Quanto dura la certificazione ISO 27001?

Gli attacchi informatici possono colpirci in ogni momento sia come singoli individui ma anche e soprattutto come aziende.

Ad oggi, le aziende sono sempre di più sottoposte alle minacce cybersecurity in quanto vi è un esteso utilizzo di sistemi informatici e software in outsourcing che non permettono il controllo assoluto sugli stessi e dei dati che in essi transitano. Le criticità si riscontrano maggiormente nei casi in cui le infrastrutture vengano attaccate e non c’è possibilità immediata di ripristinare il servizio, intaccando la continuità operativa del business. Rischio che diventa maggiormente problematico se pensiamo a strutture come ospedali o banche. Per permettere alle aziende di ridurre i rischi sia informatici che di violazione dei dati derivanti dalle minacce cyber è possibile seguire un percorso di Certificazione ISO 27001 che può supportare le imprese nella difesa attiva da attacchi informatici e altri tipi di violazione.

ISO 27001: PREMESSA

La norma ISO 27001, nome completo “ISO / IEC 27001 – Tecnologia dell’informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” è uno standard internazionale che determina i requisiti per gestire la sicurezza delle informazioni adottando un Sistema di Gestione della Sicurezza delle Informazioni (ISMS/SGSI). Le organizzazioni che adottano e si certificano ISO 27001 garantiscono e rafforzano la loro capacità di resilienza dagli attacchi informatici, agendo proattivamente sul problema e implementando maggiormente la cybersecurity.

La ISO 27001 stabilisce i requisiti di carattere generale applicabili a tutte le organizzazioni per la valutazione e il trattamento dei rischi relativi alla sicurezza delle informazioni, tenendo conto che l’obiettivo della stessa è quella di proteggere tre aspetti fondamentali: RISERVATEZZA, INTEGRITÀ E DISPONIBILITÀ delle informazioni.

Di fondamentale importanza sono i protagonisti della certificazione ISO/IEC 27001:

• L’azienda che intende certificarsi;
• L’ente di certificazione che procede alla verifica di conformità e rilascia la certificazione;
• L’ente di accreditamento che supervisiona l’attività dell’ente di certificazione, stabilendo una sorta di garanzia per l’azienda;
• Il consulente 27001 soggetto esterno all’azienda che guida la stessa nel percorso di certificazione, affiancandola nelle attività di pianificazione e documentazione.

La certificazione si ottiene attraverso un processo della durata di 4/6 mesi variabile a seconda delle caratteristiche dell’organizzazione. È un processo abbastanza lungo poiché prevede degli interventi ben specifici da parte dell’azienda, tenendo conto che lo scopo finale della certificazione è far sì che l’azienda, certificandosi, garantisca la sicurezza informatica e la protezione delle informazioni gestite.

ISO/IEC 27001: Il processo di certificazione

La norma ISO 27001 prevede un percorso dove si definiscono degli interventi specifici come: definire una politica per la sicurezza delle informazioni e il campo di applicazione del SGSI; effettuare un risk assessment all’interno dell’azienda; identificare e implementare misure per il controllo dei rischi individuati; adottare procedure interne che aiutino l’azienda a gestire i backup, i log di accesso, i metodi di autenticazione agli applicativi; implementare un piano di Disaster Recovery e Business Continuity con adeguate prove di ripristino.

La caratteristica della ISO 27001 consiste nella presenza di una Dichiarazione di applicabilità (in inglese, State of Applicability – SoA), parte fondamentale del Sistema di gestione della sicurezza delle informazioni (SGSI), che contiene al proprio interno un elenco di 114 controlli, suddivisi in 14 categorie, che l’azienda deve applicare e adempiere.

Questa dichiarazione fornisce un quadro generale dei controlli applicati dall’organizzazione, oppure, nel caso vi sia un’esclusione di un controllo, include la spiegazione delle motivazioni di tale esclusione. Si ricorda che le esclusioni sono possibili soltanto per alcuni controlli, ad esempio quelli relativi allo sviluppo sicuro del software, se tale attività non viene svolta dall’azienda.

