La norma ISO 27001:2017 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell'informazione – Requisiti” è il principale standard internazionale incentrato sulla sicurezza delle informazioni, pubblicato dall'Organizzazione internazionale per la standardizzazione (ISO), in collaborazione con la Commissione elettrotecnica internazionale (IEC).
La ISO 27001 fa parte di una serie di standard sviluppati per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000 ed il suo scopo è quello di fornire una struttura per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un Un Sistema di gestione della sicurezza delle informazioni .
La norma offre anche alle aziende il know-how necessario per proteggere le loro informazioni più preziose. L'obiettivo fondamentale della ISO 27001 è proteggere tre aspetti delle informazioni:
- la riservatezza: è necessario che solo le persone autorizzate abbiano il diritto di accedere alle informazioni;
- l'integrità: serve che solo le persone autorizzate possano modificare le informazioni;
- la disponibilità: occorre che le informazioni siano accessibili alle persone autorizzate ogni volta che è necessario
Un sistema di gestione della sicurezza delle informazioni è un insieme di regole che un'azienda deve stabilire per:
- identificare gli stakeholder e le loro aspettative nei confronti dell'azienda in termini di sicurezza delle informazioni:
- identificare quali rischi esistono per le informazioni;
- definire controlli e altri metodi di mitigazione per soddisfare le aspettative identificate e gestire i rischi;
- fissare obiettivi chiari su ciò che deve essere raggiunto tramite la sicurezza delle informazioni;
- attuare tutti i controlli e gli altri metodi di trattamento dei rischi;
- misurare continuamente se i controlli implementati funzionano come previsto;
- Migliorare su base continua il sistema per farlo funzionare meglio
Questo insieme di regole può essere scritto sotto forma di processi, politiche, procedure e altri tipi di documenti perché la ISO 27001 definisce semplicemente quali documenti sono richiesti, ovvero quali devono esistere come minimo, ma non ne specifica il supporto.
All'azienda, tra l'altro, viene lasciata la massima libertà su quali altri documenti formalizzare oltre a quelli ritenuti indispensabili ed elencati all'interno dei requisiti normativi.
Ci sono quattro vantaggi aziendali essenziali che un'azienda può ottenere con l'implementazione di questo standard di sicurezza delle informazioni:
- essere certa di rispettare i requisiti legali - esiste un numero sempre crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni e la buona notizia è che la maggior parte di essi può essere risolta implementando la ISO 27001;
- ottenere un vantaggio competitivo: se la vostra azienda ottiene la certificazione e i vostri concorrenti no, potreste avere un vantaggio su di loro agli occhi di quei clienti che sono sensibili alla protezione delle informazioni;
- poter contare su costi inferiori: la filosofia principale della ISO 27001 è quella di prevenire il verificarsi di incidenti di sicurezza e ogni incidente, grande o piccolo che sia, costa denaro. Pertanto, prevenendoli, la vostra azienda risparmierà molti soldi;
- ottenere una migliore organizzazione – in genere, le aziende in rapida crescita non hanno il tempo di fermarsi a definire i propri processi e le procedure – di conseguenza, molto spesso i dipendenti non sanno cosa deve essere fatto, quando e da chi.
L'implementazione della ISO 27001 aiuta a risolvere tali situazioni, perché incoraggia le aziende a scrivere i loro processi principali (anche quelli non legati alla sicurezza), consentendo loro di ridurre il tempo perso dai propri dipendenti