Normativa ISO/IEC 27001: lo standard internazionale per la sicurezza delle informazioni
Cosa troverai in questo articolo:
La diffusione
Questa normativa ed il relativo schema di gestione, nel primo decennio degli anni 2000, è stato oggetto di interesse solo da parte di organizzazioni che gestivano grosse moli di dati come i grandi CED. Eppure negli ultimi anni, soprattutto a causa dell’ormai iperbolica diffusione della tecnologia, l’avvento del regolamento generale sulla protezione dei dati (GDPR) e l’incubo dei “data breach”, questo schema si è rivelato un interessante strumento di prevenzione e difesa dai rischi informatici non solo nel settore ICT, ma in tutti i settori merceologici. I clienti finali, che siano società o consumatori, vogliono dalle organizzazioni produttrici e erogatrici di servizi garanzie sulla protezione dei loro dati ed informazioni. Queste possono essere assicurate soprattutto dall’ottenimento della certificazione ISO/IEC 27001, integrata ad una politica di investimento e protezione continua degli asset aziendali.
La realtà di oggi
Le aziende oggi hanno a disposizione strumenti software e hardware all’avanguardia per prevenire gli attacchi informatici, spesso però mancano delle regole guida all’interno delle stesse, così come i controlli o eventuali contromisure programmate nel caso di perdite di dati, sia per attacchi hacker o danni causati in modo doloso o inconsapevole da parte del personale interno. Non a caso nel novembre 2018 l’Italia è stata oggetto di uno dei più grandi attacchi di massa nella storia del nostro paese: quasi tremila soggetti pubblici e privati sono stati vittime di un attacco che ha violato circa 500 mila caselle di PEC, causando l’interruzione di vari servizi IT e il blocco degli uffici giudiziari.
Un percorso verso la responsabilità
Il regolamento generale sulla protezione dei dati dell’UE (GDPR), entrato in vigore il 25 maggio 2018, rappresenta un punto di svolta rispetto a come le aziende europee hanno finora archiviato, processato e trasferito i dati personali. Le sanzioni per chi non si adegua o infrange le nuove regole arrivano fino al 4% del fatturato annuo complessivo o fino a 20 milioni di euro. Diverse autorità di vigilanza hanno già evidenziato lo standard ISO 27001 come un modello di buona prassi per conformarsi al GDPR. Un Top Management, tramite l’uso di strumenti all’avanguardia quali i sistemi integrati di gestione, monitoraggio e controllo e con politiche per le procedure tarate sulla realtà aziendale, avrà gettato le basi per rispettare il sopracitato regolamento, ma anche per un progetto molto più ambizioso: iniziare il percorso per ottenere la certificazione ISO/IEC 27001:2013.