
Aumenta il numero di piccole e medie imprese attaccate dai pirati informatici. Ecco come difendersi con la ISO 27001
Le informazioni e soprattutto i dati personali, dopo l’avvento del GDPR, sono cruciali per il funzionamento e talvolta persino per la sopravvivenza di una piccola o media organizzazione (PMI), pertanto la loro gestione e tutela sono aspetti fondamentali soprattutto quando si tratta di dati critici in termini di proprietà industriale e di tutela degli stakeholders.
È necessario proteggere le informazioni e i dati personali – attraverso un opportuno Sistema di Gestione per la Sicurezza delle Informazioni – da accessi non autorizzati e dal rischio che esse vengano corrotte o rese non disponibili, cosa che avrebbe un impatto negativo su diversi aspetti del business.
Il valore delle informazioni e dei dati gestiti da un’organizzazione richiede un continuo impegno per misurare, controllare e migliorare la sicurezza dei servizi offerti, garantendo il rispetto delle norme e delle direttive per la tutela della riservatezza, integrità e disponibilità delle stesse.
Per garantire la protezione del patrimonio informativo aziendale ogni organizzazione dovrebbe aver definito un proprio Sistema di Gestione per la Sicurezza delle Informazioni, modellato sulla base di uno standard o normativa.
In questo contesto l’elemento centrale è costituito dalla Gestione del Rischio, che permette di analizzare i rischi tramite la loro identificazione, stima e misurazione, di individuare le vulnerabilità che potrebbero compromettere la Riservatezza, l’Integrità e la Disponibilità delle informazioni, di definire le contromisure per contrastare le minacce ed infine di pianificare gli interventi da attuare per la riduzione dei rischi stessi.
Un’attenzione particolare è posta nell’adozione di misure organizzative che rendano efficaci gli interventi tecnici nella strutturazione dei processi di lavoro, nell’individuazione di soluzioni tecnologiche innovative, nella formazione e nella sensibilizzazione del personale in merito ai problemi della sicurezza.
L’attuazione di un Sistema di Gestione per la Sicurezza delle Informazioni porta alla definizione di ruoli, di responsabilità e di regole specifiche della sicurezza, di attività di pianificazione e realizzazione di politiche e procedure, nonché alla verifica dei processi attuati secondo quanto previsto dal modello indicato dallo standard.
Cos’è un sistema di gestione della sicurezza delle informazioni
Il Sistema di Gestione per la Sicurezza delle informazioni è regolato dalle norme della famiglia ISO 27000 e nasce allo scopo di custodire e proteggere l’insieme di informazioni di una organizzazione.
Il Sistema di Gestione per la Sicurezza dell’informazione è dunque fondamentale per proteggere le informazioni ed i dati ed evitare possibili violazioni e divulgazioni di notizie private.
Un’organizzazione, sia essa di ridotte, medie o grandi dimensioni, dovrebbe dunque tenere in particolare considerazione la sicurezza del proprio protocollo comunicativo attraverso sistemi di gestione per la sicurezza delle informazioni validi, efficaci ed efficienti sia nel confronto dell’interno che dall’esterno.
Pertanto un Sistema di Gestione è necessario per monitorare il flusso delle informazioni, per proteggerle e controllarle in qualunque momento anche dal punto di vista degli accessi alla rete. Essi possono quindi essere fondamentali anche per migliorare e accrescere l’efficienza della propria azienda.
Non è necessario essere una organizzazione medio/grande per applicare i requisiti di un Sistema di Gestione per la Sicurezza delle Informazioni, anche una piccola organizzazione può approcciare a questa modalità in quanto si può ottenere una maggior considerazione e credibilità da parte degli stakeholder sulla operatività.
Un Sistema di Gestione per la Sicurezza delle Informazioni è applicabile ad aziende di qualsiasi dimensione, in qualsiasi settore di attività o parte del mondo.
In particolar modo, nei casi in cui la protezione delle informazioni è critica (ad esempio: nei settori finanziario, pubblico e IT), è altresì particolarmente efficace per le aziende che gestiscono informazioni per conto terzi, come le società di outsourcing del settore IT, e può essere utilizzato come garanzia di protezione per le informazioni affidate loro dai propri clienti.
