Sempre più spesso si sente parlare di sicurezza informatica, (o cybersecurity).
In un mondo in cui i dati sono la moneta di scambio tra aziende e Big Tech, e la maggior parte delle aziende utilizza il Cloud Computing per la protezione e la sicurezza delle informazioni, la loro salvaguardia è cruciale.

Per questo è nato lo standard ISO/IEC 27001. Una norma di carattere internazionale che definisce i requisiti per impostare e gestire un sistema di gestione delle informazioni. Comprende parametri  relativi sia alla sicurezza informatica, che fisica e organizzativa.

ISO 27001: la storia

I primi accenni della norma nascono già nel 2005, col crescente sviluppo delle tecnologie digitali. Ma i primi fini sono più che altro certificativi.

È in questi ultimi anni che assistiamo a un vero boom di richieste di certificazioni ISO 27001, che comporta anche la nascita di alcune estensioni della norma:

ISO/IEC 27017:

È una linea guida che definisce alcuni controlli avanzati per fornitori e clienti di servizi in cloud.

Il suo scopo è chiarire i ruoli e le responsabilità dei vari attori in gioco, per garantire la sicurezza dei dati.

ISO/IEC 27018:

È un’altra linea guida, dedicata ai fornitori di servizi cloud pubblici.

Il suo scopo è fornire una modalità strutturata per far fronte alle principali questioni giuridiche legate alla gestione dei dati personali nelle aziende informatiche.

La versione più recente della ISO 27001 è la ISO/IEC 27001:2022. È stata pubblicata nell’ottobre 2022.

Gli Obiettivi della ISO 27001

ISO 27001: la norma che regola la cybersecurity in azienda
La ISO 27001 stabilisce alcune condizioni per mantenere un Sistema di Gestione della sicurezza delle informazioni all’interno di un’organizzazione. Inoltre include diversi criteri per la gestione dei rischi di sicurezza delle informazioni nei server e nei sistemi di Cloud di un’organizzazione, indipendentemente dalle sue dimensioni. Si può trattare di una PMI o di una multinazionale.

La protezione dei dati da una vasta gamma di minacce (accessi non autorizzati, furti di dati, interruzione delle informazioni, virus…) resta l’obiettivo primario della norma, insieme a quello di garantire una continuità aziendale. Implementare un sistema di gestione della sicurezza delle informazioni appropriato significa adottare tutte le misure di sicurezza necessarie per assicurare riservatezza, integrità e disponibilità dei dati.

I benefici della ISO 27001

La ISO 27001 rappresenta uno degli standard di sicurezza delle informazioni più diffusi. Negli ultimi dieci anni il numero di certificazioni è aumentato di oltre il 450%.

L’adozione di questo standard consente di rispettare i requisiti di leggi come il GDPR (Regolamento Generale sulla Protezione dei Dati), così come dei regolamenti NIS (Sistemi di Rete e Informazione). Inoltre, aiuta a ridurre i costi associati alle violazioni dei dati.

Sono molti i benefici per un’organizzazione che sceglie di certificarsi. Non solo interni come abbiamo visto, ma anche a livello di rientro di immagine. Vediamone alcuni:
Incremento della fiducia dei clienti: l’ottenimento della ISO 27001 permetterà al mercato di percepire in modo ancora più evidente l’adesione dell’azienda alla sicurezza dei dati e delle informazioni.

Potenziamento della consapevolezza del marchio: gli attacchi informatici stanno crescendo costantemente. I conseguenti danni finanziari e reputazionali derivanti da una carenza di sicurezza delle informazioni possono essere devastanti. L’adozione di un sistema di gestione della sicurezza delle informazioni (ISMS) certificato ISO 27001 aiuta a preservare l’Organizzazione da tali minacce. Inoltre dimostra che sono state intraprese le azioni necessarie per tutelare la propria attività.

Conformità ai vincoli aziendali, giuridici, contrattuali e regolamentari: lo Standard ISO 27001 è concepito per assicurare misure di sicurezza adeguate e proporzionate al rischio informatico. Queste misure contribuiscono a salvaguardare le informazioni in conformità ai requisiti normativi, come il Regolamento generale sulla protezione dei dati (GDPR) e altre normative sulla sicurezza delle informazioni.

Benefici nelle procedure di gara: favorirà la partecipazione a gare d’appalto, sia nel settore privato che soprattutto nel settore pubblico, in cui il riferimento a standard di sicurezza internazionali rappresenta un requisito vantaggioso per l’acquisizione di forniture da parte di terzi.

Minimizzazione o eliminazione delle conseguenze punitive: in base a una ricerca condotta da Ponemon, il costo medio globale di una violazione dei dati è valutato intorno a 3,86 milioni di dollari (3,23 milioni di euro). È un aumento del 6,4% rispetto al 2017. Essendo uno standard riconosciuto, l’ISO 27001 consente alle organizzazioni di evitare gravi danni derivanti da violazioni dei dati.

