ISO 27001 – perché e come implementarla

Il tema della sicurezza informatica sta assumendo un ruolo sempre più rilevante nelle agende degli imprenditori e degli organi direttivi aziendali.

In effetti, la necessità di affrontare in modo sistematico e strutturato la gestione dei rischi cyber va di pari passo con la crescita della digitalizzazione. Tuttavia, nonostante sia ormai trascorso più di un trentennio da quando la nascita del World Wide Web ha dato inizio al processo di globalizzazione digitale che conosciamo oggi, soltanto negli ultimi anni le imprese ed i governi – complici le notizie che denunciano casi sempre più frequenti di attacchi informatici portati ad ogni latitudine e ad ogni livello della società civile – hanno iniziato davvero a comprendere l’importanza che la cybersecurity riveste nel fare in modo che le proprie attività, e le informazioni scambiate nello svolgerle, siano adeguatamente protette.

I governi sono corsi ai ripari attraverso l’adozione di strategie nazionali di cybersicurezza, nonché adeguando il proprio assetto normativo a standard internazionali e direttive sovra-nazionali che disciplinano la corretta postura da tenere per fronteggiare i rischi informatici da parte di operatori rilevanti per la sicurezza nazionale – si vedano ad esempio le direttive (UE) per la sicurezza e la resilienza informatica, recentemente adottate anche dal governo italiano.

Le imprese, a loro volta, stanno prendendo consapevolezza della necessità di affrontare il tema della sicurezza informatica in modo strutturato ed organico, dotandosi di strumenti e sistemi di gestione del cyber rischio in grado di assicurare un livello di protezione adeguato e rispondente ai requisiti normativi.

Gestione della Sicurezza Informatica

Le migliori pratiche internazionali consolidatesi nel tempo confermano che una efficace gestione della Sicurezza Informatica aziendale si basa su alcune caratteristiche o principi fondamentali:

  • Gestione Strategica
    L’efficacia della sicurezza informatica si manifesta nel medio/lungo periodo: l’organizzazione deve quindi considerare la sicurezza delle informazioni come una parte integrante della propria strategia aziendale.
  • Valutazione dei Rischi
    Non esistono soluzioni universali adatte a tutti. Ciascuna organizzazione deve identificare e valutare i rischi per la sicurezza delle informazioni che possono influire sulle proprie attività, e poi adottare misure per affrontare tali rischi in modo proporzionato.
  • Approccio olistico alla sicurezza
    La sicurezza va affrontata simultaneamente sotto tutti i suoi molteplici aspetti: tecnici, fisici, umani, organizzativi. Per quanto evoluti, gli strumenti tecnici da soli non sono risolutivi.
  • Coinvolgimento della Direzione e dell’organizzazione
    Tutte le persone dell’azienda, a qualsiasi livello dell’organizzazione, devono essere parte attiva nel contribuire alla sicurezza, secondo una distribuzione bilanciata delle responsabilità in base al ruolo di ognuno.
    Fondamentale il coinvolgimento della Direzione, che nel proprio ruolo di guida dell’azienda deve identificare gli obiettivi di sicurezza coerenti con la propria strategia e mantenere le condizioni per consentire di raggiungerli.
  • Piano di Risposta agli Incidenti
    Non esistono soluzioni sicure al 100%. Qualsiasi organizzazione, prima o poi, sarà soggetta ad incidenti, è inevitabile. Perciò è fondamentale essere preparati e stabilire prima come reagire in tali eventualità.
  • Governo attraverso l’adozione di un Sistema di Gestione
    Implementare un insieme di politiche, procedure, processi e misure tecniche e organizzative che, opportunamente orchestrate, supportano l’organizzazione nella gestione della sicurezza informatica, secondo un approccio orientato al miglioramento continuo.

I principali standard internazionali di riferimento sulla sicurezza informatica hanno fatto propri tali principi.

In particolare, lo standard ISO/IEC 27001 definisce i requisiti e le caratteristiche dei Sistemi di Gestione per la Sicurezza Informatica e la protezione dei dati (SGSI), secondo uno schema ed un approccio armonizzato per il miglioramento continuo, basato sul ciclo di Deming “PDCA” (Plan –> Do –> Check –> Act), che accomuna i principali standard ISO riguardanti i Sistemi di Gestione aziendali.

Adozione di un SGSI certificato secondo la norma ISO/IEC 27001

Il generico processo che supporta l’introduzione in azienda di un qualsiasi Sistema di Gestione aziendale certificato secondo le norme ISO è tipicamente articolato in 3 Fasi.

Varo del Progetto

Il Varo del Progetto rappresenta la fase iniziale del processo, che spesso è sottovalutata ma in realtà è fondamentale per assicurare il buon esito dell’iniziativa.

Prima di intraprendere le attività di implementazione, infatti, è essenziale:

  • Ottenere il supporto della Direzione
    L’adozione di un Sistema di Gestione richiede investimenti in termini di tempo e denaro, perciò la Direzione deve essere coinvolta fin dall’inizio, in modo da dare al progetto la giusta importanza e mettere a disposizione le risorse necessarie per la sua realizzazione. Altrimenti l’iniziativa sarà fatalmente destinata a fallire.
  • Pianificare le attività in un Progetto
    L’implementazione di un Sistema di Gestione è una faccenda complessa, che si articola in diverse attività e coinvolge molte persone. In base alla dimensione dell’azienda e alla criticità della sua offerta, l’implementazione può richiedere da poche settimane a diversi mesi. Per questo, è importante pianificare il tutto attraverso un progetto che stabilisca cosa fare, chi lo fa e con quali tempi/risorse.
Certificazione e mantenimento

La fase di Certificazione va necessariamente affidata ad un organismo di certificazione accreditato e, in quanto tale, autorizzato a rilasciare i certificati secondo le norme ISO di interesse. Occorre pertanto prevedere un’attività di ricerca e selezione di un fornitore in possesso di tali caratteristiche e che sia confacente alle esigenze dell’azienda.

