Norma ISO 27001 per la sicurezza delle informazioni delle aziende

La norma iso 27001 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione” è una norma internazionale che ha come obiettivo quello di creare un sistema di gestione della sicurezza delle informazioni. Inoltre, essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adatti alle esigenze dell’organizzazione.

La norma iso 27001 è suddivisa in dieci sezioni secondo la HIGH LEVEL STRUCTURE, la tipica struttura che caratterizza anche altri sistemi di gestione (quali ISO 9001, 14001, 45001, 37001, e può essere quindi facilmente integrata in un sistema di gestione esistente. Le prime tre sezioni sono di carattere introduttivo, le successive sette sezioni definiscono concretamente i requisiti relativi al Sistema di Gestione della sicurezza informatica e rappresentano il “cuore” della norma:

Sezione 4 – Contesto dell’organizzazione 

La norma iso 27001 ha voluto inquadrare gli elementi interni ed esterni con un approccio “high level” e considerare, per la prima volta, una serie di ulteriori fattori che possono influenzare il modo in cui l’organizzazione gestisce le proprie responsabilità in materia di sicurezza informatica: questi fattori possono essere sia di tipo esterno (aspetti tecnologici, finanziari/economici, competitivi dei propri prodotti/servizi nei confronti della concorrenza dal punto di vista ambientale, e legali/normativi) che di tipo interno (dimensioni, struttura, interfacce e interdipendenze tra le attività svolte dall’organizzazione).  Da ciò deriva che l’analisi del contesto richiede una valutazione non solo di elementi interni ma anche di elementi esterni che in precedenza venivano di solito considerati marginalmente nell’ambito del SGA.Tale estensione dell’analisi rappresenta quindi un aspetto di maggiore complessità della norma e di vitale importanza, in quanto il tutto permette di stabilire ed impostare una serie di azioni atte a prevenire e mitigare tutti i possibili eventi di perdita e indisponibilità delle informazioni, ciò risulta ancora più evidente nella successiva analisi delle parti interessate e nell’attività generale di pianificazione che la normativa dettaglia e chiarisce.In quest’ottica, è evidente il significativo ampliamento di prospettiva che la norma iso 27001 chiede al Sistema di Gestione per la Sicurezza delle Informazioni, i cui obiettivi e le cui azioni devono infatti essere definiti ed attuati sulla base di una conoscenza del contesto in grado di fornire all’organizzazione una visione complessiva e una migliore e più strategica comprensione di tutti gli elementi del proprio contesto (inquadramento sociale, dimensioni e struttura dell’organizzazione, cambiamenti normativi, finanziari e tecnologici, interazioni con gli stakeholder etc.) che possono influire sul modo in cui essa gestisce le proprie attività, consentendo allo stesso tempo di intercettare e cogliere le opportunità di prevenzione.

Sezione 5 – Leadership

Questo standard attribuisce un ruolo attivo e centrale al top management (Organo direttivo o Alta direzione) nel processo di radicamento degli impegni per la sicurezza delle informazioni nel business dell’azienda. Un messaggio molto chiaro e preciso, che la norma iso 27001 esplicita sin dall’Introduzione della norma, in cui si afferma chiaramente come il successo di un SGSI dipenda dall’impegno di tutti i livelli e di tutte le funzioni dell’organizzazione, guidate e indirizzate a tal fine dal suo Top Management, a cui spetta anzitutto il compito di cogliere e di valorizzare le opportunità connesse alla sicurezza delle informazioni, in particolare quelle che presentano implicazioni sotto il profilo strategico e competitivo.La norma iso 27001 chiede inoltre all’alta direzione di assicurarsi che la Politica per la sicurezza delle informazioni e gli obiettivi siano coerenti e compatibili con gli indirizzi strategici e con il contesto dell’azienda: l’analisi del contesto, come detto sopra, fornisce input fondamentali al Top Management per identificare sia gli indirizzi strategici dell’organizzazione (Politica ed obiettivi per la sicurezza delle informazioni), sia le funzioni aziendali con ruoli e responsabilità rilevanti per la loro realizzazione.

