Sicurezza delle informazioni proprie e dei clienti: lo standard UNI CEI ISO/IEC 27001 (con infografica)

Uno degli obiettivi più importanti per un’organizzazione è stabilire un rapporto di fiducia con chi sceglie la sua offerta commerciale: i clienti sono infatti difficili da acquisire e facili da perdere (ancor più se il mercato di riferimento è saturo di concorrenti e ricco di soluzioni alternative).

Come garantire che questo rapporto di fiducia prosegua nell’interesse di entrambi? In primo luogo offrendo prodotti e servizi competitivi per qualità e prezzo e assicurando un’assistenza e un supporto puntuale e personalizzato, prima e dopo l’acquisizione. Ma si dimentica spesso un ulteriore elemento: nell’epoca dei processi digitali è fondamentale, da parte dell’azienda fornitrice, garantire la sicurezza delle informazioni e dei dati trattati: un aspetto che diventa cruciale per chi opera nel campo dei servizi IT.

Per questo sono così importanti la gestione della sicurezza delle informazioni e la norma ad essa associata: la UNI CEI ISO/IEC 27001, redatta nel 2005 e revisionata nel 2013 (la versione italiana è del 2014).

Il rischio di compromissione delle informazioni e dei dati è oggi infatti davvero elevato: basta pensare alle notizie giornaliere su atti di hackeraggio, violazioni della privacy e pratiche di phishing. Secondo un rapporto Clusit (qui commentato da Tech Economy), il 2016 è stato l’anno peggiore di sempre quanto a incremento degli attacchi informatici, in particolare per i settori della grande distribuzione (+70% rispetto all’anno precedente) e delle banche (+64%). Le attività totali di cybercrime sarebbero aumentate del 9,8%. Il 22% di imprese segnala inoltre di aver perso clienti per colpa di queste attività criminali e il 29% ha perso quote di fatturato (quasi 3 su 10). E non solo gli atti dolosi dovrebbero destare l’attenzione delle imprese sulla sicurezza informatica. Se consideriamo infatti alcuni eventi molto più usuali nella vita di un’azienda, ci rendiamo conto del rischio che corrono le nostre informazioni digitali: sbalzi di tensione energetica, malfunzionamenti della struttura IT, incidenti fisici ai locali…

Quindi, chi mette in atto procedure di prevenzione pone al sicuro il proprio business e quello delle organizzazioni di cui tratta i dati.

Le aziende più attente tutelano sé e i clienti certificandosi secondo la norma UNI CEIISO/IEC 27001:2014: lo scopo è quello di fornire i requisiti per “stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione”. La 27001 fa parte della famiglia di norme UNI CEI ISO/IEC 27000: un insieme di norme, pubblicate congiuntamente dall’International Organization of Standardization (ISO) e dall’International Electrotechnical Commission (IEC), che riguardano il sistema di gestione della sicurezza delle informazioni.

Certificarsi a norma UNI CEI ISO/IEC 27001 non è un obbligo, ma certo l’azienda che segue questa strada offre un plus di sicurezza a sé e ai propri clienti. Possono seguire l’iter di certificazione le organizzazioni di tutti i settori merceologici e di tutte le dimensioni.

a. Come certificarsi a norma UNI CEI ISO/IEC 27001

La UNI CEI ISO/IEC 27001 definisce innanzitutto una serie di requisiti che l’organizzazione deve possedere per ottenere la certificazione: si tratta di parametri volutamente generali (come vedremo nella loro formulazione) proprio per consentire a tutti i settori di calare i principi complessivi nel proprio contesto di business.

Il focus è sull’individuazione preventiva dei potenziali rischi attinenti le informazioni in possesso e in uso nell’organizzazione e, successivamente, sulla definizione di un sistema di gestione della sicurezza delle informazioni (Information Security Management System in inglese, ISMS). Il compito delle aziende non cessa tuttavia qui.

