Certificazione ISO 27001: per chi è adatta?

Attacchi informatici: un alto rischio per clienti e fornitori

Vi siete mai chiesti cosa accadrebbe nel caso in cui un fornitore di hamburger, a cui supermercati e grandi catene di fast-food si affidano, fosse vittima di un attacco informatico? È ciò che è successo all’azienda brasiliana Jbs, uno dei più grandi fornitori di carne a livello mondiale. Nello specifico, un gruppo di cybercriminali ha compromesso alcuni server delle filiali statunitense, canadese e australiana attraverso un attacco ransomware, causando notevoli rallentamenti nell’approvvigionamento di carne.

Questo spiacevole episodio fa parte di una lunga serie, nella quale i protagonisti colpiti, pur non vestendo i panni di uno dei colossi mondiali nella fornitura di carne, hanno subito una sorte simile. Infatti, qualsiasi tipologia di azienda può essere vittima di attacchi, che possono portare conseguenze negative sull’attività produttiva della stessa e, nel caso in cui essa rivesta il ruolo di fornitore, anche l’attività svolta da suoi eventuali clienti.

Concentrando l’attenzione su quest’ultimo caso. Pensiamo a tutte quelle aziende che affidano le proprie reti informatiche a fornitori esterni: un possibile attacco alla realtà IT potrebbe portare, a cascata, gravissime conseguenze su tutti i clienti

Per chiarire meglio, pensiamo ad un’azienda attiva nella costruzione e nella vendita di automobili che, per la realizzazione del motore di un esclusivo modello d’auto, si affida ad un fornitore, al quale fornisce i progetti del prodotto finale coperti da brevetto. Se informazioni relative a questi progetti venissero divulgate, l’esclusività sul prodotto andrebbe persa e il danno di immagine per l’azienda fornitrice sarebbe enorme (oltre al danno economico di una richiesta danni)

Una soluzione efficace: la certificazione ISO 27001

Arrivati a questo punto, una domanda sorge spontanea: come evitare tutto ciò?

Indubbiamente, se da un lato non è concepibile azzerare il rischio che un sistema informatico sia soggetto ad eventuali violazioni o attacchi, dall’altro lato è possibile ridurre tale rischio.

In che modo? Attraverso la certificazione ISO 27001.

Nello specifico, si tratta di uno standard internazionale volontario che individua i requisiti per l’adozione di un sistema di gestione della sicurezza delle informazioni (SGSI) al fine di garantire la protezione dei dati e delle informazioni detenuti dall’azienda e una corretta gestione dei dati personali/particolari della stessa.

Si tratta di una norma applicabile a tutte le tipologie di organizzazione e a tutti i settori

Oggi sono molteplici gli ambiti in cui operano le aziende che, gradualmente, stanno prendendo come riferimento tale standard per costruire un sistema di gestione di sicurezza delle informazioni che possa essere certificato da un ente indipendente (ente di certificazione).

Per fornire alcuni esempi, i settori più indirizzati verso questo tipo di certificazione sono quelli dell’automotive, dei servizi in cloud e dello sviluppo di software, soprattutto in ambito sanitario.

In generale, si tratta di settori con una componente informatica molto forte, che operano come fornitori e che nell’ambito della supply chain hanno necessità di poter dimostrare e garantire un alto livello di sicurezza in merito alla protezione dei dati.

Le ragioni che portano alla certificazione ISO 27001

Alla luce di quanto detto sopra, risulta evidente di come uno dei motivi che spingono un’azienda che opera nei settori sopracitati a certificarsi, sia quello di garantire la sicurezza dei dati e delle informazioni da essa conosciuti e custoditi attraverso l’implementazione di procedure, controlli e verifiche che mirino a migliorare il livello di sicurezza informatica dell’azienda. Questo proprio per evitare che le informazioni con cui si entra in contatto possano fuoriuscire e finire in mani indesiderate.

L’interesse a certificarsi spesso nasce dal cliente che nell’ottica di una selezione e di una supervisione costante dei suoi fornitori, punta a scegliere solamente aziende certificate.

