La ISO 27001 è una norma tecnica della famiglia ISO 27001 che permette la creazione di un framework che sviluppi un sistema di gestione della sicurezza delle informazioni.
Creare un sistema di gestione della sicurezza delle informazioni (per comodità abbreviato SGSI) non è un’azione riassumibile in “acquisto un pacchetto di documenti e sono pronto”, tutt’altro.
Un SGSI è un vero e proprio metodo di lavoro che deve svilupparsi rispondendo a tutti i requisiti espressi nella norma, adattandosi però al proprio metodo lavorativo e ai propri strumenti.
Cosa significa questo?
Significa che ogni organizzazione ha una propria complessità organizzativa, ha un numero totalmente diverso di risorse umane interne o esterne, infrastrutture e strumenti informatici totalmente diversi da altre, software proprietari, informazioni da catalogare, metodi di lavoro indipendenti… e questo non può essere assolutamente precompilato dall’esterno ma deve essere modellato ad hoc sulla realtà esaminata.
L’introduzione di un SGSI basato su ISO 27001 ha molteplici vantaggi quando applicato correttamente: responsabilizza tutti i soggetti rendendoli consci dei propri doveri e delle azioni da intraprendere in caso di incidenti; garantisce ai propri clienti e partner un livello particolarmente elevato di sicurezza nelle informazioni di qualsiasi tipo, siano essere riferite a dati personali o a informazioni di business; permette una gestione dei processi aziendali ottimizzata e implementata con indicatori di riferimento su una serie innumerevole di indici di valutazione; mette a disposizione aziendale una serie di procedure standard e definite che ogni qualsiasi nuova risorsa inserita in azienda può reperire con estrema facilità e trasparenza rendendo la formazione meno stressante; definisce ruoli e responsabilità in capo ad ogni singola fonte di rischio; ultimo ma non ultimo, è uno dei requisiti che molte grandi aziende e PA richiedono in fase di assegnazione incarichi e bandi.
L’introduzione del SGSI prevede tempistiche non immediate: ci sono passi precisi da compiere, primo tra tutti è l’analisi iniziale aziendale per capire cosa può andare e cosa è invece mancante, con la verifica delle eventuali vulnerabilità strutturali e lo sviluppo e integrazione di possibili soluzioni. Questa fase è in genere particolarmente delicata perché tutte le parti attive nell’organizzazione sono chiamate a collaborare ed ha un ruolo fondamentale la Direzione che deve indirizzare tutte le attività mettendo a disposizione le risorse necessarie.
Una volta verificato quello che non è conforme ai requisiti, sarà necessario integrare, anche infrastrutturalmente, tutto quello che può servire. Anche in questo caso i tempi possono subire dilatazioni importanti in organizzazioni molto espanse o quando magari le soluzioni tecniche non sono immediate. È scontato che una PMI con 3 addetti avrà potenzialmente tempi più stretti di implementazione rispetto ad una azienda con 200 dipendenti su 3-4 sedi distinte.
Una volta quindi individuate le aree di intervento, sarà necessario un lavoro di codificazione documentale, inserendo a sistema tutta una serie di documenti che dovranno essere di supporto nell’attività lavorativa conformemente ai requisiti.
Nel momento in cui il SGSI è operativo, bisognerà prevedere tutti quegli strumenti utili alla sua sorveglianza, al miglioramento e alla gestione degli incidenti, anche questi requisiti previsti proprio dalla ISO 27001.
Solo arrivati a questo punto sarà possibile avviare il processo di certificazione per mezzo di uno degli enti di certificazione che si occupano di rilasciare i certificati alle organizzazioni.
La ISO 27001 è una norma che garantisce un sistema di gestione che si migliora nel tempo, che deve essere tenuto sotto controllo e che prevede attività di audit e formazione periodiche, basando tutto il sistema sulla valutazione del rischio, che deve essere rivalutata appena se ne presenti la necessità o ad intervalli regolari, nell’ottica di minimizzare il verificarsi di possibili incidenti e di mitigare eventuali effetti nel caso in cui questi si verifichino.
L’attività di consulenza sulla ISO 27001 si sviluppa pertanto non a pacchetto ma a giornate necessarie per arrivare alla definizione del sistema: come precedentemente definito, possono essere richieste più giornate nei casi di partenza da 0 o possono essere richieste meno giornate nei casi di revisione o di integrazione in aziende con già sistemi di gestione integrati.
I servizi offerti alla clientela sono quelli di implementazione e gestione di tutto il SGSI e quello di auditing attraverso l’utilizzo di personale formato e certificato tramite corsi riconosciuti aicq sicev e dimostrabile con gli attestati rilasciati dagli enti accreditati Accredia.
Per tutte le ulteriori informazioni a riguardo, vi consigliamo di contattarci direttamente in modo da capire tempi, costi e iter da seguire per la vostra realtà.
Synectis srl
P.Iva 06977960480