Certificazione ISO 27001

Certificazione di sicurezza dati ISO 27001: cos’è e come ottenerla

    Consulenza ISO 27001

    Certificazione ISO 27001 Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni

    Certificazione ISO 27001
    Certificazione di sicurezza dati ISO 27001: cos’è e come ottenerla

    ISO/IEC 27001 è lo standard internazionale che aiuta le organizzazioni a stabilire, implementare, rivedere, mantenere, monitorare e migliorare il proprio sistema di gestione della sicurezza delle informazioni (ISMS)

    Anche se non tutte le organizzazioni scelgono di ottenere la certificazione ISO27001, e molte utilizzano lo standard solo come riferimento per un approccio di best practice alla sicurezza delle proprie informazioni, la certificazione di conformità dell’ISMS ai requisiti della ISO 27001 resta comunque la migliore garanzia che una azienda può offrire alla committenza per quando riguarda l’allineamento del proprio contesto organizzativo e tecnologico alle migliori pratiche adottabili nell’ambito della sicurezza delle informazioni.

    Un ISMS ISO 27001 si compone di politiche, procedure, controlli, finalizzati sostanzialmente a gestire i rischi relativi alle informazioni, come attacchi informatici, hack, fughe di dati o furti, a cui può essere soggetto il patrimonio informativo aziendale, e chiama in causa persone, processi e tecnologie.

    Lo standard ISO 27001 prevede che il sistema, una volta messo in esercizio, disponga di funzioni di analisi periodica di tutte le risorse informative gestite dalla organizzazione, per individuare i rischi a cui possono essere soggette, e di presìdi che riescano a ricondurre tali rischi ad un livello accettabile.

    La certificazione ISO 27001 aiuta a dare evidenza delle buone pratiche di sicurezza adottate dalla azienda, e a migliorare così i rapporti e la fidelizzazione della propria clientela, agendo come ottimo strumento di marketing, in grado di fare la differenza rispetto ai concorrenti.

    La ISO 27001 è generalmente accettata come strumento di benchmark globale per determinare il livello di efficacia conseguito da una azienda nella gestione delle risorse informative, e quindi la copertura data ai rischi di perdite finanziarie potenzialmente devastanti causate dalle violazioni dei dati.

    Gli attacchi informatici stanno aumentando di volume e di forza ogni giorno, e Il danno finanziario e reputazionale causato da un approccio inefficace alla sicurezza delle informazioni può infatti essere disastroso.

    Assessment iniziale senza impegno
    Voi capite noi, noi capiamo voi

    Siamo disponibili ad avviare senza impegno le attività per la certificazione della vostra azienda, per consentire a voi di entrare nel merito del processo, e alla Memole di conoscere meglio l’azienda, le sue necessità e specifiche aspettative.
    Alla fine dell’assessment, saremo entrambi più consapevoli, ed in grado di valutare insieme l’impegno prevedibilmente richiesto per giungere al risultato.
    In ogni caso, la Memole non lavora “a tassametro”: a fronte dell’importo stabilito, i suoi consulenti supportano l’azienda fino al conseguimento della certificazione, a prescindere dalle giornate.

    Steps percorso certificazione – Supporto consulenziale

    1. Analisi del contesto interno ed esterno
    8%
    Si individuano i principali stakeholders aziendali, e quali sono i loro impegni e le aspettative nei confronti dell’azienda
    2. Screening delle prassi e dei flussi operativi dell’azienda
    13%
    Si analizza quanto la cultura aziendale ha consolidato in termini di pratiche, valorizzandone la qualificazione rispetto ai requisiti previsti dalla norma di riferimento
    3. Analisi dei rischi e delle opportunità
    16%
    Si analizzano i rischi di mancato rispetto dei requisiti della norma, non sufficientemente coperti dalle prassi aziendali, e le opportunità che potrebbero cogliersi con una migliore qualificazione delle prassi stesse
    4. Individuazione dei presìdi da adottare per la riduzione del rischio
    24%
    Per i rischi che non presentano sufficiente copertura,
    si individuano i presìdi adottabili, in
    termini di migliori controlli, più efficienti modalità operative ecc.
    5. Adeguamento dei processi aziendali
    29%
    I presìdi individuati vengono implementati nei processi aziendali
    6. Redazione della documentazione di sistema (manuale e procedure)
    40%
    I processi così qualificati sono descritti nella documentazione di sistema (manuale e
    procedure). Tale documentazione è approvata dalla direzione aziendale ed illustrata al
    personale
    7. Messa in esercizio del sistema
    49%
    Viene curata la concreta applicazione del sistema, intervenendo eventualmente con le
    revisioni che si rendessero necessarie
    8. Verifica dello stato di applicazione del sistema e di conformità ai requisiti della norma di riferimento
    70%
    Tramite cicli di audits interni, sull’intero sistema, se ne verifica lo stato di applicazione e la
    effettiva conformità alla norma di riferimento
    9. Scelta di un ente di certificazione
    82%
    Si individua l’ente accreditato, si presenta la domanda di certificazione e si pianifica l’audit
    10. Sostenimento dell’audit
    89%
    L’audit vede come protagonisti l’azienda nel suo complesso, e i suoi dipendenti, che devono dimostrare di possedere sufficiente conoscenza e competenza applicativa della norma e delle procedure di sistema.
    11. Conseguimento del certificato
    100%
    Il rapporto dell’auditor con la proposta di certificazione di conformità alla norma,
    indirizzata al comitato dell’ente, sancisce la conclusione dell’iter di certificazione

    UNI CEI ISO/IEC 27001 Sicurezza delle informazioni

    Lo Standard UNI CEI ISO/IEC 27001:2006 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

    Caratteristiche
    La Norma è stata creata e pubblicata nell’ottobre 2005 (la versione italiana UNI è del 2006) a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l’applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il nuovo standard ha assorbito entrambe le parti: la linea guida è stata recepita dall’ISO come ISO 17799 (Information Technology -Security Techniques – Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, è stato emesso nell’ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO 17799 è stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie 27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni.

    La norma ISO 27002:2007 è una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non è certificabile in quanto è una semplice raccolta di raccomandazioni.

    Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
    La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.
    L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 ed il Risk management, basandosi sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo. La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT.

    La norma è applicabile a tutte le imprese private o pubbliche in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda. Però bisogna tener presente che l’adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico che in genere coincide con l’ufficio Organizzazione e Qualità. “Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato all’interno di un contesto di rischi legati alle attività centrali dell’organizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.”

    Lo standard ISO 27001:2005 che come già detto presenta molti punti in comune con la ISO 9001, che definisce i requisiti di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia del miglioramento continuo ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede:

    • Pianificazione e Progettazione;
    • Implementazione;
    • Monitoraggio;
    • Mantenimento e il miglioramento

    similmente a quanto previsto dai sistemi per la gestione della qualità. Nella fase di progettazione richiede però lo svolgimento di un risk assessment schematizzabile in:

    • Identificazione dei rischi;
    • Analisi e valutazione;
    • Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
    • Assunzione del rischio residuo da parte del management;
    • Definizione dello Statement of Applicability.

    L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto dell’ISMS. Come per il sistema qualità l’organizzazione ISMS può essere certificata da enti di certificazione, che operano tramite valutatori qualificati, esaminando periodicamente lo stato delle condizioni di conformità. Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato delle necessarie competenze.

    Controlli
    Di fondamentale importanza è l’Annex A “Control objectives and controls” che contiene i 133 “controlli” a cui, l’organizzazione che intende applicare la norma, deve attenersi.

    Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione dellecomunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).

    La gestione della Business Continuity e il rispetto normativo, completano l’elenco degli obiettivi di controllo.

    L’organizzazione deve motivare quali di questi controlli non sono applicabili all’interno del suo ISMS, per esempio un’organizzazione che non attua al suo interno ‘commercio elettronico’ può dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all’e-commerce.

    Privacy-Safety
    La conformità alla ISO 27001, pur certificata da un organismo di certificazione, magari accreditato, non solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy; il controllo A.15.1.4 richiede infatti che “La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali”.

    La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.

    Il D.Lgs.81/2008, che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene in genere individuato tra quelle normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.15.1.1 che parla appunto della legislazione applicabile.

    Il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001. Per esempio un impianto antincendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non soddisfa automaticamente le esigenze che esprime la norma ISO 27001, che si preoccupa anche della ‘correttezza’ dei ‘dati’ contenuti nei server e nei client, cosa non automaticamente garantita da un sistema antincendio conforme alle legge dello stato.

    Da Wikipedia, l’enciclopedia libera

    Chiama per un Assesment