Ogni tipologia di business ha un qualche tipo di rischio associato che può provenire dall'interno dell'organizzazione o dall'ambiente esterno. Affinché un'azienda abbia un futuro sostenibile, è importante che si protegga dalle possibili minacce che potrebbero apparire e che si assicuri di rimanere competitiva nel tempo
La UNI CEI EN ISO/IEC 27001:2017 "Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell'informazione" fa parte della famiglia di standard ISO 27000 che aiuta le organizzazioni a mantenere al sicuro le loro informazioni in formato elettronico e a gestirle in modo controllato. In particolare, la ISO 27001 fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni, cioè per un approccio sistematico alla gestione delle informazioni che le mantenga al sicuro dal punto di vista della confidenzialità, dell'integrità e della disponibilità.
Lo standard aiuta l'organizzazione che decida di adottarlo a:
- proteggere le informazioni dei clienti e dei collaboratori;
- gestire efficacemente i rischi legati alla sicurezza informatica;
- salvaguardare le informazioni sensibili e i dati confidenziali;
- identificare tutte le questioni legate alla sicurezza delle informazioni e a minimizzare un'eventuale esposizione ai rischi
Per tutti questi motivi quando la norma venne emessa fu adottata soprattutto da organizzazioni appartenenti al settore bancario, informatico, finanziario, della salute, ecc. ma oggi che le aziende di qualsiasi settore sono sempre più dipendenti dall'informatica per la gestione delle loro informazioni, l'applicazione di questo standard è importante in qualsiasi ambito di business anche per evitare i rischi derivanti dal crimine informatico.
In un sistema gestito secondo la norma ISO 27001 entrano persone, processi e sistemi informatici e la sua progettazione e implementazione è influenzata dagli obiettivi dell'azienda che lo avvia (obiettivi di business e di sicurezza), dalla gestione dei rischi, dalla grandezza e dal tipo di struttura dell'organizzazione. Avviare la gestione di un progetto del genere è complesso e coinvolge diverse attività e molte persone ed è quindi bene seguire un approccio basato sul project management per definire chiaramente cosa vada fatto, da chi ed entro quando. Progettare, implementare e mantenere efficiente un sistema del genere richiede un continuo adattamento ai rischi che mutano frequentemente e alla naturale evoluzione del mondo tecnologico.
Lo si può fare facilmente applicando il ciclo di Deming: Plan, Do, Check, Act:
- Pianificazione (Plan) – in questa fase si definisce lo scopo del sistema e i suoi confini, si formula la politica per la gestione della sicurezza delle informazioni, si stabiliscono gli obiettivi, si stanziano le risorse, si ipotizzano le vulnerabilità e le minacce, si stabiliscono i livelli di rischio accettabile, si realizza un piano per affrontare eventuali rischi identificando le azioni appropriate per la loro gestione, si progettano processi e procedure per la gestione dei rischi e per il miglioramento continuo della sicurezza delle informazioni, si stabiliscono responsabilità e priorità;
- Fare (Do) – la seconda fase prevede l'implementazione del sistema che è stato progettato e la sua messa in opera;
- Controllo (Check) – la fase del controllo prevede che, là dove è applicabile, si misurino le performance del processo rispetto alla politica formulata in precedenza e agli obiettivi e che si traggano delle conclusioni da presentare alla Direzione per un riesame del sistema;
- Modificare (Act) – nella quarta e ultima fase del modello di Deming si corregge ciò che non ha funzionato e si cerca di prevenire qualcosa che potrebbe non funzionare in futuro, alla luce dei dati raccolti durante gli audit e dei trend individuati
Considerata la necessità di ogni azienda di proteggersi in modo da poter crescere indisturbata nel tempo, il nostro consiglio è di assicurarsi la più alta protezione possibile delle informazioni adottando la norma ISO 27001.
Gli auditor ACSQ sono esperti del settore e qualificati per svolgere audit nel campo della ISO 27001 e i nostri servizi sono offerti a prezzi assolutamente competitivi. Richiedeteci oggi stesso un preventivo per mettere in sicurezza la vostra azienda con la certificazione iso 27001.