L’IMPORTANZA DELLA CERTIFICAZIONE ISO 27001 ANCHE IN OTTICA PRIVACY

Con la crescente digitalizzazione delle operazioni aziendali e la sempre più diffusa dipendenza dalla tecnologia, la sicurezza delle informazioni è diventata una priorità cruciale per qualsiasi organizzazione.

In questo contesto, la norma ISO/IEC 27001 svolge un ruolo fondamentale nel garantire che le organizzazioni abbiano in atto efficaci sistemi di gestione della sicurezza delle informazioni (SGSI).
Di seguito, esploreremo la centralità della ISO 27001, i vantaggi derivanti dalla sua certificazione, e le connessioni fondamentali con la tutela della privacy e il GDPR.

iso 27001

Cos’è la ISO27001 è perché è importante?

La ISO/IEC 27001 è una norma internazionale che raccoglie best practices e fornisce un quadro per lo sviluppo, l’implementazione, il monitoraggio e il miglioramento continuo di un sistema di gestione della sicurezza delle informazioni.

Questo standard è progettato per affrontare le minacce sempre crescenti alla sicurezza delle informazioni, garantendo che le organizzazioni identifichino e gestiscano i rischi in modo efficace. Dal momento che l’informazione è un bene che aggiunge valore all’organizzazione, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati.

L’obiettivo dello standard è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurare l’integrità, la riservatezza e la disponibilità.
La norma è applicabile a imprese operanti nei più diversi settori commerciali e industriali quali, tra gli altri, le assicurazioni, telecomunicazioni, servizi, trasporti e settori governativi. Naturalmente di fondamentale rilievo è, poi, il settore dell’informatica in genere, della costruzione e della implementazione dei software che richiede standard qualitativi e garanzie sempre maggiori.

Tra le ragioni principali per cui la ISO 27001 è cruciale troviamo:

  1. Protezione delle informazioni di natura sensibile: la norma ISO aiuta a identificare, valutare e gestire i rischi relativi alle informazioni di natura sensibile, garantendo che siano protette da accessi non autorizzati, alterazioni e divulgazioni indebite.
  2. Conformità a requisiti legali: adottare la ISO 27001 aiuta le organizzazioni a soddisfare requisiti normativi e legali relativi alla sicurezza delle informazioni (come il GDPR) contribuendo a evitare sanzioni e responsabilità legali.
  3. Affidabilità e credibilità: la certificazione ISO 27001 dimostra ai clienti e ai partner commerciali che l’organizzazione ha implementato robusti controlli di sicurezza delle informazioni, migliorando la fiducia complessiva dell’azienda;
  4. Aumento della clientela: molti clienti oggi chiedono la certificazione come requisito per stringere un accordo commerciale in quanto il possesso della certificazione è sinonimo di garanzie irrinunciabili.
  5. Aumento del vantaggio competitivo: possedere la certificazione rappresenta per l’Azienda sicuramente un forte vantaggio competitivo rispetto alle realtà che non la possono vantare.
  6. Vantaggi se si lavora con le Pubbliche Amministrazioni: sempre più le Pubbliche Amministrazioni richiedono o stanno iniziando a richiedere la certificazione quando selezionano i fornitori.

Gli aspetti chiave della norma ISO 27001

La ISO/IEC 27001 si basa su diversi principi chiave, tra cui:

  1. Analisi dei rischi: l’identificazione e l’analisi dei rischi sono centrali alla norma, guidando la selezione e l’implementazione di controlli adeguati.
  2. Riduzione dei rischi: implementando un SGSI in conformità con la ISO 27001, le organizzazioni possono identificare e gestire proattivamente i rischi per la sicurezza delle informazioni, riducendo le possibilità di incidenti di sicurezza.
  3. Accesso ai mercati internazionali: la certificazione ISO 27001 è spesso un requisito per fare affari su scala internazionale, aprendo nuove opportunità commerciali e dimostrando impegno verso la sicurezza delle informazioni.
  4. Impegno della direzione e del management: la leadership aziendale è coinvolta attivamente nel SGSI, dimostrando l’importanza strategica della sicurezza delle informazioni e promuovendo in tutta l’azienda una cultura della sicurezza.
  5. Miglioramento continuo: La norma enfatizza il bisogno di valutare e migliorare continuamente il SGSI, adattandolo alle mutevoli minacce e alle esigenze aziendali.

Di fondamentale importanza è l’annex A “Control objectives and controls” della nuova versione ISO 27001, aggiornata nel 2022, che contiene i 93 “controlli”;, divisi in 4 nuove categorie, a cui l’organizzazione che intende applicare la norma deve attenersi:

  • A.5 – Organizational Controls;
  • A.6 – Physical Controls;
  • A.7 -People;
  • A.8 -Technological Controls;

Ognuno dei 93 controlli è associato a 5 attributi:

  1. control type;
  2. information security properties;
  3. cybersecurity concepts;
  4. operational capabilities;
  5. security domain.

ed è etichettato in base al tipo (preventive, detective, corrective), alle proprietà (confidentiality, integrity, availability) e alle linee guida per lo sviluppo di un framework per la cybersecurity su cui si fonda il NIST (Identify, Protect, Detect, Respond, Recover). Non ci si aspetta che le organizzazioni adottino tutti i controlli previsti dallo Standard per ricevere la certificazione. Devono documentare quali sono i controlli rilevanti in base ai rischi per la sicurezza delle informazioni che hanno identificato. Una volta fatto ciò, dovranno implementare i controlli appropriati all’interno del loro SGSI.

