A cosa serve la Certificazione ISO 27001?

Quante volte è capitato di sentir parlare di “Certificazione ISO 27001” e di “sistema di gestione della sicurezza delle informazioni”? Non sempre, però, si conosce l’argomento e si è in grado di discuterne con consapevolezza. Attraverso questo articolo, proviamo a rendere più immediato l’approccio al mondo ISO 27001.

Un salto nella storia…

Il mondo delle certificazioni dei sistemi di gestione, meglio conosciute come certificazioni ISO è in continua evoluzione: sono molteplici, oggi, e si contraddistinguono per il proprio campo di applicazione (qualità, sicurezza, ambiente etc..).

Per ISO si intende l’Organizzazione Internazionale per la Standardizzazione (“International Organization for Standardization”): un’organizzazione indipendente e non governativa composta da 164 organismi di standard nazionali. La ISO esordisce nel 1926 come Federazione Internazionale delle Associazioni Nazionali di Standardizzazione (ISA) con l’obiettivo di creare norme nel campo dell’ingegneria meccanica, per poi iniziare ad operare come ISO solo nel 1947. Per i primi 40 anni della sua esistenza l’Organizzazione si è concentrata sullo sviluppo di norme tecniche per i prodotti e le nuove tecnologie. Solo negli anni 80 la ISO ha iniziato a sviluppare standard di processi, il primo dei quali è lo standard ISO 9000 per la progettazione dei sistemi di gestione della qualità.

…fino ad oggi.

La norma ISO 9001 è oggi, il sistema di gestione con il maggior numero di certificazioni nel mondo, con quasi 917mila certificazioni. Lo rileva il sito della ISO che ogni anno rende disponibili i dati delle certificazioni nel mondo. Seguono la norma ISO 14001, sui sistemi di gestione ambientale che conta 348mila certificazioni e la norma ISO 45001, sui sistemi di gestione per la salute e la sicurezza sul lavoro con 190mila certificazioni.

In molti casi è possibile trovarsi di fronte a sistemi integrati (Leggi il nostro articolo sul sistema integrato ISO 9001-ISO 27001)

La certificazione ISO 27001 è sicuramente meno conosciuta, ma è certamente la più attuale per il mondo altamente tecnologico e particolarmente attento alla riservatezza delle informazioni. La norma, infatti, tratta i requisiti del sistema di gestione della sicurezza delle informazioni, identificato con la sigla inglese ISMS “Information Security Management System” ed in italiano SGSI “Sistema di Gestione della Sicurezza delle Informazioni”. Un sistema di gestione della sicurezza delle informazioni è un insieme di politiche, procedure, processi e sistemi che gestisce i flussi delle informazioni ed i rischi ad esse correlati, come gli attacchi informatici, le violazioni, la perdita ed il furto dei dati. L’obiettivo è, dunque, quello di creare uno scudo di protezione del sistema informativo al fine di preservare la riservatezza, l’integrità e la disponibilità dei dati.

La ISO 27001 in Italia

Sembrerebbe, quindi, una prerogativa di un’azienda implementare un Sistema di gestione della sicurezza informativa, considerata la mole di informazioni e di dati da questa gestita.  La situazione del mercato italiano relativa alle certificazioni ISO 27001, infatti, è in forte evoluzione: in Italia il numero di aziende certificate ISO 27001 al mese di luglio 2019 risaliva, secondo le fonti ISO e Accredia, a 1250 aziende (circa 200 in più rispetto al 2018), a fronte di un numero di aziende certificate a livello mondiale, rilevato da ISO nel 2018, pari a circa 31.910 aziende.

L’incremento di certificazioni ISO 27001 è particolarmente legato ad una serie di fattori, fra i quali lo sviluppo dei servizi in Cloud, l’ottemperanza al “GDPR” ed alla Direttiva “NIS” dedicata alla sicurezza dei servizi essenziali, fino ai requisiti richiesti ai fornitori della Pubblica Amministrazione. Si segnala, inoltre, la crescita di sensibilità delle aziende verso la sicurezza delle informazioni trattate dai propri fornitori e la crescente richiesta di certificazioni ISO 27001, come qualifica, per partecipare a bandi o gare di fornitura. Un ulteriore trend di crescita, in relazione all’attuale scenario di mercato, è atteso per la possibile certificazione secondo lo Standard Internazionale ISO 27701 “Sistema di gestione dei dati personali”, che richiede come prerequisito l’adozione di un sistema di gestione per la sicurezza delle informazioni certificato.

Perché un’azienda dovrebbe certificarsi ISO 27001?

Si parta dal presupposto che non tutte le organizzazioni che hanno implementato un SGSI scelgono di ottenere la certificazione. Utilizzano, piuttosto, lo standard come framework di riferimento per poter usufruire dei benefici e dei vantaggi derivanti dalla sua implementazione.

Tra i benefici di un Sistema di Gestione della Sicurezza Informativa si evidenzia:

• La protezione delle informazioni in qualunque forma: un SGSI aiuta a proteggere ogni tipologia di informazioni ed i dati personali, sia in formato digitale che in formato cartaceo contenuti in dispositivi o in cloud.
• La resistenza degli attacchi informatici: implementare e monitorare un SGSI aumenta, in modo significativo, la capacità dell’organizzazione di resistere agli attacchi informatici.
• La capacità di difendersi dalle minacce alla sicurezza: un SGSI continuamente monitorato ha la capacità di adattarsi ai cambiamenti ambientali ed interni dell’organizzazione e per questo, riduce le minacce dei rischi tecnologici e di quelli più comuni ma più gravosi, come l’errore umano causato dal personale poco informato o come le procedure poco efficaci.
• La riduzione dei costi: grazie alla valutazione del rischio e all’approccio analitico del sistema di gestione, un’azienda può ridurre i costi associati ai livelli aggiunti di sicurezza che, diversamente, potrebbero non funzionare.
• Il vantaggio della concorrenza sul mercato: implementare un SGSI dimostra affidabilità, migliora i rapporti con i clienti, potenzia la rete commerciale.

Nonostante ciò, intraprendere questo iter può spaventare, soprattutto se lo si concepisce come un processo lungo ed impegnativo finalizzato solo all’ottenimento del bollino. La certificazione viene infatti concessa a seguito di audit effettuati da Enti di Certificazione che hanno l’obiettivo di verificare che il sistema di Gestione della Sicurezza delle Informazioni implementato sia conforme a quanto previsto dalla norma ISO 27001.  Se si affronta il percorso il maniera costruttiva, intendendo la certificazione come strumento concreto per riorganizzare e ottimizzare i processi aziendali, può diventare l’occasione di portare un reale valore aggiunto all’azienda.

Come ogni nuova sfida, occorre impegno, consapevolezza e costanza. Renderla più agevole è semplice se ci si affida a consulenti ISO 27001 che sappiano coniugare le esigenze dell’azienda con le esigenze della norma. Un team di esperti della norma e Lead Auditor 27001 sono da supporto e forniscono un prezioso aiuto per l’implementazione del Sistema di Gestione della Sicurezza delle Informazioni.

Come ottenere la certificazione ISO 27001