Una delle sfide ricorrenti quando si persegue una certificazione ISO è la scelta dell'ente di certificazione. La preoccupazione principale quando si effettua questo tipo di scelta è – probabilmente - il costo che non è assolutamente un fattore trascurabile, soprattutto in tempi di crisi.
Questo non vuol dire che l'opzione più costosa sia sempre la migliore o che l'offerta meno costosa sia la peggiore. Si tratta semplicemente di trovare qualcuno con le conoscenze e l'esperienza giuste per la vostra organizzazione.
Ci sono, però, anche altre cose da considerare. Quando si sceglie un ente di certificazione per la ISO27001 il percorso non è semplice perché i fattori in ballo possono essere molti:
- costi diversi;
- reputazioni diverse;
- la presenza di un ufficio vicino all'azienda da certificare oppure no;
- ecc.
Per cominciare, come prima cosa, bisognerebbe assicurarsi che l'ente di certificazione sia accreditato e abbia una buona reputazione nel settore. Ma perché un'organizzazione dovrebbe certificarsi ISO 27001?
Partiamo col dire che la certificazione secondo questo standard è applicabile a tutti i tipi di attività. Questo secolo è spesso associato alla rivoluzione dell'informazione e il successo può essere determinato dalla capacità di un'organizzazione di utilizzare e proteggere le proprie informazioni, che stanno diventando la risorsa più preziosa.
Un sistema di gestione della sicurezza delle informazioni certificato secondo la norma ISO 27001 fornisce istruzioni valide per soluzioni di protezione delle informazioni ed è completamente compatibile con gli altri sistemi di gestione esistenti (ad esempio il sistema di gestione della qualità secondo la ISO 9001 o quello di gestione dell'ambiente secondo la ISO 140001) e con i loro processi.
I motivi più comuni per perseguire una certificazione ISO 27001 sono:
- fare in modo che le informazioni fluiscano all'interno dell'azienda in modo sicuro ed efficace;
- assicurare che le informazioni siano disponibili al momento giusto;
- prevenire la perdita, l'abuso o la modifica non autorizzata delle informazioni;
- fare in modo che le informazioni siano accessibili solamente alle persone autorizzate;
- assicurare la protezione dei dati personali;
- adempiere ai requisiti legali / normativi - in questo caso i requisiti di conformità sono imposti dalla legge o dai regolamenti e la scelta dell'ente di certificazione si allarga poiché è il certificato di conformità finale che conta;
- cercare un vantaggio competitivo – anche se il vantaggio competitivo dipende molto dalla percezione del mercato della certificazione ISO27001. Come regola generale, però, un certificato di questo genere tende ad avere un peso che sarà maggiore se sarà rilasciato da un ente accreditato che ha una certa esperienza nel campo;
- ricercare la fiducia del cliente - in questo caso è importante capire di chi si fiderebbe il cliente. Ad esempio, un'azienda dell'Europa orientale che cerca nuovi clienti in Inghilterra potrebbe non fare molto per aumentare la fiducia dei clienti se sceglie di essere certificata da un ente di certificazione locale (dell'azienda) di cui nessuno in Inghilterra ha mai sentito parlare, anche se accreditato
Dovrebbe essere chiaro, dunque, che la scelta di un ente di certificazione accreditato è importante ma che non esiste il miglior ente di certificazione in assoluto perché dipende da quali sono le esigenze del cliente e da come l'ente pensa di poterle soddisfare al meglio.