PJR Italia

Società di registrazione ISO

0823/354874

Preventivo Gratuito
Facebook

Che cos’è un Sistema di Gestione per la Sicurezza delle Informazioni?

Dalle e-mail interne ai materiali di vendita, fino ai bilanci: le organizzazioni di ogni dimensione e settore gestiscono quotidianamente ingenti quantità di informazioni. Per un’organizzazione come la vostra, tali informazioni rappresentano un vantaggio competitivo: è grazie a esse che risolvete i problemi, acquisite clienti di rilievo e vi assicurate la vostra quota di mercato. L’obiettivo di un Sistema di Gestione per la Sicurezza delle Informazioni  è proteggere le informazioni che distinguono la vostra attività, sia in ambito digitale che in quello fisico.

Principi di un Sistema di Gestione per la Sicurezza delle Informazioni

Sebbene l’implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni vari da un’organizzazione all’altra, esistono principi fondamentali a cui tutti i Sistemi di Gestione per la Sicurezza delle Informazioni devono attenersi per risultare efficaci nella protezione degli asset informativi di un’organizzazione. Tali principi — alcuni dei quali sono menzionati di seguito — vi guideranno nel percorso verso la certificazione ISO/IEC 27001.

Il primo passo per implementare con successo un Sistema di Gestione per la Sicurezza delle Informazioni consiste nel sensibilizzare le parti interessate chiave (stakeholder) in merito alla necessità della sicurezza delle informazioni. Senza il pieno sostegno delle persone che si occuperanno di implementare, supervisionare o gestire il Sistema di Gestione per la Sicurezza delle Informazioni, risulterà difficile raggiungere e mantenere il livello di diligenza necessario per creare e preservare un I Sistema di Gestione per la Sicurezza delle Informazioni certificato.

Riservatezza, Integrità e Accessibilità sono le colonne portanti di un qualsiasi solido Sistema di Gestione per la Sicurezza delle Informazioni. Nel contesto di un Sistema di Gestione per la Sicurezza delle Informazioni, come la norma ISO/IEC 27001:

  • La Riservatezza assicura che i dati sensibili siano accessibili esclusivamente a coloro che dispongono  autorizzazioni appropriate, prevenendo divulgazioni non autorizzate o fughe di dati;
  • L’Integrità mira a preservare l’accuratezza e la coerenza dei dati lungo l’intero ciclo di vita degli stessi, proteggendoli da manomissioni o alterazioni da parte di soggetti non autorizzati;
  • L’ Accessibilità garantisce che le informazioni e i sistemi vitali siano disponibili in modo affidabile agli utenti autorizzati, esattamente nel momento in cui si rendono necessari per le operazioni aziendali.

Nel loro insieme, questi tre pilastri guidano un’organizzazione nell’identificazione di specifici rischi per la sicurezza e nell’implementazione dei controlli necessari per proteggere i propri asset informativi da un’ampia gamma di minacce moderne.

Affinché il Sistema di Gestione per la Sicurezza delle Informazioni di un’organizzazione risulti efficace, è necessario che esso analizzi le esigenze di sicurezza di ciascun asset informativo e applichi i controlli appropriati per salvaguardare tali asset. Non tutti gli asset informativi richiedono gli stessi controlli, né esiste una soluzione universale per la sicurezza delle informazioni. Le informazioni assumono forme e dimensioni svariate, proprio come i controlli volti a garantirne la protezione.

L’implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni non costituisce un progetto dalla durata predefinita. Per salvaguardare un’organizzazione dalle minacce alle proprie informazioni, un Sistema di Gestione per la Sicurezza delle Informazioni deve crescere ed evolversi costantemente, al fine di adeguarsi a un panorama tecnologico in rapida trasformazione. Pertanto, una continua rivalutazione del Sistema di Gestione per la Sicurezza delle Informazioni è un requisito imprescindibile. Sottoponendo il Sistema di Gestione per la Sicurezza delle Informazioni a frequenti test e valutazioni, l’organizzazione potrà determinare se le proprie informazioni siano ancora adeguatamente protette o se si rendano necessarie delle modifiche.

Un esempio di tale evoluzione è rappresentato dall’aggiornamento dell’Allegato A della norma ISO/IEC 27001, che introduce nuovi controlli relativi ai servizi cloud, alla *threat intelligence* e al mascheramento dei dati (“data masking”). L’Allegato A, nella sua versione evoluta, prende atto del fatto che i confini tradizionali dell’ufficio o del data center si sono ormai dissolti, fornendo un modello flessibile capace di allineare il Sistema di Gestione per la Sicurezza delle Informazioni alle dinamiche sfide di cybersecurity tipiche del moderno panorama digitale.

La revisione del 2022 della ISO/IEC 27001 ha consolidato i 114 controlli della vecchia versione in 93 controlli, organizzati in 4 semplici temi:

  • Organizzativi
  • Persone
  • Fisici
  • Tecnologici

La sicurezza delle informazioni è una funzione dell’Alta Direzione

Sebbene vi siano molti aspetti tecnici nella creazione di un Sistema di Gestione per la Sicurezza delle Informazioni, gran parte di esso è responsabilità dell’Alta Direzione.

Il “coinvolgimento della Direzione” e il “contesto dell’organizzazione” rappresentano aspetti di particolare importanza da prendere in considerazione. Si tratta dei requisiti di cui alle Clausole 4 e 5, oggetto di un attento esame da parte degli auditor. La certificazione ISO/IEC 27001 costituisce uno strumento che la Direzione aziendale può utilizzare per dimostrare la propria “Governance”, anziché limitarsi alla sola sicurezza informatica generica.

Uno degli anelli più deboli nella catena della sicurezza delle informazioni è il dipendente: la persona che quotidianamente accede a informazioni critiche o ne detiene il controllo. Un Sistema di Gestione per la Sicurezza delle Informazioni deve includere politiche e processi volti a proteggere l’organizzazione da un uso improprio dei dati da parte dei dipendenti. Affinché tali politiche risultino efficaci, esse devono godere del sostegno e della supervisione della direzione.

Oltre alle modifiche formali a politiche e processi, la direzione deve altresì intervenire sulla cultura organizzativa, affinché questa rispecchi il valore attribuito alla sicurezza delle informazioni. Non si tratta di un compito semplice, ma è fondamentale per l’efficace implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni.

La gestione della sicurezza delle informazioni è un processo

Proprio come le organizzazioni si adattano ai mutevoli contesti aziendali, così anche i Sistemi di Gestione per la Sicurezza delle Informazioni devono adattarsi ai progressi tecnologici in evoluzione e alle nuove informazioni organizzative. Per adattarsi a tali condizioni mutevoli, la norma ISO/IEC 27001 adotta un approccio per processi nei confronti del Sistema di Gestione per la Sicurezza delle Informazioni, avvalendosi della metodologia Plan-Do-Check-Act.

Chiamaci oggi!