Le certificazioni ISO 27001, 27017 e 27018 per la sicurezza informatica 

Perché essere certificati ISO è Importante per un’azienda IT? 

La ISO 27001 è una delle certificazioni aziendali più note, e si occupa delle best practices che garantiscono un Sistema di Gestione della Sicurezza delle Informazioni (ISMS – Information Security Management System) conforme agli standard definiti dall’Organizzazione Internazionale per la Standardizzazione, e dall’IEC, la Commissione Elettrotecnica Internazionale. 

Il tema della sicurezza, come documentato dal Rapporto CLUSIT 2021, è un argomento in crescita che ha visto nell’anno del COVID-19 un incremento del 12% di attacchi di cyber security.  

Questa tendenza si riflette anche nell’ultimo sondaggio ISO pubblicato nel 2020, che mostra come la certificazione 27001 abbia registrato un aumento del 24,7% nei certificati mondiali. 

Per una realtà che supporta clienti aziendali nel loro percorso di trasformazione digitale tramite software e servizi Cloud ed Edge, la conformità a tale normativa e alla serie di standard indicati dalle integrazioni 27017 e 27018 costituisce una garanzia sul valore del nostro contributo.  

COS’È LA ISO 27001? 

La ISO/IEC 27001:2013, più comunemente nota come ISO 27001, è lo standard internazionale che descrive le linee guida per un ISMS (anche detto SGSI, in italiano). 

Lo standard imposta un approccio completo alla sicurezza delle informazioni in tutti gli ambiti interessati: dai documenti in formato digitale a quelli in forma cartacea, dalle strumentazioni hardware e software alle competenze del personale. 

Per ottenere questo risultato, I’ azienda deve valutare in modo sistematico e completo tutti i rischi relativi al tema della protezione dei dati, partendo da una riflessione sulla propria realtà organizzativa e analizzando i possibili rischi derivanti da attacchi interni o esterni, da minacce informatiche e non e da eventuali errori sistemici. 

La normativa aiuta, grazie alle best practices suggerite, ad individuare e prevenire eventuali falle nel proprio sistema aziendale, assicurando per le informazioni in possesso gli adeguati livelli di riservatezza, integrità e disponibilità e bilanciando le necessità di protezione e gli investimenti. 

I requisiti presenti nella normativa sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura. 

Un’azienda accreditata ISO 27001 offre al cliente una garanzia indipendente e qualificata sulle pratiche aziendali legate alla sicurezza delle informazioni, minimizzando i rischi a cui sono sottoposte le informazioni di cui l’azienda è in possesso. 

COSA SONO LE INTEGRAZIONI ISO27017 e 27018 CHE RIGUARDANO IL CLOUD? 

La normativa 27001, come ogni ISO, è strutturata in modo schematico attraverso integrazioni che dettagliano alcune tematiche e suggeriscono maggiori linee guida su un argomento specifico. 

Il settore Informatico/Tecnologico che opera in ambiente cloud può contare sul supporto di due principali integrazioni: la ISO/IEC 27017 e la ISO/IEC 27018. 

  • La ISO 27017 definisce controlli avanzati sia per fornitori di servizi cloud, sia per i relativi clienti. A differenza di molti altri standard legati al settore IT, chiarisce mansioni e responsabilità dei diversi attori, con l’obiettivo di garantire che i dati conservati in cloud siano sempre sicuri e protetti. 
  • La ISO 27018 è un codice di condotta per i cloud provider che punta alla protezione delle PII (Personally Identifiable information) nei servizi di public cloud, costituendo linee guida per i fornitori di servizi pubblici che vogliono migliorare la gestione dei dati personali sulla nuvola. L’obiettivo di questo standard è fornire una modalità strutturata basata sul privacy by design, per far fronte alle principali questioni giuridiche, legali e contrattuali legate alla gestione dei dati personali in infrastrutture informatiche distribuite. 

QUALI SONO I PRINCIPI DELLA NORMATIVA ISO? 

L’azienda interessata alla certificazione ISO per il proprio sistema di gestione sicurezza deve adempiere a tre requisiti fondamentali, che vanno perseguiti con costanza da tutti i membri interni: 

  • Riservatezza: tutte le informazioni devono essere accessibili solo alle persone autorizzate; 
  • Integrità: occorre garantire prevenzione su modifiche indebite, accidentali o fraudolente ai dati;  
  • Disponibilità: va sempre assicurato l’accesso ai dati agli utenti, sulla base delle proprie specifiche di profilazione e delle personali tempistiche operative. 

Il coordinamento di questi tre principi è la chiave di successo per allinearsi agli standard di sicurezza ISO/IEC. 

QUALI SONO LE DIFFERENZE TRA GDPR E ISO 27001? 

Il General Data Protection Regulation (GDPR), è un piano di regolazione introdotto per rimanere in contatto con il panorama digitale moderno che conferisce maggiori diritti sui propri dati alle persone e impone alle organizzazioni di sviluppare politiche e procedure definite, adottando controlli tecnici e organizzativi per proteggere i dati personali. 

GDPR e ISO 27001 hanno molti elementi in comune, e soddisfare la ISO 27001 corrisponde a rispettare molti requisiti e principi cardine previsti dal GDPR. 

Entrambi mirano ad irrobustire la sicurezza dei dati e a diminuirne il rischio di violazione, supportando la creazione di un sistema organizzato che assicuri i tre principi che abbiamo già conosciuto: riservatezza, integrità e disponibilità.  

Il GDPR si concentra sulla privacy dei dati e sulla protezione delle informazioni personali in maniera organica e completa. Tuttavia, manca di dettagli tecnici su come mantenere un livello appropriato di sicurezza dei dati e di attenuazione di minacce interne ed esterne. L’integrazione con la ISO 27001 permette di ottenere informazioni pratiche per risolvere questo scompenso. 

Aver ottenuto ISO 27001 non garantisce la conformità al GDPR, ma aiuta a costituirne una parte importante volta a garantire che le misure di sicurezza siano adeguate a proteggere i dati sensibili. 

CHE DATI TUTELARE? 

Il tema dei dati è molto ampio e ricco di sfaccettature.  

In modo particolare, quando si parla di privacy e sicurezza, si fa riferimento a informazioni delicate e dati memorizzati che devono essere protetti da letture non autorizzate e risultare accessibili solo agli utenti e ai processi che ne hanno diritto, in base alle policy definite nel sistema aziendale.  

Il suggerimento che giunge dalle pratiche inerenti alla normativa ISO 27001 punta ad impostare una policy di etichettatura delle informazioni e quindi una suddivisione netta e gerarchica tra documenti, dividendoli in: 

  • Pubblici (open): dati che possono essere distribuiti a chiunque senza causare danni all’organizzazione, ai dipendenti o agli stakeholders. I documenti in questa categoria possono essere comunicati al pubblico o a persone esterne all’organizzazione (es. spot, brochures, rendicontazioni annuali, siti web, annunci di lavoro…); 
  • Ad accesso ristretto: dati che possono essere divulgati ad un gruppo ristretto di soggetti esterni all’azienda; 
  • Confidenziali: dati aziendali di valore, sia personali che sotto brevetto. Non devono assolutamente essere divulgate all’esterno dell’organizzazione senza l’esplicito permesso della Direzione. 

LA SICUREZZA INFORMATICA È UN BISOGNO IN CRESCITA 

Il COVID ha segnato statisticamente un forte incremento degli attacchi alla sicurezza informatica globale, ma l’attenzione alla protezione dei dati è un processo in atto da diversi anni e considerato prioritario da tutti i governi.  

Secondo un rapporto IBM, ogni giorno creiamo circa 2,5 quintilioni di byte di dati e il 90% dei dati ad oggi esistenti è stato creato negli ultimi due anni. L’avanzata delle tecnologie IoT (Internet of Things) aumenterà ulteriormente la quantità di dati nei prossimi anni. 

Il danno causato dalla criminalità informatica dovrebbe raggiungere i 6 trilioni di dollari all’anno entro la fine del 2021. Sono dati significativi considerando che l’impatto di ogni violazione della sicurezza, impatta l’organizzazione per circa due anni secondo uno studio condotto da IBM. 

Le piccole imprese, le grandi società e le organizzazioni senza scopo di lucro sono le principali vittime di attacco informatico. Lo standard ISO è progettato per essere utile per organizzazioni di qualsiasi dimensione e tipo. Rispettare lo standard garantisce a tutta la catena la sicurezza necessaria nella gestione delle informazioni, limitando i rischi e i potenziali danni attraverso un sistema organizzato e ben documentato e aiutando le parti interessate ad avere più fiducia nel fatto che l’organizzazione produrrà risultati coerenti. 

Eight Twenty è il partner tecnologico certificato che rende il processo di trasformazione e innovazione delle aziende facile, sicuro e veloce con l’utilizzo di hardware e software proprietari combinati con la forza e la flessibilità del business process management (BPM), del cloud e della tecnologia EDGE. 

Il contributo di Eight Twenty permette, grazie alla tecnologia, di stabilizzare e ottimizzare i processi, ottenendo così una serie di attività e automazioni per il miglioramento continuo. 

Eight Twenty offre soluzioni già collaudate, che vanno dai dipartimenti acquisti fino a quelli di fatturazione, oppure elabora insieme ai clienti e ai partner una soluzione su misura. 

Articoli Correlati: