UNI CEI ISO/IEC 27001:2017, Sistema Gestione Sicurezza Informazioni (SGSI)
Negli ultimi anni le imprese hanno preso progressivamente coscienza della crescente importanza che il bene “informazione” sta assumendo non solo in ambito economico, ma anche in ambito sociale e politico.
L’International Organization for Standardization (ISO) ha emanato una serie di norme nell’ambito della Sicurezza delle informazioni che tendono ad aiutare le organizzazioni non solo a migliorare la fiducia nelle relazioni tra azienda e azienda e tra azienda e cliente ma anche a gestire in modo efficiente, efficace e soprattutto economico la crescente mole di informazioni in appropriata sicurezza.
La UNI CEI ISO/IEC 27001:2017 (ISMS: Information technology – Security techniques – Information security management systems – Requirements) fornisce le linee guida per sviluppare, implementare, utilizzare, monitorare, revisionare, aggiornare e migliorare un sistema di gestione della sicurezza delle informazioni (SGSI).
Tale sistema è uno strumento che permette di controllare in modo sistematico e continuativo i processi che riguardano la sicurezza di tutto il patrimonio informativo aziendale, non solo dal punto di vista informatico (supporti elettronici o cartacei utilizzati per immagazzinare i documenti e i dati) ma soprattutto dal punto di vista gestionale ed organizzativo definendo ruoli, responsabilità e procedure formali per l’operatività dell’azienda stessa.
I requisiti specificati nella norma sono di carattere generale e quindi applicabili a tutte le organizzazioni. In tal modo l’implementazione di un SGSI può essere adattata alle esigenze e agli obiettivi, ai requisiti di sicurezza, ai processi utilizzati e alla dimensione e struttura dell’organizzazione stessa. Inoltre, essendo tali aspetti variabili nel tempo, il SGSI può variare in relazione a tali cambiamenti ed esigenze dell’azienda.
L’obiettivo della Certificazione ISO 27001 è quello di proteggere i Dati e le Informazioni Aziendali garantendone:
Integrità: salvaguardando l’accuratezza e la completezza delle informazioni e dei metodi di elaborazione
Riservatezza: assicurando che le informazioni siano accessibili solo a chi è autorizzato ad averne accesso
Disponibilità: assicurando che gli utenti autorizzati abbiano accesso alle informazioni quando richiesto e/o necessario
In altre parole, la normativa prevede che tutte le informazioni elaborate ed utilizzate dall’azienda siano correttamente conservate per essere rese integralmente disponibili a tutte le persone autorizzate al loro uso al momento opportuno.
Vantaggi
Si indicano di seguito alcuni dei numerosi vantaggi che una certificazione ISO/IEC 27001 può apportare ad un’azienda, vantaggi che possono essere sia interni che esterni:
Interni
- Protezione degli asset strategici dell’azienda
- Mappatura dell’architettura del proprio sistema informativo
- Minimizzazione e gestione dei rischi individuando le aree di maggiore criticità, attraverso l’analisi dei rischi, ed introducendo azioni di – miglioramento continuo.
- Riduzione dei costi, attraverso la riduzione dei punti deboli e degli incidenti di sicurezza.
- Miglioramento dell’efficienza dei processi e degli investimenti informatici.
- Munirsi di uno strumento efficace nel garantire la conformità ai regolamenti e alle normative in vigore (ad es. D.Lgs 196/03 e D.Lgs 231/01).
- Riduzione dei costi assicurativi.
- Aumento della consapevolezza verso la sicurezza e delle responsabilità del personale.
- Tutela del proprio investimento commerciale per le informazioni derivanti da indagini di mercato, attività di ricerca scientifica, progettazione e sviluppo di prodotti o servizi.
Esterni
- Miglioramento dell’immagine aziendale, dimostrando di essere dotati di un sistema di gestione affidabile e basato su standard internazionali
- Aumento della fiducia dei clienti dimostrando l’assunzione di responsabilità verso la protezione delle informazioni sensibili del cliente
- Assicurare la continuità operativa dei servizi erogati alla propria clientela/utenza, anche in caso di incidente alla sicurezza
- Aumento del vantaggio competitivo attraverso l’ottemperanza degli obblighi e delle aspettative contrattuali nelle relazioni commerciali
- Miglioramento dei rapporti con la Pubblica Amministrazione
Processo
Per una corretta gestione delle diverse attività necessarie al mantenimento della sicurezza in azienda la UNI CEI ISO/IEC 27001 utilizza il modello di processo noto come “Plan-Do-Check-Act” (PDCA), un ciclo continuo delle seguenti attività:
- Plan – Pianificare: Stabilire la politica del SGSI, gli obiettivi, delineare le strutture e i processi coinvolti nel trattamento delle informazioni, nonché valutare i rischi per la sicurezza e stabilire un piano per la loro gestione.
- Do – Fare: Attuare e rendere operativa la politica SGSI implementando le decisioni prese e le soluzioni delineate nella fase di pianificazione
- Check – Verificare (audit interni): valutare e misurare le prestazioni del processo a fronte della politica del SGSI, degli obiettivi e delle esperienze pratiche e quindi riportare i risultati alla direzione ai fini del riesame
- Act – Agire: Intraprendere azioni correttive e preventive, basate sugli audit interni del SGSI e sul riesame da parte della direzione al fine di ottenere il miglioramento continuo del SGSI
Percorso certificazione con Certim
La Società Certim Srl si impegna a mettere a disposizione le conoscenze e la professionalità dei suoi consulenti affinché i propri Clienti possano ottenere la Certificazione del Sistema di Gestione della Scurezza delle Informazioni (SGSI) secondo la norma UNI CEI ISO/IEC 27001.
I consulenti Certim hanno il compito di:
- formare il personale dell’azienda alla gestione della sicurezza delle informazioni;
- redigere la documentazione, anche su supporto informatico (Manuale, procedure gestionali, modulistica);
- eseguire le verifiche ispettive interne e mettere a regime il sistema di gestione per predisporlo alla valutazione dell’Organismo di Certificazione (OdC).
Il percorso da seguire sarà il seguente:
- Stesura di tutte le procedure gestionali ed operative affinché ciò che è indicato in procedura sia il più aderente possibile alle specifiche realtà ed alle prassi già in atto.
- Verifica da parte dell’OdC prescelto di tutta la documentazione predisposta.
- Implementazione e valutazione da parte del consulente del grado di adesione al sistema di gestione della sicurezza, come definito nel Manuale e nelle procedure.
- Richiesta all’OdC della verifica di Certificazione quando il sistema di gestione della sicurezza sarà giudicato a regime dal consulente.