Attraverso il riconoscimento che l’informazione è un elemento che aggiunge valore all’impresa, e che quindi deve essere opportunamente conservato e protetto da manomissioni esterne, ogni organizzazione dovrebbe sviluppare idonee contromisure tecnologiche e procedurali, in grado di prevenire le minacce ed in particolare impedire le violazioni dei sistemi di sicurezza. Gestire quindi in condizioni di sicurezza l’intero sistema informativo aziendale per la salvaguardia della riservatezza, dell’integrità e della disponibilità dei dati, siano essi in formato informatico o cartaceo è fondamentale per qualunque azienda per non incorrere in una perdita di competitività con conseguente riduzione delle quote di mercato.
Una sicurezza delle informazioni gestita con un sistema conforme allo ISO/ IEC 27001 può aiutare a mostrare le prove a clienti e partner che l’organizzazione prende sul serio la sicurezza delle informazioni. L’obiettivo principale della norma ISO/IEC 27001 è infatti quello di contribuire a creare, sviluppare, mantenere e migliorare continuamente un sistema efficace di gestione delle informazioniin modo tale da minimizzare i rischi e garantire che la sicurezza continui a soddisfare i processi interni necessari, nonché ai requisiti dei clienti e legale.
I contenuti
ISO/IEC 27001 “Tecnologie informatiche – tecniche di sicurezza – Sistema di Gestione della Sicurezza delle Informazioni” è l’unico standard certificabile a livello internazionale che definisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Un SGSI, costruito sui modelli reali dell’organizzazione, è costituito da processi, comportamenti, procedure e gestione di risorse e strumenti finalizzati a garantire la sicurezza sia fisica che logica delle informazioni.
La norma in oggetto è volta a stabilire, attuare, condurre, monitorare, riesaminare e mantenere attivo il sistema di gestione basandosi sull’approccio per processi e adotta il modello noto come PDCA (Plan, Do, Check, Act) per strutturare gli stessi rendendolo in questo modo perfettamente compatibile con gli altri schemi certificativi (ISO 9001, ISO 14001, OHSAS 18001). Lo schema implementativo proposto dalla norma inizia col considerare l’analisi delle informazioni aziendali da proteggere e delle minacce e vulnerabilità a cui possono essere soggette (Risk Assessment) ed indirizza poi le organizzazioni all’identificazione di adeguate contromisure seguendo 3 principi fondamentali di:
| • | riservatezza delle informazioni, cioè assicurare che le informazioni siano accessibili solo a chi è autorizzato ad averne accesso |
| • | integrità delle informazioni, cioè salvaguardare l’accuratezza e la completezza delle informazioni e dei processi collegati |
| • | disponibilità delle informazioni, cioè assicurare che solo gli utenti autorizzati abbiano accesso alle informazioni e ai beni collegati quando richiesto e/o necessario. |
L’adozione di un Sistema di Gestione per la Sicurezza delle Informazioni permette di:
– assicurare la continuità del business, inteso come assicurazione della continuità dei servizi erogati da un’organizzazione alla propria clientela/utenza, anche in caso di incidente alla sicurezza, sia esso accidentale o doloso;
– minimizzare i danni, data l’impossibilità di eliminare il rischio di incidenti;
– massimizzare il rendimento del capitale investito e le opportunità di miglioramento;
– assicurare la continuità dei servizi e minimizzare i danni in caso di incidente, con investimenti che possono essere massimizzati se adeguatamente quantificati, monitorati e gestiti. In tal senso l’adozione di un SGSI assicura l’individuazione delle opportunità di miglioramento sia in termini di sicurezza sia in termini di rendimento degli investimenti.
L’integrazione con i Sistemi di Gestione per la Qualità (UNI EN ISO 9001) rende questo standard una straordinaria opportunità di razionalizzare e migliorare i processi interni.
La certificazione
Per ottenere la certificazione ISO/IEC 27001 un’organizzazione deve presentare apposita domanda di certificazione ad un ente terzo accreditato per questo schema da Accredia. L’ente incaricato esamina i documenti presentati dall’azienda ed effettua una visita di valutazione presso l’organizzazione per la verifica diretta dell’applicazione delle procedure al termine del quale è emesso un rapporto di valutazione, contenente eventuali osservazioni e non conformità emerse; se l’esito è positivo, l’Ente di Certificazione rilascia il Certificato all’Azienda.
Asint Srl è in grado di assistervi
nella costruzione, implementazione, certificazione e mantenimento del Sistema di Gestione della Sicurezza delle Informazioni tramite metodologie collaudate, progetti personalizzati e consulenti altamente qualificati. Scheda Servizio