Infatti, il possesso e il mantenimento della certificazione ISO 27001 sono sempre più spesso richiesti dalle grandi aziende come condizione necessaria affinché si possa essere inseriti tra i fornitori qualificati. Per un approfondimento sull’importanza di essere un fornitore qualificato vi invitiamo a leggere un articolo pubblicato in precedenza sul nostro blog.

ISO 27001 e Supply Chain

I vantaggi della ISO 27001

Se da un lato l’invito e la richiesta a certificarsi appare, a prima vista, come un vantaggio principalmente per il cliente, dall’altro lato vi sono anche notevoli vantaggi che il fornitore può trarne. Ne citiamo due tra i principali:

• L’azienda certificata risulta più affidabile e, dunque, più “appetibile” sul mercato rispetto ad un’azienda non certificata che opera nel medesimo settore;
• La certificazione permette di rilevare debolezze ed opportunità che possono essere sfuggite agli occhi interni di un’organizzazione, soprattutto prevenendo quei punti deboli che, in futuro, potrebbero causare rilevanti danni.

Nel complesso, la necessità di certificarsi si fonda sull’esigenza di avere fornitori affidabili e tale bisogno è fortemente percepito in settori come quelli sopracitati perché parliamo di ambiti in cui le grandi aziende ricorrono ampiamente ad attività di esternalizzazione (c.d. outsourcing).

Anche tu certificato?

Dopo aver illustrato i considerevoli vantaggi che il possesso di una ISO 27001 produce, possiamo fare delle considerazioni ampliando il nostro sguardo ad altri settori in cui la certificazione apporta notevoli benefici. Riportiamo degli esempi:

• Pensiamo ad uno studio fotografico che viene incaricato da un cliente per la creazione di un album per un matrimonio. Dopo aver scattato le foto, queste vengono trasferite sul computer dello studio, affinché il fotografo possa perfezionarle prima della stampa. Tuttavia, un hacker attacca il device su cui le foto sono custodite, causandone la perdita; potete immaginare la reazione degli sposi?
• Pensiamo poi ad uno chef che, mettendo alla prova le proprie abilità, sperimenta delle ricette innovative per un esclusivo ristorante fusion e le salva sul tablet del titolare. Tuttavia, a seguito di una violazione del sistema informatico, le ricette vengono divulgate e il ristorante concorrente prende conoscenza delle stesse; un po’ come se venisse rubata la ricetta della Coca Cola…
• Pensiamo, infine, ad uno studio grafico, commissionato da un’importante azienda del settore luxury, per la creazione di inviti personalizzati per un evento esclusivo, con personalità note che vogliono restare anonime. Anche qui, come nei due esempi precedenti, un attacco o una violazione al sistema informatico dello studio comporterebbe conseguenze dannose in termini di immagine e reputazione, nonché cause legali annesse.

Questi tre esempi sono solamente alcune delle molteplici ipotesi di ambiti in cui si potrebbe considerare la certificazione ISO 27001 superflua e che invece, in un’ottica lungimirante, risulterebbe una scelta vincente in termini di garanzie da offrire e di differenziazione dalla concorrenza.

La certificazione di un’università

Un ambito in cui si è fatto un notevole passo avanti relativamente alla cultura della protezione dei dati è quello universitario. In particolare, facciamo riferimento alla scelta dell’Università di Verona di certificare la propria Direzione Informatica Tecnologie e Comunicazione con l’ultima versione della norma (prima in Europa), L’ateneo ha infatti ottenuto la certificazione ISO 27001 il 28 giungo 2023: ne parliamo in un articolo dedicato e stante l’importanza dell’evento ne hanno parlato numerose fonti esterne.

Conclusione

Per concludere, la sicurezza delle informazioni si presta ad essere uno degli aspetti fondamentali del prossimo futuro, soprattutto nell’ambito della catena dei fornitori IT.

Oggi non si parla più in termini di “se” si verrà attaccati, ma di “quando” si verrà attaccati. Nel primo semestre del 2023, in Italia si è visto un aumento del 40% degli attacchi informatici. La certificazione ISO 27001 si presenta come un mezzo valido e idoneo a fornire maggiori tutele e garanzie sia per l’azienda che la implementa, sia per tutte le realtà che le ruotano intorno.