Il sistema di gestione per la sicurezza delle informazioni ISO/IEC 27001:2013
Scopriamo insieme come lo standard ISO/IEC 27001 può aiutare le imprese a conformarsi al GDPR.
L’adozione di un sistema di gestione per la sicurezza delle informazioni è una decisione strategica per un’organizzazione. L’implementazione di tale sistema è influenzata dai bisogni dell’organizzazione e dagli obiettivi della stessa.
La ISO/IEC 27001:2013 è il principale standard internazionale per la gestione della sicurezza delle informazioni e definisce le migliori pratiche riconosciute a livello internazionale per un sistema di gestione della sicurezza delle informazioni.
Questo standard normativo è certificabile da un Ente di certificazione riconosciuto, ed è applicabile a tutti i tipi di organizzazione (pubbliche, private, non profit) di tutte le dimensioni e di tutti i settori industriali.
Un sistema di gestione per la sicurezza delle informazioni, preserva la riservatezza, l’integrità e la disponibilità delle informazioni prevedendo un processo di valutazione dei rischi e assicurando alle parti interessate la loro adeguata gestione.
In particolare:
- la riservatezza assicura che l’accesso alle informazioni sia appropriatamente autorizzato;
- l’integrità salvaguarda l’accuratezza e la completezza delle informazioni e dei relativi processi di elaborazione;
- la disponibilità assicura che gli utenti autorizzati abbiano accesso alle informazioni in modo controllato e in caso di necessità.
Perché ottenere la certificazione ISO/IEC 27001?
Le organizzazioni non possono accettare che le loro informazioni siano vulnerabili o soggette ad attacchi illegali da parte di soggetti esterni o interni, o che interruzioni dovute a processi IT possano paralizzare le loro attività, consentendo ai concorrenti di affermarsi sui mercati.
L’implementazione dello standard ISO/IEC27001:2013 e l’eventuale ottenimento della certificazione, assicurano che la gestione della sicurezza delle informazioni di un’organizzazione sia adeguatamente indirizzata e che i propri valori e le proprie risorse informative siano propriamente controllati e preservati.
Benefici pratici per le organizzazioni che implementano un sistema di gestione 27001
Vediamo insieme quali sono i vantaggi che è possibile ottenere attraverso l’adeguamento allo standard 27001:
- minimizzare i rischi attraverso un sistema strutturato, globale e riconosciuto sulla sicurezza delle informazioni, che aiuta a limitare le minacce;
- protezione delle informazioni riservate dalla minaccia di hacking, perdita di dati e violazione della riservatezza, capacità di recuperare in tempi brevi le informazioni nel caso di eventuali attacchi;
- stabilire piani di business continuity per garantire che le attività proseguano anche nel caso di disastri naturali o causati dall’uomo;
- preservare al meglio l’immagine dell’azienda quale fornitore affidabile e competente;
- proteggere al meglio il patrimonio informativo proprio e dei propri clienti;
- ottimizzare i processi di delivery;
- adottare le misure atte a garantire la fidelizzazione del personale e la sua professionalità aumentando il livello di sensibilità e la competenza su temi di sicurezza;
- rispondere pienamente alle indicazioni della normativa vigente e cogente.
La ISO/IEC 27701:2019: tecniche di sicurezza, estensione delle ISO/IEC 27001 e ISO/IEC 27002 per la gestione dei dati personali
In previsione del crescente contesto normativo in materia di privacy e della necessità di un insieme comune di regole per la data protection, l’Organizzazione Internazionale per la Standardizzazione (ISO) e la Commissione Elettrotecnica Internazionale (IEC) hanno redatto uno standard di riferimento: l’ISO/IEC 27701 per la protezione dei dati personali.
Il nuovo standard arriva dopo che, in Europa, l’introduzione del GDPR ha prodotto un duplice effetto, rappresentando un’innovazione e un’armonizzazione rispetto alle normative esistenti sulla protezione dei dati che riflettono le realtà del mondo digitale in cui viviamo attualmente.
La pubblicazione e l’entrata in vigore del GDPR ha di fatto regolamentato in Europa il trattamento delle informazioni personali e ha rappresentato un salto di qualità nella regolamentazione del settore privacy introducendo il principio di “accountability” che responsabilizza gli attori coinvolti nel trattamento dei dati personali, siano essi titolari (cioè soggetti che definiscono modalità e finalità del trattamento) o responsabili (colore che eseguono il trattamento) come definiti nell’articolo 4 del GDPR.
Allo stesso tempo, è stato stressato il concetto di sicurezza delle informazioni e sono stati forniti strumenti agli interessati per poter riprendere il controllo dei propri dati o, quantomeno, limitare gli impatti che da essi possono derivare.
Tuttavia,il GDPR non dà istruzioni operative pragmatiche su alcuni aspetti che sono lasciati alla libera interpretazione delle singole organizzazioni.
Proprio per questo motivo, a livello internazionale, quindi non solo in Europa, ISO ed IEC hanno deciso di predisporre uno strumento pratico sulla scia di quanto già definito nel passato.
PIMS – Privacy Information Management System
La ISO/IEC 27701 nasce proprio con l’obiettivo di implementare un PIMS (Privacy Information Management System) cioè un sistema per la protezione dei dati personali, quindi un SGSI specializzato sulle tematiche peculiari della privacy e si pone come punto unico di riferimento in ambito privacy, dal momento che referenzia gli altri standard vigenti in materia dei quali estende ed attualizza le indicazioni.
Come specificato nella parte introduttiva della norma “una organizzazione che si conformi ai requisiti del documento produrrà una serie di evidenze formali che documentano come essa gestisce i dati personali. Queste evidenze possono facilitare gli accordi con i business partner laddove la gestione dei dati personali sia un aspetto rilevante per entrambi. Queste evidenze possono anche essere di ausilio nella relazione con altri stakeholder”.
La ISO/IEC 27701 presenta controlli aggiuntivi per la ISO/IEC 27001 e la ISO/IEC 27002, va quindi letta insieme ad esse, non è quindi possibile certificarsi con la ISO/IEC 27701 se non come estensione della certificazione ISO/IEC 27001.
La selezione di un consulente affidabile in termini di sicurezza delle informazioni la certificazione 27001 acquisisce una importanza determinante.
Cosa può fare Datapro
Data pro è un team di consulenti certificati con competenze multidisciplinari in ambito normativo, tecnologico e di organizzazione aziendale. Nello specifico per le due norme oggetto di questo articolo può erogare consulenza accompagnando le organizzazioni verso la massima protezione dei dati e portandole a raggiungere la Certificazione ISO/IEC 27001 ed eventuale estensione ISO/IEC 27701.