Sicurezza delle informazioni – la norma ISO 27001:2017

Le informazioni sono tra gli asset più importanti per le imprese. Il furto di dati riservati ed il danneggiamento dei data base possono avere rilevanti impatti economici e reputazionali.

E’ quindi necessario garantire la “sicurezza delle informazioni”, intesa come salvaguardia di: i) Riservatezza (accesso consentito solo a chi è autorizzato); ii) Integrità (correttezza e la completezza); iii) Disponibilità (possibilità di accedere alle informazioni quando necessario). Tali requisiti devono essere garantiti nell’intero ciclo di vita delle informazioni, in qualsiasi formato queste si presentino (scritto, elettronico, fotografico, vocale…).

Il SGSI (Sistema di Gestione per la Sicurezza delle Informazioni) conforme alla norma ISO 27001 è uno strumento che permette di controllare in modo sistematico e continuativo la sicurezza del patrimonio informativo aziendale, con soluzioni sia tecniche informatiche sia gestionali ed organizzative (controlli e procedure).

I dati e le informazioni sono asset preziosi. Riservatezza, integrità e disponibilità sono quindi  requisiti indispensabili.

LA GESTIONE DELLE INFORMAZIONI NEL SISTEMA AZIENDA

Per capire l’importanza della “sicurezza delle informazioni” aziendali occorre una visione organica del sistema azienda. Infatti, l’inefficace gestione dei dati può comportare:

i) errate valutazioni di rischi e opportunità per la definizione delle strategie aziendali

ii) utilizzo illecito delle informazioni riservate e violazione dei diritti di proprietà industriale

iii) mancato rispetto di adempimenti normativi cogenti.

Si possono identificare, tra le norme cogenti che richiedono la corretta gestione dei dati aziendali il D.Lgs. 231/01 (Responsabilità amministrativa degli enti), il D.Lgs. 63/18 (Protezione delle informazioni commerciali riservate), il Regolamento (UE) 2016/679 (Protezione delle persone fisiche, con riguardo al trattamento dei dati personali), nonché le norme  che regolano il bilancio di esercizio e gli adempimenti fiscali (per quanto attiene l’importanza della correttezza dei dati).

Spesso le aziende individuano delle unità organizzative dedicate alle singole prescrizioni senza un coordinamento globale. Tale approccio può portare ad inefficienze nella gestione di aspetti che, pur con caratteristiche diverse, richiedono la stessa impostazione, prevedono ruoli e responsabilità affini nonché necessitano di procedure e istruzioni molto simili. Per questo motivo è importante lavorare per l’integrazione delle procedure, dei modelli di analisi e delle strutture organizzative per favorire sinergie e aumentare l’efficienza.

ELEMENTI DEL SGSI

Il SGSI conforme alla norma ISO 27001, prevede l’impegno della Direzione nelle seguenti attività:

  • Stabilire le politiche e gli obiettivi, individuare le strutture e definire i processi coinvolti nel trattamento delle informazioni, nonché valutare i rischi per la sicurezza e stabilire gli interventi per la loro gestione. L’organizzazione procede, quindi, con l’analisi e la gestione dei rischi relativi al trattamento illecito dei dati, nonché alla perdita di informazioni tecnico-commerciali riservate (sottrazione impropria e/o errato trattamento).
  • Attuare e rendere operativa la politica e le procedure aziendali, implementando le decisioni prese e le soluzioni delineate nella fase di pianificazione
  • Verificare (anche con audit periodici) e misurare le prestazioni dei processi ed il raggiungimento degli obiettivi, prevedendo anche periodici riesami della direzione aziendale.
  • Intraprendere azioni per il miglioramento continuo del SGSI e coerenti con le politiche e le strategie aziendali.

Per contenere i rischi per la sicurezza delle informazioni occorre attivare specifiche attività di controllo. La ISO 27001 riporta, nell’appendice A, una lista di obiettivi e di controlli per assicurare che non siano trascurati degli elementi necessari per garantire la sicurezza dei dati.

Per attuare i controlli sopra descritti il management deve formalizzare le procedure operative che documentano le decisioni prese per garantire l’efficace gestione, da parte dell’intera organizzazione, della sicurezza delle informazioni.

VANTAGGI DEL SGSI

Implementando il Sistema di Gestione per la Sicurezza delle Informazioni si definiscono quindi policy e procedure che si integrano con i documenti richiesti dalle normative cogenti in materia di “delitti informatici e trattamento illecito dei dati” nonché “protezione del Know How e delle informazioni commerciali riservate” e “protezione delle persone fisiche con riguardo al trattamento dei dati personali”.

Tali policy e procedure, diffuse all’interno dell’organizzazione, consentono la formazione e sensibilizzazione del personale aziendale in relazione a:

  • chiarezza di ruoli e responsabilità;
  • modalità operative necessarie per garantire la sicurezza delle informazioni;
  • importanza del contributo di ciascuno per la sicurezza delle informazioni;
  • conoscenza delle esigenze di tutte le parti interessate.

Implementare un SGSI vuol dire quindi adottare procedure e controlli a garanzia dell’affidabilità e della sicurezza dei sistemi informativi aziendali, così da consentire:

  • il monitoraggio dei costi di gestione;
  • l’adeguatezza dei livelli di servizio;
  • il monitoraggio e la riduzione dei rischi di possibili disservizi.
Categorie

Get Free Consultations

SPECIAL ADVISORS
Quis autem vel eum iure repreh ende