Poiché il Sistema di Gestione aziendale evolve al pari dell’azienda e dell’ambiente in cui opera, anche la certificazione va riesaminata e mantenuta nel tempo. Il seguente diagramma illustra il tipico ciclo di vita del processo di certificazione e mantenimento di un Sistema di Gestione secondo le norme ISO.

La prima emissione del certificato è preceduta da una fase di Audit, il cui obiettivo è consentire all’ente certificatore di verificare la rispondenza del Sistema di Gestione implementato dall’azienda ai requisiti previsti dalla norma ISO di riferimento. Tipicamente, l’audit di certificazione è articolato in due diversi stadi:

  • durante lo Stadio 1 viene eseguito un controllo formale sulla documentazione di Sistema, verificando che tutti i documenti obbligatori previsti dalla norma siano presenti e che siano tra loro coerenti. In base alle situazioni, tale verifica può avvenire anche da remoto.
  • durante lo Stadio 2 si effettuano controlli in loco, presso le sedi aziendali dove si svolgono le operazioni che rientrano nell’ambito di applicazione del Sistema di Gestione, al fine di verificare, anche attraverso l’esame delle evidenze opportunamente documentate, che l’attività sia effettivamente condotta secondo quanto previsto dal Sistema.
Implementazione

Naturalmente, per poter essere certificato, il Sistema di Gestione va prima di tutto implementato in modo conforme ai requisiti richiesti dalla norma ISO alla quale si fa riferimento.

Pur mantenendo una struttura costante, derivante dall’approccio armonizzato che accomuna i principali standard ISO riguardanti i Sistemi di Gestione aziendali, il processo di implementazione richiede lo svolgimento di attività specifiche per ciascuna singola norma.

In particolare, NEUS ha consolidato il proprio approccio all’implementazione di un SGSI (Sistema di Gestione della Sicurezza Informatica) conforme allo standard ISO/IEC 27001, secondo i passi di processo descritti nel seguito.

Progetto di implementazione di un SGSI conforme alla norma ISO/IEC 27001

Nel supportare il percorso delle aziende verso l’adozione di un Sistema di Gestione della Sicurezza Informatica conforme alla ISO/IEC 27001, NEUS ha consolidato un approccio che prevede la realizzazione di un progetto di implementazione del sistema SGSI articolato secondo il processo descritto di seguito.

Attività delle fasi di progetto

Ciascuna fase realizzativa del progetto prevede lo svolgimento di attività essenziali per l’implementazione del SGSI, come dettagliate di seguito

  • Ambito, obiettivi e responsabilità
    • Analisi di contesto, SWOT e parti interessate
    • Requisiti normativi e di business
    • Scopo di certificazione
    • Obiettivi della sicurezza
    • Struttura Organizzativa
    • Costituzione del Team
    • Allocazione Risorse
  • Procedure di supporto
    • Revisione di processi, procedure e istruzioni
    • Controllo della documentazione
    • Gestione Risorse Umane
    • Indicatori di processo
    • Gestione incidenti
    • Documentazione obbligatoria
  • Analisi dei Rischi e Misure di Sicurezza
    • Metodologia di gestione dei rischi
    • Analisi e valutazione dei rischi
    • Dichiarazione di Applicabilità (SoA)
    • Piano di trattamento dei rischi
    • Implementazione controlli di sicurezza
  • Formazione ed Adozione del SGSI
    • Piano della formazione
    • Cybersecurity Awareness
    • Applicazione operativa delle procedure adottate
    • Registrazione delle evidenze
  • Valutazione e miglioramento continuo
    • Audit interno
    • Azioni correttive
    • Riesame della Direzione
    • Azioni di miglioramento
  • Supporto alla certificazione
    • Affiancamento durante il processo di certificazione

Mantenimento nel tempo del SGSI certificato secondo la norma ISO/IEC 27001

Come descritto sopra, un sistema di gestione certificato va mantenuto ed adeguato nel tempo per conservarne l’efficacia e renderlo aderente ai cambiamenti operativi e di contesto in cui opera l’azienda.

NEUS è in grado di affiancare le imprese sia durante il progetto di prima implementazione del SGSI aziendale, sia successivamente, per supportarne il mantenimento attraverso le seguenti attività di consulenza:

  • Servizio di Internal auditor del SGSI in outsourcing
    • Supporto al presidio del SGSI e alla relativa gestione dei rischi
    • Programmazione e svolgimento di verifiche periodiche (con cadenza almeno annuale)
  • Supporto al mantenimento della certificazione
    • Affiancamento durante le visite di sorveglianza dell’Organismo di Certificazione e durante gli audit di rinnovo del certificato

Se vuoi saperne di più, scrivici compilando la form di questa pagina: siamo a tua disposizione per approfondire.

Vuoi approfondire?

Lasciaci un messaggo e ti ricontatteremo


    Articoli recenti

    Scopri i nostri articoli più recenti ricchi di informazioni e consigli utili per l’evoluzione aziendale in modalità sicura.