Sinteticamente i contenuti della norma ISO/IEC 27001, espandendone i punti principali, si possono riassumere:
- Il contesto dell’organizzazione – Capire l’organizzazione ed il suo contesto – Comprendere le necessità e le aspettative delle parti interessate – Determinare il campo di applicazione del sistema di gestione per la sicurezza delle informazioni – Sistema di gestione per la sicurezza delle informazioni.
- Guida e direzione (Leadership) – Guida, direzione e impegno – Politica – Ruoli, responsabilità e poteri dell’organizzazione.
- Pianificazione – Azioni per fronteggiare rischi e opportunità – Valutazione del rischio relativo alla sicurezza delle informazioni – Trattamento del rischio relativo alla sicurezza delle informazioni – Obiettivi per la sicurezza delle informazioni e piani per conseguirli.
- Supporto – Risorse – Competenze – Consapevolezza – Comunicazione – Informazioni documentate – Creazione e aggiornamento – Controllo delle informazioni documentate.
- Operatività – Pianificazione e controllo operativo – Valutazione del rischio relativo alla sicurezza delle informazioni – Trattamento del rischio relativo alla sicurezza delle informazioni.
- Valutazione delle prestazioni – Monitoraggio, misurazione, analisi e valutazione – Audit interni – Riesame della Direzione.
- Miglioramento – Non conformità ed azioni correttive – Miglioramento continuo.
- Annex A – Riferimenti alla ISO/IEC 27002.
Nel mondo attuale, guidato dalle nuove tecnologie, la protezione delle informazioni e i dati dell’organizzazione e dei clienti costituiscono un punto critico.
Implementando un Sistema di Gestione per la Sicurezza delle Informazioni e ottenendo la certificazione secondo la ISO/IEC 27001, si avrà la garanzia di avere in atto processi e controlli per proteggere il patrimonio di informazioni e per gestire le minacce di attacchi informatici in grado di compromettere il sistema informatico aziendale.
L’applicazione della ISO/IEC 27001 nelle PMI
Complessivamente, grandi o piccole, tutte le organizzazioni che implementano la norma ISO/IEC 27001 nella propria organizzazione affrontano sfide, ma ciò che è fondamentale è il modo in cui queste vengono superate. L’importante è garantire che tutto il personale capisca l’importanza della norma e sia d’accordo con le attività di attuazione.
Ciò assicurerà che il resto dell’implementazione funzioni molto più agevolmente e, nel tempo, dia anche risultati tangibili di efficacia.
Con migliaia di organizzazioni certificate secondo ISO/IEC 27001 e centinaia di altre che lavorano secondo i principi, le organizzazioni riconoscono i vantaggi dell’implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni: dall’aiutare a mantenere la conformità legale e normativa, a dimostrare credibilità e fiducia nei confronti dei clienti, a ridurre la probabilità di una violazione della sicurezza. Parliamo, quindi, di vantaggi evidenti.
Per le piccole e medie imprese che hanno maggiori probabilità di gestire internamente i propri processi di Sicurezza delle Informazioni, ottenere la corretta implementazione ISO/IEC 27001 è della massima importanza per tutti gli stakeholder e, ovviamente, per i propri clienti. Uno dei problemi che di solito si incontra durante il processo di implementazione, è quello di avere o assumere il personale giusto per realizzare, produrre, controllare e gestire le informazioni. E ancora: interpretare correttamente i requisiti della norma.
A differenza di un’organizzazione più ampia, in cui di solito è presente un intero team dedicato alla gestione della sicurezza delle informazioni, nelle PMI l’approccio – come una delle prime fasi di attuazione – consiste nel formare un comitato per la Sicurezza delle Informazioni costituito da dipendenti dell’azienda dove, comunque, ogni membro del comitato di solito ha altre priorità e responsabilità.
Sarà questo personale ad avere la responsabilità del successo del progetto e dell’intero Sistema di Gestione per la Sicurezza delle Informazioni: i dipendenti vengono selezionati da varie aree dell’azienda e la responsabilità viene delegata insieme ai loro ruoli di lavoro principali.
