La ISO 27001 rappresenta per la sicurezza delle informazioni ciò che la ISO 9001 rappresenta per la qualità. Si tratta infatti di uno standard stabilito dai maggiori esperti mondiali nel campo della sicurezza per offrire una metodologia per l’implementazione e la gestione della sicurezza delle informazioni all’interno di un’organizzazione. Inoltre consente alle aziende di ottenere l’accreditamento, laddove un organo di certificazione indipendente conferma che un sistema di sicurezza delle informazioni è stato implementato nel miglior modo possibile.
Lo standard ISO 27001 indica che un’azienda accreditata non solo prende molto sul serio la sicurezza delle informazioni, ma si è impegnata a rispettare continuamente lo standard: se perciò avete la possibilità di scegliere tra un fornitore che è accreditato e uno che non lo è, dovreste propendere per quello che si è impegnato a mantenere elevati livelli di sicurezza.
Ovviamente lo standard ISO non è solo utile per scegliere il miglior provider, ma è un passo essenziale che ogni azienda dovrebbe intraprendere. Per questo sorprende il fatto che molti business leader e IT manager sembrano ancora essere inconsapevoli della sua importanza e del valore che questo rappresenta per un’organizzazione.
I requisiti della ISO 27001 descrivono le best practice per un sistema di gestione della sicurezza delle informazioni, che è un sistema di processi, documenti, tecnologie e persone che aiuta a proteggere il business e i suoi asset, soprattutto nelle aree chiave della sicurezza IT che includono:
- Confidenzialità
Limitando l’accesso alle informazioni ai soli utenti/entità autorizzati e prevenendo l’accesso ai non autorizzati.
- Integrità
Assicurandosi che i dati non vengano modificati in maniera inappropriata, né per errore né deliberatamente.
- Disponibilità
Assicurandosi che tutte le informazioni-chiave siano disponibili. La perdita dei dati, infatti, potrebbe mettere a rischio l’intero business.
Conclusione
Per mantenere la certificazione ISO 27001, le aziende devono sottoporsi ad un processo annuale di revisione esterna e ad uno triennale di ri-certificazione, durante il quale devono dimostrare un continuo miglioramento del sistema di gestione della sicurezza delle informazioni. Quando ISO pubblica una revisione dello standard, le aziende devono necessariamente adeguarsi alla nuova versione per mantenere la certificazione. Tali requisiti spingono un’azienda accreditata ad impegnarsi per raggiungere livelli di eccellenza nel mantenimento e nell’implementazione di un sistema di gestione della sicurezza delle informazioni. Inoltre assicurano ai clienti che l’impegno a mantenere la confidenzialità, l’integrità, la disponibilità e la privacy dei loro dati non solo è continuo, ma viene periodicamente valutato da auditor esterni.