Suddetta dichiarazione è il nucleo portante della ISO 27001, che aiuta l’azienda nella creazione di un Sistema di Gestione che include i principali ambiti richiesti dalla norma con il supporto della documentazione necessaria (procedure interne, documentazione metodologica) e tenuta di adeguate informazioni documentate sui processi e sulle attività svolte.

Anche avvalendosi di consulenti esterni, l’azienda imposta il proprio SGSI e valuta che i sistemi di monitoraggio a protezione delle informazioni siamo implementati adeguatamente. Tali sistemi possono includere firewall, antivirus, impostazione di backup, gestione dei log degli utenti, gestione delle credenziali degli utenti e dei relativi ruoli all’interno dell’azienda, revisione dei servizi affidati in gestione a soggetti esterni. Per un elenco puntuale dei controlli si rinvia al catalogo contenuto nella Dichiarazione di Applicabilità (Annex A della norma 27001).

Inoltre, per poter accedere alla prima certificazione bisogna effettuare due ulteriori passaggi:

• Audit di prima parte sull’intero sistema da parte di un auditor certificato 27001 (audit interno);
• Riesame della direzione, ossia un’attività che esamina i risultati degli audit effettuati per garantire che le azioni correttive e i miglioramenti siano implementati, ove necessario.

È possibile effettuare un pre-audit: una volta che la ISO 27001 sia stata implementata, testata e approvata, l’azienda può effettuare un pre-audit, fase facoltativa ma consigliabile, per individuare possibili problematiche che potrebbero portare ad un esito negativo durante l’audit di certificazione.

A questo punto, può iniziare l’iter di certificazione, che si compone di due fasi:

• Audit di stage 1: comprende l’esame dei documenti di Sistema di Gestione, la valutazione della conformità legislativa e dei processi e della struttura dell’Organizzazione. Consiste anche nella verifica degli audit interni effettuati e del Riesame della Direzione, nonché delle risultanze ivi emerse.
• Audit di stage 2: comprende l’esame di conformità a tuti i requisiti della norma e dei controlli definiti applicabili dall’azienda

A seguito delle opportune verifiche e in caso di esito positivo, l’azienda riceve dall’ente di certificazione l’attestato di certificazione ISO 27001

Quanto dura la certificazione ISO 27001?

L’attestato di una certificazione ISO 27001 validità di 3 anni e prevede una sorveglianza per i due anni successivi. I tre anni sono così composti: 1 audit di certificazione + 2 audit di sorveglianza. Al termine dei 3 anni, si procede con un audit di ri-certificazione.

È importante distinguere la certificazione dalla sorveglianza: durante l’audit di certificazione, l’ente verificherà se tutti gli elementi principali del sistema di gestione sono in atto, verificando tutta la documentazione, tutti i processi, ecc. Verranno verificati anche i processi principali e le procedure, e come queste sono attuate cercando una coerenza con la documentazione. Tale controllo sarà abbastanza limitato poiché il sistema di gestione sarà in vigore solo da poco tempo.

La sorveglianza, invece, permette all’ente di certificazione di comprendere se il SGSI funzioni o meno, concentrandosi su elementi che durante il primo audit non era stato possibile controllare o su questioni che erano state identificate come non conformità minori o spunti di miglioramento.

Trascorsi i 3 anni, bisogna effettuare l’audit di ricertificazione che prevede nuovamente l’intero processo di certificazione.

Conclusione

Le organizzazioni che si certificano ISO/IEC 27001 possono ottenere diversi vantaggi, quali:

• Conformità legislativa e normativa in quanto l’azienda risponde positivamente ai requisiti legali e normativi;
• Approccio sistematico per aumentare il livello di protezione delle informazioni;
• Riduzione dei rischi e dei costi poiché agendo proattivamente sul problema si riducono i rischi di minacce cyber e violazione dei dati, ed anche i costi perché l’azienda non dovrà investire sui danni delle minacce cyber;
• Vantaggio di mercato per le aziende che hanno conseguito la certificazione mostrando il loro impegno per la sicurezza delle informazioni sensibili, ottenendo così una buona reputazione sul mercato rispetto ai concorrenti non certificati.