Certificare il Sistema di Gestione della Sicurezza delle Informazioni significa dimostrare ai clienti che le informazioni in proprio possesso sono adeguatamente protette a prescindere dal metodo di archiviazione, cartaceo o elettronico, o dal know-how di ogni singolo individuo.

La richiesta di tutela delle informazioni è la domanda fondamentale che il mercato rivolge alle organizzazioni del settore ma non sempre c'è trasparenza rispetto a come le informazioni vengono protette. Incidenti rilevanti, come la perdita di dati o la frode, continuano ad essere segnalati dai media e questo crea preoccupazione tra i clienti e tra gli stessi utilizzatori finali. Di conseguenza, clienti, comitati e gli altri stakeholders, pubblica opinione inclusa, chiedono con insistenza crescente prove tangibili di un sistema di sicurezza robusto ed efficace oltre a misure in grado di assicurare la continuità delle operazioni basilari per il business.
Un sistema di gestione della sicurezza delle informazioni attua un approccio sistematico per minimizzare i rischi di accesso non autorizzato o di perdita dei dati e per garantire una gestione efficace delle misure di protezione adottate. Fornisce alle aziende un modello per assolvere in maniera conforme alle normative di settore e migliora il controllo sulla sicurezza delle operazioni relative ai dati sensibili.
La ISO 27001 è lo standard più riconosciuto ed utilizzato al mondo per i sistemi di gestione della sicurezza delle informazioni ed è applicabile a qualsiasi tipo di organizzazione, grande o piccola, e in qualsiasi settore.
L'implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) permette alle aziende di identificare le aree di maggiore criticità e di impostare dei controlli specifici ed adeguati alle necessità, al fine di proteggere i dati.

Le principali motivazioni che spingono le organizzazioni ad implementare un sistema di gestione per la sicurezza delle informazioni e a cercare una certificazione sono:

• dimostrare l'assunzione di responsabilità verso la protezione delle informazioni sensibili proprie e del cliente;
• munirsi di uno strumento efficace nel garantire la conformità ai regolamenti e alle normative in vigore, inclusi gli obblighi legali sulla protezione dei dati;
• anticipare obblighi e aspettative contrattuali nelle proprie relazioni commerciali;
• avere dei ritorni economici, risparmiando sui costi grazie ad una maggiore efficienza dei processi e delle operazioni;
• garantirsi un margine competitivo grazie ad un rilancio d'immagine e all'incremento della fiducia da parte di tutti gli stakeholder.

Che cos'è

La ISO 27001:2005 è uno standard internazionale che ha l'obiettivo di guidare le organizzazioni alla corretta costruzione di un Sistema di Gestione della Sicurezza delle Informazioni.

Le informazioni custodite con mezzi informatici rappresentano ormai oltre il 60% del capitale intellettuale aziendale. Sono pertanto un patrimonio aziendale  la cui gestione diventa strategica per la tutela e lo sviluppo aziendale. Si tratta di garantire:

• Riservatezza
• Disponibilità
• Integrità

Tra i sistemi di gestione, è lo standard che più incide nel miglioramento delle prestazioni, in quanto consente di dare continuità, sicurezza e fluidità a tutti gli altri sistemi gestionali. Inoltre, poiché lo standard richiede la conformità con le norme cogenti in materia di privacy e di information security, verrà sempre più richiesto per la partecipazione a bandi di gara.

In ottica di Basilea 2 conformarsi alla ISO 27001 può significare:

• orientarsi in un ambiente in costante evoluzione, in cui si moltiplicano nuovi prodotti sempre più complessi, aumentano le transazioni di e-banking e sono necessari sistemi integrati a livello globale;
• scegliere di dimostrare la propria capacità di misurare, monitorare, quantificare e ridurre autonomamente il rischio operativo piuttosto che decidere di mettere da parte una notevole riserva di capitale;
• realizzare il maggior vantaggio competitivo.

Lo standard

La ISO 27001:05 è il documento normativo al quale un'organizzazione che intenda certificarsi deve far riferimento.
La ISO/IEC 17799:1 invece fornisce delle indicazioni non prescrittive per proteggere il patrimonio informativo di un'azienda. L'integrazione della ISO/IEC 17799:2005 nella serie ISO 27000 sarà discussa e decisa entro la primavera 2007 e se sarà integrata nella serie 27000, diverrà la ISO/IEC 27002.
Con la serie 27000 (altre norme seguiranno alla 27001) si intende normare tutto il settore della sicurezza delle informazioni, della gestione dei rischi, delle problematiche di metrica e misurazione, soprattutto dell’efficacia dei sistemi di sicurezza implementati, delle metodologie di attuazione.

La serie ISO 27000 è così prevista:

• ISO/IEC 27000: Principles and vocabulary
• ISO/IEC 27001: Information security management system - Requirements
• ISO/IEC 27003: ISMS Implementation guidance
• ISO/IEC 27004: Information security management metrics and measurement
• ISO/IEC 27005: ISMS Risk management

Punti chiave

L’impostazione dello standard ISO 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 e il Risk Management:

• approccio per processi;
• politica per la sicurezza;
• identificazione e analisi dei rischi;
• valutazione e trattamento dei rischi;
• riesame e rivalutazione dei rischi;
• modello Plan–Do–Check-Act (PDCA);
• utilizzo di procedure e di strumenti come: audit interni, esterni di stage 1 e stage 2, non conformità, azioni correttive e preventive, sorveglianza e miglioramento continuo.

Infatti, la particolare struttura delle due norme (ISO 27001 e ISO 9001), permette di integrare in un unico sistema di gestione la qualità e la sicurezza, mettendo in condizione la Direzione aziendale di ottimizzare il monitoraggio e il governo di tutti i processi aziendali.