Lo standard ISO/IEC 27001:2022 tiene maggiormente conto dei rischi informatici

Per affrontare le sfide globali della cybersicurezza e rafforzare la fiducia nel digitale, una nuova e migliorata versione della ISO/IEC 27001 Lo standard più conosciuto al mondo per la gestione della sicurezza delle informazioni aiuta le organizzazioni a proteggere le proprie informazioni, un fattore critico nel mondo digitale di oggi.

L'importanza della certificazione ISO/IEC 27001

La criminalità informatica sta diventando sempre più grave e sofisticata, in quanto gli hacker sviluppano tecniche di criminalità informatica sempre più avanzate. Il rapporto Global Cybersecurity Outlook del World Economic Forum mostra che gli attacchi informatici sono aumentati di 125 % a livello globale nel 2021, con indicazioni di un ulteriore aumento entro il 2022. In questo panorama in rapida evoluzione, i leader devono adottare un approccio strategico al rischio informatico.

Adottata da decine di migliaia di organizzazioni, la certificazione ISO/IEC 27001 dimostra l'impegno di un'organizzazione nei confronti della sicurezza delle informazioni e garantisce ai clienti e agli altri partner la serietà della protezione delle informazioni sotto il suo controllo. Lo standard è agnostico dal punto di vista tecnologico, quindi non importa quale sia l'ambiente tecnologico di un'organizzazione. È formulato in modo da poter essere applicato da qualsiasi organizzazione, dalle piccole imprese alle grandi aziende multimiliardarie.

Ulteriori sviluppi per affrontare le minacce

La norma ISO/IEC 27001 specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un ISMS per la sicurezza e la protezione. Include inoltre i requisiti per valutare e affrontare i rischi per la sicurezza delle informazioni in base alle esigenze dell'organizzazione. Se applicato correttamente, lo standard può portare ai seguenti risultati:

• Maggiore credibilità
• Ridurre il rischio di frodi, fughe di informazioni e divulgazioni
• Dimostrazione dell'integrità dei propri sistemi
• Cambiamento della cultura aziendale e maggiore consapevolezza dell'importanza della sicurezza delle informazioni
• Nuove opportunità commerciali con clienti attenti alla sicurezza
• Una maggiore consapevolezza della riservatezza sul posto di lavoro
• Preparatevi meglio all'inevitabile: il prossimo evento o incidente di sicurezza.

Willy Fabritius, Global Head, Strategy & Business Development di SGS, società globale di analisi, ispezione e certificazione, commenta: "La norma ISO/IEC 27001 è stata aggiornata per l'ultima volta nel 2013 e il mondo informatico e le sue minacce si sono evoluti in modo drammatico. Lo standard ha dovuto adattarsi a questo". Una modifica importante riguarda il solo titolo dello standard. Si tratta della norma ISO/IEC 27001:2022 - Sicurezza delle informazioni, sicurezza informatica e privacy - Sistemi di gestione della sicurezza delle informazioni - Requisiti. Altre modifiche riguardano la numerazione delle sezioni, il testo nuovo e riorganizzato e gli aggiornamenti dell'Allegato A.

Implementazione della ISO/IEC 27001:2022: cosa significa ora?

Se un'organizzazione è già conforme alla norma ISO/IEC 27001, non sono necessarie modifiche tecniche, ma solo aggiornamenti della documentazione. Potrebbe essere necessario rivedere le proprie politiche interne per riflettere le nuove sotto-clausole e i nuovi requisiti. I risultati della valutazione dei rischi e i piani di trattamento dei rischi devono essere rivisti e la dichiarazione di applicabilità (SoA) deve essere aggiornata.

Il periodo di transizione è di tre anni dalla data di pubblicazione ufficiale della norma ISO/IEC 27001:2022, in modo da avere tempo sufficiente per soddisfare i requisiti. Un certificato ISO/IEC 27001 già acquisito rimane valido fino alla fine di questo periodo. Willy Fabritius consiglia: "Se rinnovate la vostra certificazione durante il periodo di transizione, potete attenervi ai nuovi controlli per evitare di rimandare all'ultimo minuto".

Fonti: ISO, SGS