La chiave per superare questa sfida è garantire che il top management instilli l’importanza e la criticità del sistema e dei suoi processi nell’organizzazione. Il Sistema di Gestione per la Sicurezza delle Informazioni non è sicuramente solo un componente aggiuntivo. Ciò garantisce che i membri dello staff inizino a considerare la Sicurezza delle Informazioni altrettanto significativa quanto i loro ruoli quotidiani. Questo può essere fatto in diversi modi:
- includere chiaramente le responsabilità in materia di Sicurezza delle Informazioni nelle descrizioni dei lavori dei dipendenti;
- stabilire obiettivi misurabili di Sicurezza delle Informazioni con responsabilità e scadenze definite;
- assegnare un rappresentante della Sicurezza delle Informazioni all’interno di ogni funzione dell’azienda.
Poi c’è spesso un malinteso all’interno delle PMI, secondo cui la Sicurezza delle Informazioni non le riguarda alla stessa stregua delle grandi aziende, tuttavia, secondo le varie ricerche pubblicate periodicamente (vedi anche il rapporto annuale del Clusit), il 59% delle PMI è stato vittima di un attacco informatico.
Quindi siamo ad oltre metà delle PMI e, se si crede alle statistiche, molte organizzazioni non segnalano gli attacchi, il che significa che questa cifra potrebbe essere ancora più alta.
Pertanto il rischio che una piccola/media organizzazione abbia una violazione della Sicurezza delle Informazioni è alto.
La chiave per affrontare questo rischio è ottenere il coinvolgimento dei dipendenti in tutta l’organizzazione e garantire che i processi di protezione della Sicurezza delle Informazioni siano presi sul serio.
A tal fine è importante:
- predisporre sessioni di formazione e sensibilizzazione con il personale,
- effettuare una finta violazione della sicurezza e delineare gli impatti che avrebbe avuto,
- valutare i rischi ed attuare le misure conseguenti.
Implementare la ISO/IEC 27001 vuol dire anche pianificare bene le attività al fine di conoscere esattamente quanto tempo occuperà l’adozione del Sistema di Gestione per la Sicurezza delle Informazioni.
Anche questo aspetto, così come il coinvolgimento del personale dell’organizzazione, è fondamentale per le seguenti motivazioni:
- il tempo che potrebbe essere impegnato per risolvere gli incidenti di sicurezza, può essere usato per implementare misure proattive;
- coinvolgendo i dipendenti nello sviluppo delle nuove misure, si concorda un carico di lavoro gestibile: le persone sono più motivate al cambiamento se sono coinvolte nel processo di sviluppo;
- spiegare i costi e persino i rischi della chiusura dell’azienda a causa di violazioni della Sicurezza delle Informazioni.
Conclusioni
Nello scenario attuale, mentre le PMI cercano di diventare interconnesse, gli hacker di alto profilo attaccano le grandi aziende attirando così l’attenzione dei media. Quella descritta è solo una parte dello scenario, l’altra è che le piccole imprese, in particolare quelle che non dispongono di politiche adeguate per proteggersi, stanno diventando sempre più obiettivo dei pirati informatici.
Lo standard ISO/IEC 27001 aiuta la protezione delle risorse e la conformità normativa offrendo alle organizzazioni di qualsiasi dimensione, e quindi anche alle PMI, una struttura per l’implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni più proattivo.
Utilizzare la norma ISO/IEC 27001 protegge la proprietà intellettuale e i dati personali, riduce al minimo i tempi di fermo e le perdite in caso di incidente, inoltre implementa un sistema di miglioramento continuo per la gestione dei rischi futuri.
Qualunque sia il settore in cui si opera, se l’organizzazione ha 1 dipendente o 100, la conformità con la norma ISO/IEC 27001, ed eventualmente con le altre norme di best practice della stessa famiglia, aiuta a distinguersi dai competitor, a controllare i costi e a godere di una serie di altri importanti vantaggi tra i quali essere pronti a mitigare eventuali eventi e/o incidenti di Sicurezza delle Informazioni.