Nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente. Secondo il Rapporto Clusit 2022, i cyber attacchi crescono non solo in quantità ma anche in qualità, motivo per cui si registra in forte aumento anche la severità degli attacchi.
Nel 2021 il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% dell’anno precedente ed entrando nel dettaglio, il 32% è stato caratterizzato da una severity “critica” e il 47% “alta”. A fronte di queste percentuali, sono diminuiti invece gli attacchi di impatto “medio” (-13%) e “basso” (-17%).
Per conoscere nel dettaglio le più comuni tipologie di attacchi informatici, il nostro articolo.
Oggi le informazioni sono custodite principalmente su supporti informatici e ai dati poco incoraggianti sul cybercrimine, si aggiungono i rischi legati agli incidenti e alle cattive pratiche nella gestione dei sistemi.
Con il GDPR, il regolamento generale per la protezione dei dati, l’Unione Europea ha notevolmente rafforzato la tutela dei dati personali e della privacy dei cittadini europei, prevedendo una serie di obblighi per i titolari del trattamento dei dati, aumentando la sensibilità delle organizzazioni rispetto ai temi della cybersecurity.
Ma gestione e sicurezza dei dati sono diventati temi sempre più caldi e complessi, ecco perché in questo articolo parliamo dello standard ISO/IEC 27001.
Lo standard ISO/IEC 27001
ISO/IEC 27001:2013 (ISO 27001) è lo standard internazionale promosso dalla ISO (International organization for standardization) e dalla IEC (International electrotechnical commission), per la gestione della sicurezza delle informazioni.
ISO/IEC 27001 è applicabile a qualsiasi organizzazione e definisce i requisiti per pianificare, attuare, operare, monitorare, riesaminare, mantenere e migliorare il sistema di gestione per la sicurezza delle informazioni (SGSI) delle aziende.
Ottenere una certificazione accreditata ISO 27001 permette di dimostrare che l’azienda sta seguendo le best practice internazionalmente riconosciute sulla sicurezza delle informazioni ed è un importante elemento di trasparenza, in quanto attesta che l’organizzazione è sottoposta ad un controllo indipendente e qualificato sulla sicurezza delle informazioni.
Cos’è un ISMS?
Un ISMS – Information Security Management System (anche chiamato SGSI – Sistema di Gestione della Sicurezza delle Informazioni) è un sistema di processi, documenti, tecnologie e persone che aiutano a gestire, monitorare, controllare e migliorare la sicurezza delle informazioni aziendali attraverso una gestione del rischio efficiente.
Si può implementare un ISMS conforme ISO 27001 senza richiederne la sua certificazione; tuttavia, la certificazione accreditata ISO 27001 permette di dimostrare che l’azienda sta seguendo e mettendo in pratica le best practice internazionali di sicurezza.
Ecco le fasi che caratterizzano il progetto di implementazione di un ISMS:
- identificare l’ambito del progetto
- identificare le parti da coinvolgere nel progetto e i requisiti legali, normativi e contrattuali da tenere in considerazione
- effettuare una valutazione del rischio
- rivedere ed implementare i controlli richiesti
- sviluppare le competenze interne, ove non presenti
- sviluppare la documentazione richiesta per il sistema di gestione
- misurare, monitorare, rivedere ed eseguire audit sul sistema di gestione implementato.
Alcune aziende preferiscono affidarsi a consulenti esterni che si occupano di tutti gli aspetti legati all’implementazione dello Standard, altre scelgono un approccio di tipo combinato, in cui le attività di adeguamento coinvolgono sia risorse interne che figure esterne esperte in grado di fornire una guida nell’implementazione del sistema, erogando anche, laddove necessario, corsi di formazione per il personale.
Una volta implementato il sistema di gestione, è possibile richiedere la certificazione accreditata ISO 27001. La richiesta deve essere inoltrata ad un organismo di certificazione accreditato dall’ente di accreditamento nazionale (Accredia, per l’Italia), a sua volta membro dell’International Accreditation Forum (IAF). È possibile cercare gli organismi accreditati o verificarne il riconoscimento da parte di Accredia al seguente link.
Perché ottenere una certificazione ISO 27001?
Dalla perdita di dati agli accessi non autorizzati, dagli attacchi virus al commercio elettronico, la ISO 27001 consente di valutare attentamente tutti i rischi per il business e le diverse tipologie di informazioni gestite, evidenziando le aree in cui è necessario un miglioramento.
La protezione delle informazioni assicura:
- Riservatezza: proteggere le informazioni da accessi non autorizzati
- Integrità: salvaguardare l’accuratezza e la completezza delle informazioni
- Accessibilità: assicurare che i dati e le informazioni siano accessibili quando richiesto.
Quali sono i vantaggi di una certificazione ISO 27001?
Una certificazione ISO 27001 permette innanzitutto di creare e rafforzare il rapporto di fiducia con i propri partner commerciali e con gli stakeholder tutti. A questo primo vantaggio si aggiungono la possibilità di integrare la sicurezza delle informazioni e dei sistemi nella strategia globale di gestione del rischio dell’organizzazione, la certezza di ridurre gli incidenti che comportano responsabilità legali e contrattuali, oltre che sanzioni pecuniarie e perdite economiche dovute alle violazioni dei dati.
Inoltre, un sistema di gestione delle informazioni che rispetti gli standard ISO 27001 assicura la protezione dei segreti commerciali e del know-how aziendale, migliora le relazioni con la Pubblica Amministrazione e permette di conformare l’organizzazione ai requisiti normativi come quelli richiesti dal GDPR.