Standard ISO 27001 come strumento

Il nostro mondo del lavoro è più che mai dipendente da sistemi digitali funzionanti. I processi vengono digitalizzati e (parzialmente) automatizzati come flussi di lavoro. Una quantità sempre crescente di dati sensibili viene esternalizzata nel cloud. Sempre più aziende dipendono dal buon funzionamento dei sistemi informatici. Oltre a una strutturazione chiara e sensata dei processi di un'azienda, il funzionamento e la gestione sicura delle e con le soluzioni e infrastrutture IT è una delle condizioni cruciali per un lavoro efficiente.

Nuove opportunità comportano sempre nuovi rischi:

• Il crimine informatico è in aumento. Le aziende sono obiettivi lucrativi per gli hacker. Nel 2017, 40% di tutte le PMI svizzere sono state vittime di un attacco informatico*.
• I dipendenti rappresentano un grave rischio a causa dell'ignoranza e della mancanza di consapevolezza:
• Le e-mail di phishing sono presentate in modo sempre più sofisticato e sono difficilmente identificabili come tali dai profani.
• Il numero di password richieste è in aumento e molti impiegati scelgono ancora password poco sicure.
• I dati personali sono protetti dalla legge (Legge federale sulla protezione dei dati LPD, RS 235.1) e devono essere memorizzati e archiviati in modo particolarmente sicuro. In caso di danni, c'è il rischio di multe e danni alla reputazione.
• Il regolamento generale europeo sulla protezione dei dati (GDPR) richiede ulteriori misure di protezione dei dati.
• I regolamenti industriali come le regole della FINMA, Basilea III e EPD (dossier elettronico del paziente), forniscono linee guida generali o specifiche sulla protezione e la sicurezza dei dati.

Per minimizzare i rischi che sorgono nella sicurezza delle informazioni e specialmente nella protezione dei dati, sono necessarie misure tecniche e organizzative. Un'assistenza completa è fornita dalle norme della serie ISO 2700x, che coprono tutte le aree della sicurezza delle informazioni in azienda.

ISO 27001/02
Gli standard ISO 27001/02 sono stati sviluppati per definire i requisiti per la definizione, l'implementazione, la manutenzione e il continuo aggiornamento degli standard.

"La sicurezza assoluta non è garantita né nel mondo fisico né in quello digitale".

L'obiettivo è definire il modo migliore per migliorare un sistema di gestione della sicurezza delle informazioni. Supportano le aziende nella gestione di infrastrutture sicure, avviando le giuste misure in caso di incidenti o sensibilizzando costantemente i dipendenti. Oltre a soddisfare i requisiti tecnici, devono essere prese molte misure organizzative. Lo standard ISO per la sicurezza delle informazioni copre una parte importante e ampia della conformità con il nuovo regolamento europeo sulla protezione dei dati (in particolare i diritti delle persone del DSGVO non sono ad esempio regolati nella ISO 2700x). Questo è anche indispensabile per molte aziende svizzere che hanno relazioni commerciali con l'UE. C'è anche da aspettarsi che requisiti simili entrino in vigore a medio termine anche in Svizzera. Vale quindi la pena in ogni caso affrontare i nuovi requisiti.

Le aziende che già utilizzano sistemi di gestione secondo ISO 9001 (qualità), 14001 (ambiente), ISO 45001 (salute e sicurezza sul lavoro) o ISO 50001 (energia) hanno già gran parte della struttura del sistema di gestione necessaria per l'implementazione di un sistema di gestione della sicurezza delle informazioni. In pratica, ISO 27001 si basa sulla stessa struttura di alto livello delle norme ISO menzionate sopra.

Analogamente ad altri sistemi di gestione, il prerequisito o primo passo è conoscere e analizzare i propri processi e procedure. Quali dati sono immagazzinati e trattati e come? Quali regolamenti o aspettative (legali) devono essere rispettati per quali dati? Una volta chiarita questa situazione iniziale, l'integrazione del tema della sicurezza dell'informazione nei sistemi e nelle strutture di gestione esistenti è possibile con uno sforzo relativo. Oltre alla conoscenza dei sistemi di gestione, questo richiede anche una competenza specialistica nei sistemi informatici. Una volta stabilito in un sistema di gestione, si assicura che l'argomento, come altri argomenti, riceva l'attenzione necessaria, sia continuamente monitorato e ottimizzato.

La certificazione del sistema può avere senso come prova per i clienti e il pubblico, ma non è assolutamente necessaria. Anche senza certificazione, l'integrazione nelle strutture del sistema di gestione esistente è un approccio semplice per soddisfare il dovere di cura previsto nell'area della sicurezza delle informazioni e i requisiti legali.

Domande all'esperto
Roland Brunner, Senior Information Security Consultant della WiB Solutions AG, sulle procedure realistiche:

Ogni azienda deve essere certificata secondo la norma ISO 27001 per poter garantire l'assoluta sicurezza delle informazioni?
Roland Brunner: No, certo che no. La certificazione ha senso soprattutto per le aziende con i propri centri dati, i fornitori di servizi IT e le grandi aziende. Se ci si orienta alla norma ISO 2700x, ciò non significa che si debba cercare una certificazione. Il quadro esistente dello standard fornisce una struttura ben pensata e i cosiddetti modelli di controllo, che possono essere esaminati, utilizzati e documentati da ogni azienda, tenendo conto delle proprie esigenze. Ultimo ma non meno importante, la sicurezza assoluta non è garantita né nel mondo fisico né in quello digitale. I rischi devono essere identificati, classificati, e le misure appropriate prese o gli effetti minimizzati.

Esistono strumenti per aiutare le aziende a valutare la propria sicurezza delle informazioni?
Il quick check online per la sicurezza delle informazioni e la protezione dei dati della WiB Solutions AG offre alle aziende la possibilità di valutare la loro situazione sulla base di 30 domande incentrate sulla sicurezza delle informazioni; da un lato, viene misurato il livello di maturità dei processi e dei temi rilevanti e, dall'altro, le aziende ricevono una valutazione di quali temi devono essere ponderati per l'azienda nell'attuazione e come. Non tutti gli argomenti sono ugualmente rilevanti per ogni azienda.

Conclusione
La mancanza di gestione della sicurezza delle informazioni nell'ambiente ICT è una costante "danza sul vulcano" - è certo che un'eruzione avverrà, ma non è chiaro quando, in che misura e quali misure preventive ridurranno i rischi. In questo ambiente, le organizzazioni che affrontano la questione e i cui dipendenti sono abbastanza flessibili da reagire prontamente ai cambiamenti sono ben posizionate.