Infatti, la norma UNI CEI ISO/IEC 27001 segue la logica PDCA (Plan – Do – Check – Act): quindi non una gestione lineare del rischio, ma ciclica, nell’ottica del miglioramento continuo dei processi. Ciò vuol dire che, alla definizione della gravità dei rischi e del loro trattamento, segue il monitoraggio dell’efficacia del sistema impostato e la sua ri-definizione attraverso l’analisi e il riesame dei dati acquisiti. E così via.

Compreso quindi il principio generale, e valutata la possibilità di monitorare il processo nel tempo, l’azienda si sottopone all’audit annuale per ottenere la certificazione o per rinnovarla. L’audit viene svolto da un ente certificatore di terza parte scelto dalla stessa organizzazione, purché sia accreditato e presente nel database di Accredia.

b. La misurazione dei rischi per le informazioni

Con quale metodo definire e misurare i rischi relativi alla sicurezza delle informazioni che possono occorrere alla nostra azienda? Innanzitutto il patrimonio di informazioni deve mantenere tre caratteristiche per essere sicuro: riservatezza, integrità, disponibilità.

Data la generalità della norma, ogni azienda dovrà valutare i rischi in riferimento al proprio contesto organizzativo di business e decidere come misurarli e trattarli attraverso un processo di gestione del rischio.

c. Fasi di implementazione della UNI CEN ISO/IEC 27001 e requisiti

Abbiamo visto che nell’era dei processi digitali, certificarsi secondo la UNI CEI ISO/IEC 27001 è un asset strategico per l’azienda e per la sicurezza delle informazioni proprie e ancor più dei clienti. Abbiamo visto che i principi stabiliti dalla norma sono di carattere generale, in modo da adattarsi agevolmente a tutti settori. Dunque, come essere sicuri di conformarsi ai requisiti stabiliti dallo standard? Anche se la norma non definisce criteri rigidi e univoci per la gestione del rischio, vengono stabiliti i requisiti che devono essere applicabili e applicati in ogni azienda (che coprono i punti 4-10 del testo):

  1. determinazione del contesto dell’organizzazione (compresi campo di applicazione, necessità e aspettative delle parti interessate);
  2. definizione della leadership, in capo alla Direzione, e della politica di sicurezza aziendale;
  3. pianificazione delle azioni (per affrontare i rischi e opportunità) e degli obiettivi;
  4. definizione del supporto di risorse, competenze, comunicazioni, documentazioni ecc…;
  5. attività operative (pianificazione e controlli, valutazione e trattamento del rischio);
  6. valutazione delle prestazioni tramite monitoraggio e misurazione, audit interno, riesame della Direzione;
  7. miglioramento continuo (gestione delle non conformità e delle azioni correttive).

Un riferimento ulteriore è poi l’Appendice AObiettivi di controllo e controlli di riferimento. Questa sezione elenca i controlli di sicurezza da attuare, ripresi direttamente dalla UNI CEI ISO/IEC 27002:2013 ai capitoli 5-18, e da implementare all’interno di un’azienda che si vuole certificare. Ogni categoria di controllo contiene: l’obiettivo del controllo da raggiugere e i controlli che possono essere applicati per raggiungere tale obiettivo. A titolo di esempio: fornire gli indirizzi ed il supporto della direzione per la sicurezza delle informazioni; assicurare che il personale e i collaboratori comprendano le proprie responsabilità per la sicurezza delle informazioni; inventariare gli asset aziendali associati alle informazioni e definire un responsabile; e così via.

Informazioni ulteriori sulla UNI CEN ISO/IEC 27001 si possono reperire sul sito dell’International Organization for Standardization: si evince che la sicurezza delle informazioni rappresenta un elemento fondamentale della produttività di un’azienda e che la 27001 rappresenti un vero e proprio asset per garantire la business continuity propria e dei clienti.

Autore Paolo Ravalli

CEO Mainline srl

Autore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *