certificazione-iso-27001

Molti clienti che ci contattano per un progetto di certificazione ISO 27001 ci presentano due principali dubbi:

  1. Quanto mi costa?
  2. Come faccio a certificarmi?

Per il punto 1 “Quanto mi costa la ISO 27001” lasciamo la risposta ad un articolo già pubblicato che vi invitiamo a leggere.

Per il punto 2 cerchiamo di analizzare insieme alcuni punti.

Come certificarsi ISO 27001?

Iniziamo col dire che la certificazione ISO 27001 è un’attività volontaria e che l’azienda deve essere convinta di voler intraprendere il percorso. Se non c’è la piena volontà di procedere, si rischia che rimanga un’attività residuale per quando “non si ha altro da fare” e si rischia di trascinarsi il processo per tanto tempo.

Capita spesso che “l’obbligo” di certificarsi arrivi da contesti esterni (es: clienti che pretendono fornitori certificati) e questa, per nostra esperienza, è sempre una buona spinta che porta alla certificazione in breve tempo. Questo accade perché le grandi aziende certificate ISO 27001 richiedono a tutta la catena di fornitori di fare altrettanto per mantenere attivi i contratti in essere o per poterne sottoscrivere di nuovi. Richiesta che ha assolutamente senso, considerando che un’organizzazione non certificata può presentare aspetti di rischio non gestiti e può quindi mettere a rischio l’intera supply-chain.

Qualunque sia la motivazione che spinge un’azienda ad andare verso il percorso di certificazione, una volta definito che si è certi di voler procedere, si hanno due strade; procedere in autonomia o affidarsi a dei consulenti ISO 27001. Il nostro consiglio è ovviamente quello di farsi affiancare da dei professionisti: non tanto perché è il nostro mestiere, ma perché il consulente ha già esperienza sul sistema, sa come strutturarlo, probabilmente ha già delle bozze documentali pronti, è preparato sulle modalità di svolgimento dell’audit da parte dell’ente di certificazione e, col tempo, ha appreso metodologie e sistemi per ottenere un ottimo lavoro ottimizzando i tempi e i costi. Tutto questo consentirà di arrivare prima alla meta, evitando di perdersi per strada.

La documentazione ISO 27001

Una volta selezionato il consulente, sarà necessario redigere tutta la documentazione necessaria da presentare all’ente che si occuperà di emettere la certificazione ISO 27001. In primis andrà redatta una valutazione dei rischi che comprenda tutte le attività di trattamento dei dati e, qualora si evidenzino delle aree che presentano delle particolari criticità, bisognerà intervenire per gestire e abbassare il rischio stesso.

Facciamo un esempio: nella valutazione dell’analisi dei rischi viene identificata una debolezza legata alle attività di back up automatico poiché qualora il processo fallisca o si interrompa, l’amministratore di sistema non riceve alcun avviso. Bisognerà dunque intervenire aggiungendo un sistema di alert che permetta di contenere il rischio.

Un ulteriore documento di fondamentale importanza è la SOA, una sorta di check list che nella versione ISO 27001:2022 presenta 93 controlli che permettono di mappare, in maniera puntuale e precisa, le attività di gestione delle informazioni. Grazie a questo assessment, sarà possibile verificare che l’azienda risponda ai requisiti della certificazione ISO 27001 e possa quindi procedere nel percorso di richiesta dell’attestato.

In aggiunta esistono tutta una serie di ulteriori documenti che è bene redigere per presentare all’ente un sistema strutturato: parliamo per esempio di procedure e di modelli che possono essere di supporto nel monitoraggio delle attività. Oppure di allegati al sistema come i contratti con i fornitori che comprendono informazioni fondamentali come le SLA di intervento o la gestione della catena di sub-fornitori.

È inoltre possibile che un’azienda, su consiglio o in accordo con il proprio consulente ISO, decida di predisporre documentazione aggiuntiva che non è prevista dalla norma, ma che si rende necessari o utile alla singola realtà.

L’ente di certificazione

Una volta certi che il proprio sistema ISO 27001 sia stato correttamente impostato e sia pronto per prendere vita, si può procedere con l’attività di certificazione vera e propria che richiede l’intervento di un ente qualificato. L’ente di certificazione per definizione è “una organizzazione (legalmente costituita) che certifica la conformità dei sistemi di gestione o dei prodotti o del personale a specifiche norme di riferimento (Wikipedia)” e si occupa di verificare che tutti i requisiti previsti da una normativa specifica siano rispettati. L’esito di un audit di certificazione può essere:

  • positivo, ovvero decretare che l’azienda può ricevere il relativo attestato
  • negativo, ovvero evidenziare delle lacune che non permettono il procedere della certificazione e che richiedono degli interventi di miglioramento prima di poter procedere con un nuovo audit di verifica.

Perché certificarsi ISO 27001?

Un’altra domanda che spesso ci viene posta è: perché dovrei certificare la mia azienda ISO 27001?

Se escludiamo la motivazione già citata del “mi obbligano i miei clienti“, possiamo elencare altri innumerevoli vantaggi che la certificazione può apportare, ancor prima che il certificato arrivi.

Il processo di certificazione “costringe”, infatti, tutta l’organizzazione a fare una serie di analisi e di valutazioni e spesso questo porta a scoprire incongruenze, non conformità o problematiche che altrimenti passerebbero inosservate.

Riportiamo un esempio banale, ma di grande significato legato alla certificazione di una struttura sanitaria nel Lazio. Il processo di certificazione prevede, tra le varie attività, un’analisi delle prestazioni dei fornitori, la già citata supply-chain. Tra i fornitori della realtà in oggetto era presente un’azienda che curava il verde del parco che circonda gli edifici del complesso. Sfogliando il contratto in essere, la Direzione della struttura ha notato un importo contrattualizzato molto elevato e ha deciso di chiedere preventivi alternativi. Risultato: la struttura ha disdetto il contratto in essere e dopo 4 mesi ha selezionato un nuovo fornitore risparmiando 80.000€/anno. Questo aspetto, pur avendo poco a che fare con la certificazione ISO 27001 per la sicurezza dei dati, ha portato un notevole vantaggio all’organizzazione.

Il vantaggio prioritario

Il vantaggio principale resta comunque la SICUREZZA DAI DATI, ovvero implementare tutta una serie di procedure, controlli e verifiche che permettono all’azienda di:

  • elevare il proprio livello di sicurezza informatica
  • ridurre notevolmente le possibilità di attacco grazie al contenimento delle aree di rischio
  • aumentare la resistenza agli eventuali attacchi
  • migliorare la capacità di reazione e ripristino in caso di attacco

In aggiunta esistono ulteriori aspetti correlati di grande importanza, spesso legati all’immagine aziendale:

  • un’azienda certificata risulta certamente più solida rispetto ad un competitor che non lo è
  • a livello di marketing, la certificazione può dare forza al brand
  • in alcuni casi, la certificazione è un requisito fondamentale per partecipare ad alcuni bandi
  • il mantenimento della certificazione è spesso richiesto dalle grandi aziende come requisito per poter essere loro fornitori

Un ulteriore aspetto da non sottovalutare è quello dell’occhio esterno, ovvero di professionisti non legati all’organizzazione che periodicamente svolgono audit di sorveglianza che possono mettere in luce debolezze che sfuggono agli interni o possono evidenziare opportunità non sfruttate.

In merito suggeriamo un articolo che approfondisce il tema:

A cosa serve la Certificazione ISO 27001?

Conclusione

Per concludere, il suggerimento che ci sentiamo di dare alle aziende è quello di valutare con attenzione la possibilità di certificarsi, anche ponendo direttamente al consulente le domande a cui abbiamo cercato di dare una risposta in questo articolo. Una volta certi di voler affrontare il processo di certificazione ISO 27001, affidarsi a consulenti competenti e con esperienza è senza dubbio un plus che può velocizzare il raggiungimento della meta.

La certificazione può essere un’opportunità da non perdere, ma non deve essere lasciata nel cassetto come qualcosa che “si farà”: solo così potrà portare innumerevoli vantaggi.

 

- Chiara Van Zeyl -

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!