Riduzione dei costi delle assicurazioni: l’adozione dello standard ISO 27001 porterà a una diminuzione dei premi assicurativi per le polizze riguardanti gli eventi informatici.

Ottenere una valutazione obiettiva del proprio livello di sicurezza: la certificazione ISO 27001 richiede la conduzione di revisioni periodiche e audit interni dell’ISMS, al fine di garantirne un miglioramento costante. Un valutatore esterno esaminerà l’ISMS a intervalli specifici per determinare se i controlli sono efficaci come previsto. Attraverso questa valutazione si otterrà l’opinione di un esperto sul corretto funzionamento dell’ISMS, e il livello di sicurezza necessario per proteggere le informazioni dell’organizzazione.

ISO 27001 e Pubblica Amministrazione

Lo standard ISO 27001 non è ancora uno standard obbligatorio o cogente. Tuttavia le direzioni della Pubblica Amministrazione lo considerano un parametro fondamentale nella reputazione di un’organizzazione. Sempre più sovente infatti si orientano verso fornitori in grado di mantenere standard di sicurezza elevati.

Infatti, nonostante come detto lo standard non sia obbligatorio, il 20 Maggio scorso AdID ha pubblicato delle indicazioni per garantire che vengano rispettati dei precisi parametri durante le procedure per l’approvvigionamento di beni e servizi informatici da parte delle Pubbliche Amministrazioni, dei contratti ICT e dei fornitori che li garantiscono.

iso 27001: la norma che regola la cybersecurity in azienda

Tra i requisiti previsti per il fornitore, c’è un punto preciso in cui viene richiesto che possieda la certificazione ISO/IEC 27001 e la mantenga durante tutta la durata del contratto.

Come INCOS può aiutarvi a ottenere la certificazione ISO 27001:

Offriamo un pacchetto completo per implementare un ISMS. La nostra esperienza si basa sulla pratica, non solo sulla teoria accademica.
Aiutiamo i nostri clienti ad ottenere la certificazione e la conformità alla norma ISO 27001. Indipendentemente dalle dimensioni o dalla natura dell’organizzazione, abbiamo un approccio collaudato e pragmatico per valutare la conformità agli standard internazionali.
La trasparenza dei nostri prezzi e delle nostre proposte è un valore importante per noi, in modo che non ci siano sorprese. Offriamo anche un pacchetto di servizi dedicato alle piccole imprese, per prepararsi alla certificazione in soli tre mesi. Siamo pronti ad affrontare ogni sfida, con l’obiettivo di migliorare continuamente le nostre competenze e le nostre offerte.
Potrebbero interessarti anche:
FSSC 22000: in arrivo la versione 6

FSSC 22000: in arrivo la versione 6

La Fondazione FSSC ha annunciato che nel 2023 renderà disponibile la nuova versione 6 dello standard FSSC 22000. Tuttavia, una volta pubblicata le aziende avranno un anno di tempo per aggiornarsi. Un nuovo passo in avanti, dopo la versione 5 e 5.1, di cui avevamo già...

FSSC 22000 rilascia la versione 5.1

FSSC 22000 rilascia la versione 5.1

Dal 1 Aprile 2021 entrerà in vigore la nuova versione 5.1 dello standard FSSC 22000. Un cambiamento necessario, soprattutto in seguito all'aggiornamento da parte della Global Food Safety Initiative (GFSI) dei propri requisiti di benchmarking. Infatti ora gli standard...

Audit FSSC 22000 remoto: facciamo chiarezza

Audit FSSC 22000 remoto: facciamo chiarezza

Cerchiamo di rispondere ad una domanda che molti ci hanno fatto: nella nostra Newsletter N.29 abbiamo comunicato la notizia diffusa da FSSC sulla conduzione di audit FSSC 22000 in remoto. Il meccanismo è descritto nell’Annex 9, un documento dedicato all'uso delle ICT...

FSSC 22000: Ultime decisioni Board of Stakeholders

FSSC 22000: Ultime decisioni Board of Stakeholders

Il Board of Stakeholders FSSC 22000 governa lo Schema di certificazione, e rappresenta gli interessi di tutti i soggetti coinvolti nella filiera alimentare.Membri del Board of Stakeholders FSSC 22000(fonte: Freepik)Il Consiglio tiene almeno tre riunioni all'anno, e le...

Vulnerabilità materie prime: potenziali rischi

Vulnerabilità materie prime: potenziali rischi

Quando parliamo di vulnerabilità delle materie prime intendiamo la possibilità che ci siano punti deboli nella catena produttiva. In questo modo il rischio di possibili frodi alimentari, o minacce intenzionali all'interno della catena di approvvigionamento aumenta...

Contattaci
Via Guastalla 6
10124 Torino (IT)
+39 349 2371389
info@incos-consulting.com
Maggiori informazioni

4 + 7 =

incos consulting
Il partner giusto cui affidare i servizi della propria azienda.
Dove Siamo:
Via Guastalla, 6
10124 Torino

P.IVA: 10868080010
Tel: +39 349 2371389

info@incos-consulting.com

Seguici su LinkedIn