Consulenza Sicurezza delle Informazioni ISO/IEC 27001 – SGSI

Consulenza Sicurezza delle Informazioni ISO/IEC 27001 – SGSI

Il nostro studio offre servizi di Consulenza Sicurezza delle informazioni ISO/IEC 27001: se la vostra organizzazione ha intenzione di allinearsi allo standard ISO/IEC 27001, possiamo offrirvi attività di consulenza sul Sistema di Gestione sulla Sicurezza delle Informazioni che vi permetterà di applicare i requisiti fondamentali dello Standard ISO/IEC 27001 alla vostra azienda.

E’ anche possibile allineare la vostra organizzazione agli standard ISO/IEC 27001 senza necessariamente ottenere la certificazione di terze parti.

Lo standard ISO 27001 fornisce un quadro per un sistema di gestione della sicurezza delle informazioni (ISMS) che consente la riservatezza, l’integrità e la disponibilità continue delle informazioni nonché la conformità legale.

Molte organizzazioni in tutto il mondo hanno ottenuto la certificazione ISO/IEC 27001, dimostrando che la certificazione è una parte essenziale della protezione degli asset vitali.

Sistema di Gestione della Sicurezza delle Informazioni ISO/IEC 27001: 5 vantaggi competitivi

1. Incrementare il volume di affari e mantenere i clienti attuali

Disporre di un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 non solo permette di dimostrare che si sta seguendo le best practice di sicurezza, migliorando i rapporti lavorativi e mantenendo i clienti attuali, ma offre anche un vantaggio di marketing sulla concorrenza.

2. Migliorare e proteggere la reputazione della azienda

Con l’incremento costante degli attacchi informatici i danni finanziari e di immagine causati da una scarsa sicurezza delle informazioni possono essere fatali.

L’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 aiuta a proteggere l’azienda da tali minacce e dimostra che si è adottato le misure necessarie per proteggere la propria organizzazione.

3. Rendere più efficiente la struttura organizzativa

Quando un’azienda cresce rapidamente, il rischio sulla confusione dei ruoli e delle responsabilità di protezione dei dati aumenta di pari passo.

L’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 aiuta le organizzazioni a diventare più produttive, definendo chiaramente le responsabilità dei rischi delle informazioni e dei ruoli.

Con un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 si rende vana la necessità di frequenti controlli, o audit, da parte dei clienti, riducendo così il numero delle giornate dedicate allo svolgimento di essi.

4. Integrazione delle normative vigenti:

Un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati, affinchè questi possano contribuire a proteggere le informazioni in linea con il Regolamento Generale sulla Protezione dei Dati (GDPR), con la Direttiva NIS e le altre normative sulla sicurezza delle informazioni.

5. Abbattere il rischio di incorrere in sanzioni e perdite associate ai Data Breach

Un Data Breach costa all’azienda che lo subisce mediamente quasi 4 milioni di dollari in costi.

Un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 consente alle organizzazioni di abbattere in modo consistente le perdite potenzialmente devastanti causate da un Data Breach o più in generale da una violazioni dei dati.

Sistema di Gestione della Sicurezza delle Informazioni e lo standard ISO/IEC 27001

Lo standard ISO/IEC 27001 specifica formalmente un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), una serie di attività riguardanti la gestione dei rischi di informazione (chiamati “rischi di sicurezza delle informazioni” nella norma).

L’SGSI è un quadro di gestione generale attraverso il quale l’organizzazione identifica, analizza e affronta i suoi rischi informativi.

Implementare un Sistema di Gestione della Sicurezza delle Informazioni garantisce che le disposizioni in materia di sicurezza siano messe a punto per tenere il passo con i cambiamenti normativi, alle minacce alla sicurezza, alle vulnerabilità e agli impatti aziendali, un aspetto molto importante in un campo così dinamico che rappresenta un vantaggio chiave dell’approccio flessibile basato sul rischio.

Lo Standard Internazionale ISO/IEC 27001 copre tutti i tipi di organizzazioni (imprese commerciali, agenzie governative, organizzazioni non profit…), di tutte le dimensioni (dalle PMI alle grandi multinazionali) e di tutti i settori (vendita al dettaglio, banche, difesa, sanità, istruzione e governo…).

La Norma ISO/IEC 27001 non contiene controlli specifici sulla sicurezza delle informazioni in quanto i controlli necessari variano notevolmente in tutta la vasta gamma di organizzazioni che adottano lo standard.

I controlli di sicurezza delle informazioni della ISO/IEC 27002 sono indicati nell’annex A della ISO/IEC 27001.

Le organizzazioni che adottano ISO/IEC 27001 sono libere di scegliere qualunque specifico controllo di sicurezza delle informazioni sia applicabile ai loro particolari rischi di informazione, attingendo a quelli elencati nel menù e potenzialmente possono integrarli con altre opzioni disponibili.

Come per ISO/IEC 27002, la chiave per selezionare i controlli applicabili è intraprendere una valutazione globale dei rischi informativi dell’organizzazione, che è una parte vitale dell’SGSI.

Inoltre, la direzione può scegliere di evitare, condividere o accettare i rischi relativi alle informazioni anziché mitigarli attraverso i controlli, una decisione di trattamento dei rischi nell’ambito del processo di gestione dei rischi.

Realizzazione del Sistema di Gestione per la Sicurezza delle Informazioni

L’attività di consulenza Sicurezza delle Informazioni sarà svolta secondo i seguenti punti:

1. Definizione del contesto dell’organizzazione in accordo con Gestione del rischio UNI ISO 31000 Principi e linee guida;
2. Definizione dello scopo e del campo di applicazione per la certificazione ISO/IEC 27001;
3. Valutazione e gestione dei rischi;
4. Dichiarazione di Applicabilità (Statement of Applicability SOA) come da appendice A della norma ISO/IEC 27001 che prevede 93 controlli suddivisi in 4 categorie:
   • controlli organizzativi (37): se riguardano l’organizzazione, come le politiche per le informazioni, la restituzione delle risorse, la sicurezza delle informazioni per l’utilizzo dei servizi cloud.
   • controlli sul personale (8): se riguardano singole persone, come il lavoro a distanza, lo screening, la riservatezza o gli accordi di non divulgazione.
   • controlli fisici (14): se riguardano oggetti fisici, come supporti di memorizzazione, manutenzione delle apparecchiature, monitoraggio della sicurezza fisica o protezione di uffici, stanze e strutture.
   • controlli tecnologici (34): se riguardano la tecnologia, come l’autenticazione sicura, la cancellazione delle informazioni, la prevenzione della perdita di dati o lo sviluppo in outsourcing.
5. Stesura del Piano del Trattamento del Rischio (PTR);
6. Politica di Sicurezza Informatica;
7. Le lettere di nomina;
8. Elenco apparecchiature hardware e software e relative licenze di utilizzo;
9. Integrazione di un eventuale Manuale Qualità con gli aspetti della ISO/IEC 27001 (SGI);
10. Integrazione delle eventuali Procedure Qualità con gli aspetti della 27001 (SGI);
11. Procedure di backup, ripristino dati, disaster recovery;
12. Procedure di Business Continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell’Amministratore del Sistema.