Sezione 6 – Pianificazione 

Il Punto 6 della norma è dedicato alla Pianificazione del Sistema e può considerarsi il “cuore” della norma iso 27001 , in cui da un lato, trovano applicazione e si connettono i tre concetti di contesto, azioni per affrontare il rischio e opportunità e dall’altro, la pianificazione degli obiettivi per la sicurezza delle informazioni ed il loro raggiungimento. Il processo di pianificazione va impostato secondo una logica risk-based, mirata ad identificare e a valutare rischi e opportunità connessi ai fenomeni di sicurezza delle informazioni, al fine di determinare le azioni da sviluppare per assicurare che il Sistema non solo raggiunga i suoi obiettivi, ma prevenga o riduca effetti e conseguenze indesiderati connessi alle attività, prodotti e servizi dell’organizzazione e ne amplifichi benefici ed effetti positivi.

Sezione 7 – Supporto 

Il punto 7 della norma riguarda la gestione e il controllo di tutte le risorse e gli asset all’interno dell’organizzazione sia esse intese come risorse umane, come infrastrutture, come ambiente di lavoro ecc.La sezione include inoltre i requisiti relativi alla competenza, consapevolezza, comunicazione e controllo delle informazioni documentate (i documenti e le registrazioni richiesti per i processi).In questo punto, si trovano tutti i requisiti relativi alla competenza, consapevolezza, comunicazione, formazione, processo di assunzione ed informazione documentata.L’informazione documentata è un fortissimo elemento innovativo, sostituisce i termini “procedure” e “registrazioni” e può essere redatta e conservata nella forma che l’organizzazione ritiene più adeguata in funzione delle proprie esigenze, rischi ed opportunità. L’estensione delle informazioni documentate di un sistema di gestione per la sicurezza delle informazioni può variare in base alla: 

• Dimensione dell’organizzazione e al tipo di attività, processi, prodotti e servizi
• Complessità dei processi
• Competenza del personale
• Infrastruttura informatica aziendale

Sezione 8 – Attività operative 

Tale sezione descrive il controllo operativo che deve eseguire l’organizzazione sui suoi processi e in che modo debba essere preparata a soddisfare tutti i requisiti per la sicurezza delle informazioni, rappresentando la parte l’operativa concreta del SGSI. L’organizzazione in questa fase mette in atto le prestazioni relative alle valutazioni sul rischio di sicurezza delle informazioni a intervalli pianificati, archiviando le informazioni documentate per registrare i risultati e dare evidenza del raggiungimento degli obiettivi prefissati. 

Sezione 9 – Valutazione delle prestazioni 

Questa sezione definisce i requisiti necessari per il monitoraggio, la misurazione, l’analisi e la valutazione dell’efficacia del sistema di gestione. Infatti, come per gli altri standard strutturati con un HIGH LEVEL STRUCTURE, all’organizzazione è richiesto di impostare il processo in modo molto più articolato, coerente e innestato sul Sistema di Gestione sicurezza delle informazioni, definendo chiaramente:

1. Cosa misurare e monitorare
2. Quando misurare e monitorare
3. Quando analizzare e valutare i risultati delle misurazioni e dei monitoraggi

Sezione 10 – Miglioramento 

È chiaramente esplicitato in questo punto della norma l’obiettivo del sistema di gestione sicurezza delle informazioni, ovvero quello del miglioramento delle performances di prevenzione e viene enfatizzato un messaggio che avrebbe dovuto già essere compreso da tempo dalle organizzazioni dotate di un SGSI certificato: le non conformità hanno una connotazione positiva nella gestione del Sistema e devono pertanto essere “vissute” dall’azienda in modo costruttivo e funzionale all’efficacia del Sistema stesso, infatti, un SGSI efficace è quello in cui gli scostamenti dai requisiti, sono tempestivamente rilevati dal personale dell’organizzazione e sono utilizzate come leva per alimentare il miglioramento. Da qui la scelta della norma iso 27001 di inviare il segnale esplicito dell’inserimento delle NC nel Punto norma dedicato al miglioramento continuo.Lo standard della norma iso 27001 prevede anche l’Allegato A che delinea 114 controlli per aiutare a proteggere le informazioni in molteplici aree dell’organizzazione. Questo fornisce inoltre una guida per le migliori pratiche e rappresenta un valido riferimento per valutare quali controlli siano più adatti all’organizzazione.