L’Informazione è un prezioso bene aziendale e da esso dipende la competitività e spesso il successo dell’azienda stessa. Protezione, riservatezza e conformità dei dati costituiscono le principali preoccupazioni in ambito informatico.
Le Organizzazioni possono proteggersi da potenziali minacce alla sicurezza delle informazioni da esse gestite sviluppando un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS: Information Security Management System), conformemente a quanto definito dalla ISO 27001 e richiedendo una verifica di certificazione indipendente.
In un contesto in cui i rischi di violazione dei sistemi di sicurezza sono in continuo aumento, la pirateria e le frodi informatiche, lo spionaggio, l’azione di virus, l’hacking (intrusioni solo dimostrative) e il cracking (intrusioni a scopo di creare danni) sono divenuti realtà quotidiana e sfruttano tecniche sempre più sofisticate, è divenuto necessario dotarsi di un sistema che garantisca una gestione sicura delle informazioni.
L’Informazione diviene parte del patrimonio aziendale e in quanto tale va preservata lungo il suo intero ciclo di vita.
La protezione delle Informazioni consiste nell’assicurare, attraverso la gestione controllata dei processi aziendali, i desiderati livelli di:
RISERVATEZZA: accessibilità alle informazioni solo da parte di chi dispone delle necessarie autorizzazioni
INTEGRITA’: salvaguardia dell’accuratezza e della completezza dei dati e dei metodi di elaborazione (devono poterli modificare solo gli autorizzati)
DISPONIBILITA’: garantire agli utenti autorizzati l’accesso alle informazioni, ai sistemi e ai servizi quando richiesto (accesso in tempo reale senza ritardo in caso di necessità).
Queste che rappresentano i tre requisiti fondamentali della sicurezza dell’Informazione sono anche le componenti fondamentali da cui dipendono la competitività dell’azienda, i suoi profitti, la sua conformità ad obblighi legali e in definitiva la sua immagine commerciale.
La Norma ISO 27001, applicabile a imprese operanti in ogni settore commerciale e industriale, è stata sviluppata in modo da rendere agevole l’interazione con gli standard relativi ai sistemi di gestione della qualità e quelli relativi all’ambiente (ISO 9001 e ISO 14001), basandosi sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo.
Di fondamentale importanza è l’Annex A “Control objectives and controls” che contiene i “controlli” a cui, l’organizzazione che intende applicare la norma, deve attenersi. Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).
La gestione della Business Continuity e il rispetto normativo, completano l’elenco degli obiettivi di controllo. L’organizzazione deve motivare quali di questi controlli non sono applicabili all’interno del suo ISMS.
Vantaggi per l’organizzazione
-
ridurre gli incidenti che comportano responsabilità legali e contrattuali;
-
migliorare le relazioni con la Pubblica Amministrazione;
-
assicurare la protezione di segreti commerciali e del know-how aziendale;
-
Miglioramento dell’immagine e dei vantaggi commerciali che può dare l’essere organizzazione certificata ISO 27001: garantire al mercato in generale ed alla clientela attuale e potenziale l’impegno nei confronti della sicurezza dei dati e delle informazioni aziendali, rilasciata da un organismo indipendente riconosciuto internazionalmente;
-
Alto grado di trasparenza che darà fiducia sia ai clienti sia ai partner;
-
Offrire ai propri clienti servizi sicuri in termini di riservatezza, integrità e disponibilità dei dati e delle informazioni trattate;
-
Sviluppo del proprio business attraverso la riduzione dei rischi informatici e la conseguente riduzione degli impatti negativi in termini operativi ed industriali;
-
Dimostrare ai propri Stakeholders (Azionisti, Legislatore, Clienti, Personale, Amministrazione e Comunità) il proprio impegno concreto nella protezione delle informazioni;
-
Riduzione dei costi per le assicurazioni connesse alla sicurezza;
-
Integrazione con gli adempimenti del D.Lgs. 196/03 (“codice della privacy”);
-
Creazione di una cultura della sicurezza all’interno dell’azienda, al fine di mantenere uno staff con maggior coscienza dell’importanza della sicurezza delle informazioni ;
-
Individuazione delle aree di criticità attraverso l’analisi dei rischi ed introduzione di azioni di miglioramento continuo.
GESTA Sas resta a disposizione per qualsiasi chiarimento in merito.