Caratteristiche principali della nuova ISO

Nella nuova versione della ISO 27001, 35 controlli sono rimasti invariati, 23 sono stati rinominati e 57 sono stati accorpati per formarne 24. Ad esempio, il controllo 18.2.3 (Technical Compliance Review) della vecchia norma è stato diviso in due ulteriori controlli: 5.36 (Compliance with policies, rules and standards for information security) e 8.8 (management of technical vulnerabilities).

Interessanti sono invece  gli unici nuovi controlli che rendono più attuale la norma in quanto contemplano argomenti come:

  1. Threat Intelligence;
  2. Physical security monitoring;
  3. Data masking;
  4. Information security for cloud services;
  5. Monitoring activities;
  6. ICT readiness for business continuity;
  7. Data leakage prevention;
  8. Configuration management;
  9. Web filtering;
  10. Information deletion;
  11. Secure coding.

Di questi controlli, ben sette sono riferiti al dominio tecnologico e si concentrano sulla cancellazione delle informazioni, offuscamento e prevenzione della perdita dei dati con un chiaro richiamo al GDPR, sulla configurazione “sicura” di hardware, software, servizi e reti nonché sullo sviluppo sicuro del codice per ridurre il numero di potenziali vulnerabilità.

Le connessioni con la tutela della Privacy e il GDPR

La ISO 27001 è strettamente correlata a normative cruciali come il General Data Protection Regulation (GDPR). Alcuni punti chiave di connessione includono:

  1. Il principio di accountability: La ISO 27001 fornisce un approccio strutturato per garantire la conformità al GDPR, facilitando l’implementazione di controlli di sicurezza delle informazioni necessari per la protezione dei dati personali. Il GDPR infatti guarda molto favorevolmente l’adesione a meccanismi di certificazione e codici di condotta: gli articoli 40 e 42 del GDPR infatti stabiliscono che l’adesione a codici di condotta e a certificazioni riconosciute aiutano a dimostrare il rispetto del Regolamento.
  2. Gestione dei rischi per la sicurezza delle informazioni: la norma, nell’aiutare le organizzazioni a identificare e gestire i rischi di sicurezza delle informazioni, contribuiscono indirettamente alla protezione dei dati personali e al rispetto della privacy. In particolare, il controllo Information Deletion (8.10) consente di prevenire l’esposizione non necessaria d’informazioni sensibili e di rispettare i requisiti legali, statutari, normativi attraverso la configurazione dei sistemi, la cancellazione di versioni obsolete di file e, non da ultimo, l’utilizzo di meccanismi di smaltimento appropriati per il tipo di supporto di archiviazione da smaltire. Invece il Data masking (controllo 8.11) limita l’esposizione di dati sensibili, comprese le informazioni che permettono di intensificare in maniera univoca un utente in conformità con la politica specifica dell’organizzazione sul controllo dell’accesso, prendendo in considerazione la legislazione applicabile e considerando il livello di robustezza dell’offuscamento, il controllo di accesso e il tracciamento della fornitura e della ricezione dei dati trattati. Infine, l’applicazione del controllo data leakage prevention (8.12) consente di intercettare, prevenire e ridurre la diffusione non autorizzata d’informazioni, attraverso l’adozione di misure a dispositivi, sistemi e reti che detengano o trasmettono informazioni sensibili.
  3. Priorità Aziendali: adottando la ISO 27001, le organizzazioni dimostrano un impegno concreto verso la sicurezza delle informazioni e la privacy, allineandosi agli obiettivi aziendali e alle aspettative degli stakeholder sul tema della protezione dei dati.

Conclusione

In conclusione, la certificazione ISO 27001 è un investimento strategico per le organizzazioni che cercano di garantire la sicurezza delle informazioni, conformità normativa e fiducia degli stakeholder. Attraverso il suo approccio sistematico e orientato al miglioramento continuo, la ISO 27001 offre un quadro solido per affrontare le sfide in continua evoluzione del panorama della sicurezza delle informazioni.

Fonti: https://www.bsigroup.com/it-IT/ISOIEC-27001-Sicurezza-delle-informazioni/
https://www.cybersecurity360.it/legal/nuova-iso-270012022-cosa-cambia-i- punti-di-accordo-col-gdpr-e-come-adeguarsi/

 

Ha bisogno di una consulenza aziendale per la certificazione ISO 27001? Può compilare il form in basso.

    * Dichiaro di aver preso visione dell'informativa per il trattamento dei dati personali di EBL - CONSULENZA AZIENDALE E FORMAZIONE STRATEGICA di PH.D. DOTT. ELISABETTA GALLI

    * Campi obbligatori