Con la 27001 un approccio a 360° all’information security
Coopservice ha ottenuto la certificazione ISO/IEC 27001, la principale norma internazionale che regola la sicurezza delle informazioni in possesso di una azienda, uno standard messo a punto dall’International Organization for Standardization (ISO) in collaborazione con la International Electrotechnical Commission (IEC). Nello specifico con la 27001 vengono fissati determinati requisiti considerati indispensabili per lo sviluppo e il mantenimento dei sistemi di gestione della sicurezza delle informazioni (ISMS, information security management systems). Considerato l’incremento del crimine informatico e l’emergere costante di nuove minacce, ISO/IEC 27001 aiuta le organizzazioni ad assumere consapevolezza dei rischi e a identificare e affrontare in modo proattivo i punti deboli.
Non solo uno standard di sicurezza informatica
La gestione della sicurezza delle informazioni è infatti sempre più un segmento strategico per le direzioni aziendali a seguito della rilevanza e della quantità di contenuti informativi che quotidianamente vengono ‘elaborati’, soprattutto attraverso gli strumenti informatici. È bene però chiarire preliminarmente che la ISO/IE 27001 non va intesa unicamente come uno standard di sicurezza informatica, ma quale normativa che consente alle organizzazioni un approccio a 360° al tema della sicurezza delle informazioni possedute, occupandosi, oltre che degli aspetti specifici inerenti il trattamento delle risorse digitali, sia degli aspetti di sicurezza ‘fisica’ sia di quella ‘ambientale’ e ‘organizzativa’.
Gli aspetti altrettanto importanti della sicurezza fisica, ambientale e organizzativa
Certo un elemento imprescindibile è costituito dalla sicurezza delle reti, delle dotazioni hardware e dei sistemi di information technology, inclusi i sistemi operativi e i software, in modo da garantire che essi siano sicuri e protetti contro la perdita dei dati. Ma accanto agli aspetti correlati ai processi di progressiva digitalizzazione, nella norma assume un’altrettanta decisiva importanza la sicurezza fisica e ambientale, prevedendo le procedure e i controlli volti a impedire l’accesso non autorizzato alle aree fisiche di conservazione dei contenuti e la protezione delle apparecchiature e delle strutture da una possibile compromissione causata dall’intervento umano o da eventi ‘naturali’.
Una guida per implementare i sistemi di gestione della sicurezza delle informazioni (ISMS)
La gestione della sicurezza delle informazioni non riguarda pertanto solo la sicurezza informatica (server, backup, firewall, antivirus ecc.), ma anche la gestione dei processi, la tutela legale, la gestione delle risorse umane, la protezione fisica. Perché allo standard ISO/IEC 27001 fa riferimento tutto ciò che è riconducibile alla categoria ‘informazioni’: dai documenti in formato digitale a quelli in formato cartaceo, dalle strumentazioni hardware alle competenze del personale. Possiamo dunque definire la norma ISO/IEC 27001 una combinazione di politiche, procedure e controlli che consente alle organizzazioni di qualsiasi tipologia e settore di adottare un sistema efficace di gestione della sicurezza delle proprie informazioni sensibili, riducendo in tal modo il rischio di violazioni di dati, cyber attacchi e altre tipologie di possibili incidenti.
Obiettivo prevenzione e controllo dei rischi di violazioni e cyber attacchi
Più in generale, si può senz’altro affermare che l’obiettivo della ISO/IEC 27001 è proteggere le informazioni in possesso di una organizzazione, garantendo che risorse come i rendiconti finanziari, la proprietà intellettuale, i dati dei dipendenti e le informazioni affidate da terzi rimangano integre, riservate e disponibili secondo necessità. Una protezione da attuare partendo dall’individuazione dei potenziali problemi che potrebbero verificarsi (valutazione del rischio), e, conseguentemente, definendo ciò che è necessario fare per evitare che si verifichino, ovvero prevedendo tecniche e procedure per la mitigazione e il trattamento del rischio. Pertanto, la filosofia principale della ISO 27001 si basa su un processo di gestione dei rischi: scoprire dove essi si insidiano al fine di trattarli sistematicamente, attraverso l’implementazione di un sistema in cui si definiscono protezioni e controlli di sicurezza.
Politiche, procedure e controlli di sicurezza per il miglioramento continuo degli ISMS
Che cosa significa dunque implementare gli ISMS, Information Security Management Systems? Si tratta di sistemi fondati sull’applicazione del cosiddetto ‘ciclo di Deming’ (PDCA – Plan, Do, Check, Act), metodo di gestione in quattro fasi utilizzato nel total quality management per il controllo e il miglioramento continuo dei processi e dei prodotti. Nello specifico, per quanto attiene ai processi di messa in sicurezza delle informazioni, lo standard 27001 fornisce una guida gestionale che prevede requisiti per il risk management, l’asset management, il controllo degli accessi, la crittografia, la gestione degli incidenti, consentendo in tal modo una gestione dei rischi che garantisca al contempo:
• la riservatezza,
• l’integrità,
• la disponibilità dei dati informativi di cui si è in possesso.
I 3 princìpi fondamentali della sicurezza delle informazioni secondo lo standard 27001
Riservatezza, integrità e disponibilità costituiscono infatti i 3 princìpi fondamentali della ISO/IEC 27001:
• riservatezza, in quanto le informazioni sono protette dalla divulgazione non autorizzata e pertanto solo le persone autorizzate hanno diritto ad accedervi;
• integrità, poiché si certifica che i contenuti in proprio possesso vengono archiviati in modo affidabile così da garantire che siano accurati, completi e non manomessi, e che dunque solo le persone autorizzate possano apportare modifiche;
• disponibilità, così da assicurare che le informazioni siano pienamente accessibili alle persone autorizzate ogni volta che si renda necessario.
Ai tre capisaldi della norma si aggiungono poi due ulteriori elementi che completano la dotazione di sicurezza di base, e che si riferiscono essenzialmente ai sistemi e alle procedure informative digitali:
• autenticità, nel senso che l’identità dell’utente e dei sistemi può essere verificata;
• ‘non-repudiation’, ovvero l’impossibilità di disconoscere interazioni e ‘transaction’ che devono rimanere tracciate e verificate.
I plurimi benefici dell’adesione alla norma 27001
Date le sue caratteristiche, lo standard ISO/IEC 27001 si configura quale strumento prezioso per le organizzazioni che cercano di migliorare il proprio livello di sicurezza e dimostrare ai propri stakeholder l’impegno a proteggere le informazioni sensibili. Più analiticamente si possono individuare per le imprese e le organizzazioni aderenti i seguenti vantaggi:
• una maggiore sicurezza delle informazioni e dei dati su tutti i supporti (cartacei, cloud, digital data);
• sviluppo della resilienza dell’intera organizzazione agli attacchi informatici;
• riduzione del rischio di incidenti di sicurezza;
• miglioramento della reputation e della fiducia di partner e clienti, i quali hanno modo di apprezzare che le informazioni che li riguardano siano al sicuro;
• conformità ai requisiti legali e normativi, dato il numero crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni.