News
Bureau Veritas in Italia: il 2025 oltre il tetto dei 280 milioni
Maurizio Genna, ICT Product Manager della Service Line Certificazione di Bureau Veritas Italia, ha approfondito, insieme a Servizi a Rete, i passaggi, gli obblighi e le competenze necessarie per ottenere un sistema digitalizzato ed anche sicuro grazie alla certificazione ISO 27001.
Come è cambiato il mondo della sicurezza informatica?
Negli ultimi 15 anni si è assistito ad una profonda trasformazione del mondo della sicurezza informatica per la digitalizzazione delle informazioni e per la conseguente necessità di proteggere la trasmissione dei dati dalle Organizzazioni verso esterno e viceversa con adeguati strumenti di governance/organizzativi (regole-procedure) o di tipo logico-applicativo (tool gestione asset e informazioni, endpoint security...).
-
Perché nasce l’esigenza della certificazione ISO 27001?
La ISO/IEC 27001 (ultima versione 2022) è lo strumento di governance per eccellenza in ambito sicurezza delle informazioni.
È la norma tecnica di riferimento per l’elaborazione delle Linee Guida/Standard che trattano in tutto o in parte questa tematica e per la definizione di contenuti tecnici di Direttive e Regolamenti (NIS1-2 – GDPR). Le organizzazioni, per contrastare al meglio minacce esterne e potenziali vulnerabilità, devono agire in modo organizzato e coordinato, darsi delle regole scritte (policy – procedure) e condividerle con tutto il personale attraverso sessioni di formazione, di awareness (consapevolezza) e campagne di phishing per “allenare” i propri dipendenti a riconoscere le minacce esterne e ad essere dei “firewall” umani. -
In che cosa consiste?
La ISO/IEC 27001 è uno standard certificabile con una struttura HLS (High Level Structure) perfettamente integrabile con altri standard certificazione, costituita da una parte di governance/organizzativa e da un Annex A contenente un set consistente di controlli organizzativi e tecnici.
In funzione di questi controlli l’Organizzazione deve definire un ISMS (Sistema di gestione per la sicurezza delle informazioni) costituito da policy, procedure, registrazione e monitoraggi di governance anche di tipo logico, effettuati con tools offerti dal mercato. -
Quali vantaggi offre la Certificazione ISO 27001?
Certificarsi ISO 27001 o applicarne anche solo i requisiti come best practices non rende immune l’organizzazione da potenziali minacce, ma la aiuta a mitigare i rischi e a contenere i danni nel caso di attacchi di hacker andati a buon fine, a permettere che ai propri sistemi critici aziendali con le relative informazioni e i relativi back up abbiano accesso solo persone del contesto aziendale con profili e privilegi
definiti, applicando adeguate protezioni tecniche e segregazioni logiche degli ambienti.
Statisticamente la maggior parte degli incidenti sono causati dal personale interno all’azienda (comunicando involontariamente le proprie credenziali e password a hacker rispondendo a phishing oppure smarrendo PC e smartphone), pertanto la formazione continua a questo è importantissima. Da ultimo il miglioramento continuo (correttivo o preventivo) e gli investimenti in IT sono fondamentali per la “sopravvivenza” dell’azienda agli attacchi esterni. -
Qual è l’iter per l’ottenimento della Certificazione ISO 27001? Quali i requisiti necessari?
L’iter di certificazione ISO 27001 è uguale a quello di qualsiasi altro schema di certificazione (ISO 9001-14001-45001...); l’audit si sviluppa in due momenti: Stage 1 documentale e Stage 2 operativo da remoto/in campo sul perimetro di certificazione richiesto dall’organizzazione in termini di processi/attività/servizi e siti. Un tempo la ISO 27001 (in passato BS 7799) era una certificazione elitaria, per poche grandi e strutturate organizzazioni, oggi qualsiasi azienda, in qualsiasi settore che gestisce informazioni e ha un server, potenzialmente può accedere a questa certificazione; pertanto, certifichiamo realtà aziendali in un range dai 2 dipendenti a migliaia di dipendenti.
FONTE: SERVIZI A RETE
