc.) garantendo il rispetto dei principi cardine della Information Security: riservatezza, integrità e disponibilità delle informazioni trattate in azienda. Lo Standard Internazionale ISO 27001 costituisce inoltre un caposaldo in termini di compliance a svariate leggi e regolamenti, generali o settoriali.
La situazione del mercato italiano relativa alle certificazioni ISO 27001 è in forte evoluzione: in Italia il numero di aziende certificate ISO 27001 al mese di Luglio 2019 è stimabile, secondo le fonti ISO e Accredia, in circa 1250 aziende (circa 200 in più rispetto al 2018), a fronte di un numero di aziende certificate a livello mondiale, rilevato da ISO nel 2018, pari a circa 31.910 aziende. L’incremento di certificazioni ISO 27001 è particolarmente legato ad una serie di fattori, fra i quali lo sviluppo dei servizi Cloud, l’ottemperanza al “GDPR”, alla Direttiva “NIS” dedicata alla sicurezza dei servizi essenziali, ai requisiti richiesti ai Fornitori della Pubblica Amministrazione. Oltre a tali motivazioni si segnala la crescita di sensibilità delle aziende, in particolare se controllate da gruppi internazionali, alla sicurezza delle informazioni trattate dai propri Fornitori e la crescente richiesta di certificazioni ISO 27001 come qualifica per partecipare a bandi o gare di fornitura. Un ulteriore Trend di crescita, in relazione all’attuale scenario di mercato, è atteso per la possibile certificazione secondo lo Standard Internazionale ISO 27701 “Sistema di gestione dei dati personali”, che richiede come prerequisito la adozione di un sistema di gestione per la sicurezza delle informazioni certificato. Premesso che l’Unione Europea non ha ancora precisato i criteri per conseguire la certificazione prevista dall’Articolo 42 del “GDPR”, la certificazione ISO 27701 sembra avere tutte le carte in regola per rispondere a quanto previsto dal Regolamento Europeo. E’presumibile che anche il protocollo di applicazione del recente Cybersecurity act per la certificazione di prodotti e servizi digitali, pubblicato nel 2019, si baserà su ISO 27001, oltre a richiedere altri adempimenti in via di definizione.
ISO 27001 in pillole
ISO 27001 è una norma internazionale che definisce i requisiti per impostare, gestire e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS, dall’inglese “Information Security Mangement System”), ed include una serie di controlli (requisiti), relativi alla sicurezza logica, fisica ed organizzativa, che devono essere soddisfatti per assicurare la protezione delle informazioni aziendali e ottenere la certificazione del Sistema di Gestione da parte di Enti Accreditati.
La norma ISO 27002 è invece una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001 al fine di proteggere le risorse informative; non è certificabile in quanto è una linea guida, una raccolta di raccomandazioni.
La versione attualmente in vigore dello standard (ISO 27001:2013), include nell’Annex A un elenco di 114 controlli, a cui l’azienda che intende applicare la norma deve attenersi, raggruppati in 39 obiettivi di controllo e 14 aree di controllo così articolate:
- Politiche per la sicurezza delle informazioni;
- Organizzazione della sicurezza delle informazioni;
- Sicurezza del personale;
- Gestione degli Asset aziendali;
- Controllo degli accessi “logici” ai sistemi, ai servizi e alle informazioni;
- Crittografia;
- Sicurezza fisica e ambientale;
- Sicurezza dei processi IT (es. Backup, Log, ecc.);
- Sicurezza delle reti e dei sistemi di comunicazione;
- Acquisizione, sviluppo e gestione del software applicativo;
- Gestione dei Fornitori;
- Gestione deli incidenti;
- Aspetti di sicurezza per nella gestione della Business Continuity;
- Conformità normativa.
Ogni azienda deve essere in grado di garantire la sicurezza dei propri dati per esigenze di business e di compliance, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo principale dello standard ISO 27001 è proprio quello di garantire la protezione dei dati e delle informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per realizzare un Sistema di Gestione della Sicurezza delle Informazioni adeguato alla corretta gestione dei dati critici dell’azienda.
Adempimenti per la certificazione ISO 27001
La certificazione del sistema di gestione può essere considerata un aiuto al miglioramento dei processi aziendali e allo sviluppo del mercato, se il progetto di certificazione è ben condotto con il coinvolgimento attivo del personale aziendale interessato.
