Che la vostra sia una piccola organizzazione con risorse limitate o un'azienda molto più grande, ottenere la certificazione ISO 27001 sarà una sfida perché sarà necessario avere un team di persone che lavori operativamente su questo tema, condurre un'analisi delle lacune presenti nell’azienda nell’affrontare i requisiti normativi, eseguire una valutazione dei rischi, applicare i necessari controlli di sicurezza, creare tutta la documentazione necessaria ed erogare la formazione che serve per creare consapevolezza nel personale. Solamente dopo tutto questo lavoro si potranno affrontare prima gli audit interni e poi quelli dell’ente certificatore.
Come se questo non bastasse, una volta ottenuta la certificazione ISO 27001, sarà necessario mantenere la conformità nel tempo per rinnovare regolarmente il certificato e assicurare di aver tenuto conto dei cambiamenti che, nel frattempo, saranno intercorsi e che avranno avuto ripercussioni sulla sicurezza delle vostre informazioni. Sarebbe un peccato che, dopo tutto questo lavoro e gli sforzi fatti perdeste la certificazione, vero? Vediamo, dunque, come fare in modo che questo non accada. Iniziamo cercando di capire con quale frequenza sia necessario ricertificarsi secondo la ISO 27001.
La certificazione ISO 27001 di un'organizzazione dura tre anni e sul certificato stesso sarà indicata la data in cui la certificazione è stata rilasciata e quando scadrà. Con l'avvicinarsi di quel giorno, l'organizzazione dovrà richiedere la ricertificazione che potrà avvenire con lo stesso organismo che ha eseguito l'audit iniziale o con un altro.
Vediamo ora come mantenere la certificazione ISO 27001 tra un audit di ricertificazione e l’altro e durante i tre anni di validità di un certificato in cui, comunque, per sfruttare tutti i vantaggi del lavoro che avete fatto, sarà importante garantire che i requisiti della ISO 27001 continuino a venire rispettati durante l’operatività quotidiana.
La prima cosa da fare è rivedere periodicamente la lista dei rischi per verificare se ne siano insorti di nuovi. Il vostro sistema di gestione per la sicurezza delle informazioni è stato creato proprio per affrontare i rischi che avete identificato durante il processo di certificazione ma non dovete mai abbassare la guardia e considerare questo lavoro come qualcosa che avete fatto una tantum perché il panorama delle minacce è in continua evoluzione. Per questo sarà necessario monitorare regolarmente i rischi che si affrontano per garantire che le proprie difese siano adeguate.
Per rimanere conformi, è necessario completare una valutazione del rischio secondo la ISO 27001 almeno una volta all'anno e ogni volta che si apporteranno modifiche sostanziali alla propria organizzazione.
È anche possibile utilizzare i risultati della valutazione per determinare se i controlli funzionino come previsto o se sia necessario adottare ulteriori difese.
Un’altra cosa fondamentale da fare per mantenere la certificazione è assicurarsi che la documentazione di supporto del sistema sia sempre aggiornata. Le politiche, i processi e le procedure che avete progettato e implementato per certificarvi sono stati creati appositamente per il contesto e per il modo in cui la vostra organizzazione operava in quel momento. Se, però, avvengono dei cambiamenti nell’ambiente di lavoro o nel modo di lavorare, occorre assicurarsi che la documentazione ne tenga conto.
Prestate, dunque, attenzione ai cambiamenti significativi che avete apportato nel modo in cui eseguite determinate azioni, alle nuove attività che avete intrapreso e che coinvolgono dati sensibili, ai cambiamenti intercorsi nella sede fisica, ecc.
Periodicamente vanno anche eseguiti gli audit interni che potranno fornire una revisione completa dell'efficacia del vostro sistema di gestione e che vi aiuteranno a valutare lo stato della vostra conformità alla ISO 27001.
Ovviamente è fondamentale anche tenere informati i dirigenti di ciò che avrete rilevato perché, in presenza di punti deboli del sistema, occorrerà affrontarli e vi servirà tutto il loro supporto perché risolvere tali vulnerabilità richiederà tempo e risorse che dovranno essere autorizzati.
Un’altra cosa fondamentale da fare per assicurare che i requisiti normativi vengano rispettati nel tempo è stabilire un regolare processo di riesame della direzione per informare la dirigenza dei successi del sistema di gestione della sicurezza delle informazioni ma anche per coinvolgerla nel processo di mantenimento della certificazione.
Non ci sono requisiti da rispettare relativamente alla frequenza con cui dovrà avvenire il riesame della direzione ma sarebbe bene svolgerlo almeno una volta all'anno e, idealmente, ogni sei mesi.
Ricordate che il vostro sistema di gestione non è scolpito nella pietra e può essere migliorato attraverso le azioni correttive che risolveranno eventuali problemi e le azioni tese semplicemente a migliorare i processi.
Monitorando regolarmente l'efficacia del vostro sistema, dovreste essere in grado di apportare le necessarie azioni correttive che saranno tese ad impedire che eventuali punti deboli si trasformino in problemi gravi. Ricordate che le azioni correttive che prevedono una modifica sostanziale del sistema andranno discusse con la direzione e dovranno essere oggetto di monitoraggi continui, almeno all’inizio, e dei necessari aggiustamenti.
In ultimo, dovrete promuovere una costante sensibilizzazione del personale addetto alla sicurezza delle informazioni perché uno dei principi chiave della ISO 27001 è che la sicurezza effettiva delle informazioni sia responsabilità di tutti. La conformità ai requisiti, infatti, non deve essere lasciata al reparto IT o ai singoli responsabili. Chiunque all'interno dell'organizzazione gestisca dati svolge un ruolo nella sicurezza dell'organizzazione e dovrà comprendere gli obblighi per la protezione delle informazioni sensibili e la posta in gioco.
Questa sensibilizzazione andrebbe fatta regolarmente per mantenere le persone aggiornate in merito a eventuali cambiamenti e per ricordare loro perché sia importante procedere in un certo modo.