
Quanto costa la ISO 27001
28 Febbraio 2022
Quanto costa la ISO 27001?
In questi numerosi anni in cui mi occupo di consulenza nell’ambito della ISO 27001, la prima domanda che mi viene sempre posta è: “Quanto costa?”.
Ovviamente non è possibile dare un valore economico preciso a questa risposta perché molto dipende dalla situazione aziendale. Di seguito, però, alcune riflessioni che possono portare il lettore ad avere un’idea delle voci di costo.
- COSTI DELL’ENTE DI CERTIFICAZIONE
Il primo costo che tutti immaginano di dover sostenere è il costo dell’ente di certificazione. I costi di un ente per una certificazione ISO 27001 si basano sul numero di giornate necessarie per svolgere le attività di audit da parte dei certificatori. Il numero delle giornate si basa, a sua volta, su tabelle internazionali che sono direttamente proporzionali al numero dei dipendenti dell’azienda che deve certificarsi e sul numero delle sedi operative aziendali. Tendenzialmente si va da un minimo di 4 giornate per aziende piccole a salire. - COSTI DELLA SOCIETA’ DI CONSULENZA
Certificarsi richiede tempo, richiedere comprendere cosa vogliono significare i vari punti della norma e cosa richiedono i controlli dell’Annex A della ISO 27001. Affrontare questo percorso senza società di consulenza è sicuramente possibile ma può risultare un percorso lungo e difficile e, alla fine, più costoso. Una società di consulenza che lavora bene è capace di fornire tutti gli elementi necessari affinché l’azienda arrivi velocemente a meta. La nostra esperienza ci dice che, in base al dimensionamento aziendale, si parte da un minimo di 6/8 giornate di consulenza a salire a cui vanno aggiunte le giornate di affiancamento durante la certificazione. - COSTI INTERNI
Il processo di certificazione richiede che qualcuno, all’interno dell’organizzazione, si prenda la briga di seguire i lavori. Normalmente tale attività ricade sul Responsabile del Sistema di Gestione della Sicurezza delle Informazioni, nominato allo scopo. Questa persona dovrà dedicare del suo tempo per implementare il sistema ISO 27001 in azienda dedicando allo scopo diverse giornate. Il numero delle giornate è inversamente proporzionale alle capacità dell’azienda di consulenza: più l’azienda di consulenza è brava e meno giornate dovrà dedicare al tema. Rimane comunque un fatto che, seppur poche, le giornate da dedicare alla certificazione risulteranno un buon numero, indipendentemente dalle dimensioni aziendali. - COSTI IT
Durante il processo di certificazione, quasi sempre, succede che si scopre che l’organizzazione non è perfetta nella protezione dei suoi dati. Per migliorarsi deve implementare soluzioni di sicurezza più avanzate o svolgere controlli (ad esempio vulnerability assessment) che non sempre si svolgono nelle organizzazioni. La certificazione ISO 27001 risulta, inoltre, un ottimo motivo per aggiornare la propria struttura informatica, implementando soluzioni più moderne. Da qui scaturiscono investimenti in hardware e software di protezione. - COSTI ORGANIZZATIVI
Il processo di certificazione comporta anche l’implementazione di procedure più stringenti nella gestione della sicurezza delle informazioni. Tali procedure, seppure oggi molto più semplificate che in passato, costituiscono un minimo costo aggiuntivo poiché richiedono un impegno anche formale nella valutazione della sicurezza dei vari progetti, nella valutazione dei rischi, nella creazione della reportistica delle varie attività. - COSTI DI FORMAZIONE
Il processo di certificazione richiede anche una formazione del personale aziendale volta a creare una maggiore security awareness all’interno dell’azienda atta a prevenire incidenti di sicurezza delle informazioni.
Tutti questi costi possono portare ad un impegno di varie decine di migliaia di euro per raggiungere lo scopo finale. Tali costi sono allocati principalmente nel primo anno della certificazione mentre il mantenimento della certificazione ha dei costi più contenuti.
OTTIENI UN PREVENTIVO ISO27001 PER LA TUA AZIENDA
Le motivazioni
Ne vale la pena? Ritengo che non sempre vi possa essere una risposta positiva a questa domanda. Devono essere svolte alcune riflessioni. Infatti, diversi sono i motivi che possono portare alla certificazione. Vediamoli assieme.
- RICHIESTA DEL MERCATO
Sempre più realtà iniziano a richiedere la certificazione ISO 27001 alla propria Supply Chain. Questo perché la catena dei fornitori risulta oggi l’anello debole della sicurezza per le grandi imprese. Poiché il processo di certificazione richiede, per forza, diversi mesi di lavoro, è importante partire per tempo per non lasciarsi sfuggire occasioni di mercato. - RISPOSTA A NORME DI LEGGE
La necessità di scegliere fornitori affidabili, che siano sottoposti a periodici controlli (Accountability ex art 5, par. 2, del GDPR) richiede sempre più spesso di rivolgersi a fornitori certificati o dimostrare la propria compliance alle norme anche attraverso processi certificativi. Ove vi sia un trattamento di dati, soprattutto digitali, la capacità di dimostrare la presenza di un sistema di gestione è fondamentale. - STRUMENTO DI MARKETING
La certificazione permette di dimostrare la presenza di un sistema per salvaguardare le informazioni che può essere utilizzato a fini di marketing per meglio posizionare la propria realtà aziendale. - STRUMENTO ORGANIZZATIVO
La certificazione ISO 27001 è un ottimo strumento per canalizzare le energie dei dipendenti (in particolare del settore IT) in processi documentati con i quali procedere ad organizzare al meglio la propria realtà aziendale. - STRUMENTO DI SICUREZZA
Un’azienda o un ente dovrebbe porsi la domanda di quanto costerebbe un incidente in ambito della sicurezza delle informazioni. La certificazione aiuta sensibilmente a prevenire tali incidenti, innescando comportamenti virtuosi atti a prevenirli o a limitarne le conseguenze. - ASSICURAZIONE CYBERSECURITY
La certificazione permette di accedere più facilmente ad un’assicurazione di cybersecurity, limitandone anche il premio annuale. - SECURITY AWARENESS
La certificazione ISO 27001 porta maggior consapevolezza in azienda sui temi della sicurezza. Ciò comporta che il personale risulterà obbligato a seguire delle procedure che rendono più sicuri i comportamenti delle persone. Le persone, inoltre, avendo maggior formazione, saranno in grado di evitare una serie di pericoli oggi molto diffusi in ambito IT.
- Gianluca Lombardi -