ISO 27001.
Ottima occasione per un check up alla sicurezza aziendale

Lo sviluppo tecnologico degli ultimi 20 anni e la recente entrata in vigore del nuovo regolamento generale europeo sulla protezione dei dati o GDPR, hanno costretto le imprese, italiane incluse, a una presa di coscienza del livello di sicurezza dei propri processi produttivi e delle modalità di raccolta, gestione e archiviazione dell’ingente quantità di dati che esse custodiscono e utilizzano.
Se per le grandissime e per le grandi imprese i momenti di controllo, verifica, adeguamento e certificazione sono prassi consolidate, entrate ormai a far parte della cultura aziendale, non si può dire lo stesso per le piccole e medie imprese che - come è noto - formano la maggior parte del tessuto produttivo del nostro Paese.
Di recente, però, anche le PMI sembrano aver realizzato l’importanza di verificare la tenuta delle proprie misure di sicurezza, anche solo per non incorrere nelle sanzioni previste in caso di fuga o perdita di dati; le multe infatti, possono raggiungere il 4% del fatturato totale mondiale di un’organizzazione o, in alternativa, fino a 20 milioni di euro.
Tuttavia, ad allarmare le imprese non dovrebbero essere solamente le sanzioni previste, ma parimenti il rischio concreto che i propri processi produttivi possano subire delle interruzioni a causa di intrusioni o sabotaggi.
Secondo i dati raccolti ne “The Black Report 2018” ad hacker professionisti sono sufficienti in media 15 ore per violare il sistema del proprio bersaglio, individuare le informazioni sensibili e trafugarle; nell’88% dei casi la tecnica usata per ottenere informazioni sul proprio obiettivo è quella del “social engineering” (come ad esempio il phishing), mentre l’80% delle volte vengono utilizzati tool gratuiti e di facile reperimento. Nel 100% dei casi, poi, una volta che il sistema è stato violato, la maggior parte dei dati sensibili è persa per sempre.

Ma accertata l’alta probabilità che un’impresa possa subire attacchi informatici che ne danneggerebbero fortemente l’attività e realizzato il fatto che si potrebbe incorrere in salatissime sanzioni che graverebbero sul bilancio, da dove partire per tutelare e mettere in regola un’impresa?
Un buon punto di partenza è la certificazione ISO 27001:2013 che verifica e attesta il “Sistema di gestione per la Sicurezza delle Informazioni”. Diversamente da quanto si crede, il processo che porta all’ottenimento di una certificazione non è solamente un dovere o uno strumento per dimostrare che “si è in regola” e al riparo da possibili data breach, ma un’opportunità preziosa perché l’intero sistema produttivo di un’impresa venga sottoposto a un check-up completo. Del resto oggi quale parte di un processo produttivo e aziendale non è inserito all’interno di un’infrastruttura tecnologica? 
Tornando alla certificazione ISO 27001 questa, tra le altre cose, valuta e verifica modalità e qualità di aspetti quali la gestione della Security Policy, l’uso degli asset, le procedure di trattamento e di scambio delle informazioni, la gestione delle procedure operative, gli iter di installazione di software in sistemi operativi passando anche attraverso la redazione e gestione dei piani di continuità aziendale, la gestione dei backup, la Disaster Recovery e l’Information Security sui media non elettronici.  Ad un primo sguardo è evidente come, processi simili siano trasversali e propri della maggior parte delle aziende, non solo di quelle che si occupano di Information Technology.
Un’altra ragione valida per mettere ordine in un’impresa partendo da questa certificazione, è che tra la ISO 27001 e il temuto GDPR vi sono molti punti di contatto. Quindi, soddisfare gli standard per ottenere la certificazione ISO 27001 significa anche adempiere a una buona parte (circa il 70%) dei requisiti previsti dal regolamento europeo sulla protezione dei dati. Tra gli aspetti che le due pratiche hanno in comune vi sono:  

• la valutazione del rischio e la classificazione delle informazioni; in entrambi i casi è necessario analizzare i rischi per la propria privacy e avere gli strumenti per classificare (in termini legali, di valore e di sensibilità alla divulgazione) le informazioni che vengono trattate
• la capacità di notificare tempestivamente i data breach (vi è l’obbligo delle 72 ore dalla scoperta della falla)
• la corretta gestione degli asset, delle risorse e dei rapporti con i fornitori (sempre in materia di protezione dei dati personali)
• la dimostrazione di conformità dei requisiti legislativi, statutari, normativi e contrattuali pertinenti.
 
La certificazione poi, può essere iscritta in un processo di simulazione, analisi, prevenzione e identificazione di un piano d’emergenza volto a garantire la continuità operativa (o business continuity) anche nelle condizioni più avverse, riducendo rallentamenti, fermo macchine e gli impatti diretti sui propri clienti.
 
In ultima analisi scegliere di certificarsi ISO 27001 può portare almeno tre vantaggi:

1. mettere in luce i propri punti critici e trovare le soluzioni più adeguate per risolverli, intervenendo ove necessario, anche sulle strutture fisiche
2. tutelarsi preventivamente in caso di eventuali intrusioni dimostrando di avere fatto tutto il possibile per evitarle
3. dare prova tangibile ai propri clienti - e ai propri fornitori - di essere un partner affidabile, aggiornato e sicuro con il quale collaborare.

Un’ulteriore prova che un approccio emergenziale - ovvero “mi occupo di un problema quando questo si verifica” - è sempre meno conveniente.