Un progetto di certificazione si compone di due momenti distinti: la progettazione e realizzazione del Sistema di Gestione (preparazione alla certificazione) e l’iter di certificazione (iniziale e mantenimento nel tempo).
La progettazione e realizzazione del Sistema di Gestione sono svolte dall’Azienda con l’eventuale supporto di società di consulenza esperte sulle tematiche oggetto di certificazione, come Sernet. L’iter di certificazione è svolto da Enti di Certificazione accreditati.
Le principali attività previste nella progettazione e realizzazione del Sistema di Gestione sono:
- la definizione del contesto dell’azienda e dell’ambito di certificazione;
- lo svolgimento di una fase di formazione preliminare del Team di Progetto e la definizione dei ruoli e delle responsabilità per le figure preposte alla gestione della sicurezza delle informazioni;
- lo svolgimento di una istruttoria di Risk Assessment che, utilizzando strumenti e metodologie adeguate, identifichi le minacce che hanno un impatto sulla sicurezza delle informazioni aziendali e valuti i relativi rischi;
- la definizione degli obiettivi di controllo e l’individuazione delle misure di sicurezza adottate al fine di mitigare i rischi individuati;
- la formalizzazione di un Piano di Trattamento dei rischi volto a realizzare (se non già disponibili) o migliorare le soluzioni documentali (es. politiche e procedure interne), organizzative (es. ruoli e responsabilità) e tecnologiche necessarie;
- la predisposizione ed erogazione della formazione destinata al personale aziendale e alle eventuali terze parti interessate;
- lo svolgimento di sessioni di Audit al fine di verificare la corretta applicazione delle misure di sicurezza (tecniche e organizzative) definite dall’Azienda.
Il processo di preparazione alla certificazione prevede la condivisione con il vertice aziendale (Management Review) dei risultati delle attività di analisi dei rischi e di Audit, del monitoraggio dell’efficacia del Sistema di Gestione, dell’avanzamento delle azioni di mitigazione dei rischi contenute nel Piano di Trattamento e l’eventuale accettazione, da parte del Management di rischi la cui mitigazione non è raggiungibile per motivi di tempo, scarsità di risorse, ecc.
Le principali attività previste per il rilascio della certificazione a cura degli Enti di Certificazione sono le analisi documentali e le verifiche sul campo svolte dall’Ente di Certificazione stesso mediante interviste alle Funzioni aziendali coinvolte nel processo di gestione della sicurezza delle informazioni.
Il certificato rilasciato dall’Ente di Certificazione ha validità triennale ed è soggetto a verifiche annuali a cura dell’Ente.
Per aziende di medie dimensioni, è ragionevole ipotizzare una durata del progetto fra i sei e i nove mesi. Da considerare al riguardo che i diversi Standard Internazionali relativi a sistemi di gestione certificabili (es. ISO 9001, ISO 20000, ISO 22301, ISO 27001, ecc.), pur avendo un diverso ambito di applicazione, hanno uno schema di gestione comune (HLS – High Level Structure), che ne favorisce l’integrazione.
L’importanza di ISO 27001 nell’attuale scenario
Nello scenario attuale di mercato, caratterizzato dalla rapida crescita di servizi digitali che necessitano di misure di protezione efficaci in ottica cybersecurity e compliance, lo standard ISO 27001 rappresenta la soluzione di base per proteggere le informazioni aziendali e costituisce anche il punto di partenza di altre norme dedicate alla sicurezza in ambiti specifici, come, ad esempio, la norma ISO 27017 dedicata alla sicurezza delle informazioni negli ambienti Cloud Computing, e la norma ISO 27701, già citata, che definisce i requisiti per la realizzazione di un sistema di gestione per la protezione dei dati personali.
La sicurezza informatica riguarda ormai tutti i settori economici e molti degli aspetti della vita quotidiana: dai gravi incidenti causati da carenti misure di sicurezza in fase di progettazione, collaudo ed esercizio di importanti infrastrutture di trasporto, a fenomeni di grande attualità come l’eCommerce e la digitalizzazione dei processi aziendali e della PA, la applicazione di adeguate prassi di sicurezza suggerite dai controlli previsti in ISO 27001 potrà certamente avere un positivo impatto sui processi aziendali e sulla qualità della vita degli individui.