Il finanziamento per la realizzazione di un sistema di gestione della sicurezza delle informazioni nelle aziende, trova opposizioni legate al costo e ai benefici ottenibili, in ultimo al contributo alla redditività dell’azienda. Ciò significa che la decisione di autorizzare tale finanziamento si basa sull’equilibrio tra investimento e beneficio o, nella lingua del management, ROI (ritorno sull’investimento). Lo standard ISO 27001 è uno standard per sistema di gestione della sicurezza delle informazioni, riconosciuto a livello internazionale in tutto il mondo
I vantaggi di un sistema di gestione della sicurezza delle informazioni, in particolare la realizzazione dello standard ISO 27001, sono numerosi; il primo da considerare è la riduzione dei costi. La sicurezza delle informazioni è generalmente considerata come un costo senza evidenti guadagni finanziari. Tuttavia, vi è un guadagno finanziario se si riducono le spese causate da danneggiamenti: interruzioni nel servizio, perdite occasionali di dati.
Lo standard ISO 27001 fornisce la metodologia alle aziende per scoprire quali potenziali rischi possano accadere loro, e quindi definire le procedure per evitare che tali rischi possano trasformarsi in danni.
Da tale punto di vista, qualsiasi organizzazione indipendentemente dal fatto che sia a scopo di lucro o no profit, piccole imprese o società, enti pubblici o privati, può beneficiare dell’implementazione dello standard ISO 27001.
Lo standard ISO 27001 richiede che la valutazione del rischio sia eseguita su tutte le risorse dell’organizzazione, inclusi hardware, software, documentazione, persone, fornitori, partner ecc, e che sia necessario scegliere i controlli applicabili per ridurre tali rischi.
La realizzazione di un sistema di gestione della sicurezza delle informazioni dovrebbe essere visto, perciò, come un progetto a livello aziendale, in cui dovrebbero prendere parte persone rilevanti di tutte le unità aziendali: top management, personale IT, esperti legali, responsabili delle risorse umane, personale di sicurezza fisica, il lato aziendale dell’organizzazione ecc.
Un ulteriore vantaggio garantito da un sistema di gestione della sicurezza delle informazioni è relativo alla struttura organizzativa aziendale.
Un’azienda che è cresciuta rapidamente negli ultimi anni, potrebbe riscontrare problemi come: chi deve decidere cosa, chi è responsabile di determinate risorse informative, chi deve autorizzare l’accesso a sistemi di informazione ecc.
Molte aziende non IT sono interessate allo standard ISO 27001 perché l’IT non è l’elemento chiave nella protezione delle informazioni. Nella maggior parte dei casi, le aziende dispongono già di tutta la tecnologia, ad esempio firewall, antivirus, backup, ecc. Tuttavia, hanno ancora violazioni dei dati perché questa tecnologia non è sufficiente.
Lo standard ISO 27001 è particolarmente efficace nel risolvere questi aspetti: permette di definire con precisione sia le responsabilità che i doveri, e quindi permette di rafforzare l’organizzazione interna.
A tal fine Lo standard ISO 27001 elenca i controlli nel suo Allegato A: controlli relativi IT, controlli relativi all’organizzazione/documentazione, controlli di sicurezza fisica, protezione legale, controlli relativi al rapporto con fornitori e acquirenti, controlli di gestione delle risorse umane.
Un terzo vantaggio permesso da un sistema di gestione delle informazioni è nell’ambito della conformità. Se un’organizzazione deve conformarsi a varie normative in materia di protezione dei dati, privacy e governance IT, lo standard ISO 27001 può introdurre la metodologia che consente di farlo nel modo più efficiente.
Lo standard ISO 27001 può essere ampliato approfondendone le raccomandazioni attraverso gli standard ISO 27004 (Information security management — Monitoring, measurement, analysis and evaluation), ISO 27005 (Information security risk management) ISO 27031(Guidelines for information and communication technology readiness for business continuity), ISO27035(Information security incident management) ISO27036(Information security for supplier relationships).
Estendendone, altresì, le indicazioni attraverso gli standard ISO 27017(Code of practice for information security controls based on ISO/IEC 27002 for cloud services) ISO 27018(Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors) solo per citarne alcuni.
Il nuovo regolamento europeo GDPR introduce un insieme di regole che impongono alle organizzazioni il requisito di attuare controlli per proteggere i dati personali. La realizzazione dello standard ISO 27001 aiuta le organizzazioni a rispondere a questo requisito.
Secondo il regolamento GDPR, i dati personali sono informazioni critiche che tutte le organizzazioni devono proteggere. Naturalmente, ci sono alcuni requisiti GDPR che non sono direttamente coperti dallo standard ISO 27001, come il supporto ai diritti degli interessati: il diritto all’informazione, il diritto alla cancellazione dei dati e la portabilità dei dati.
Tuttavia, se la realizzazione dello standard ISO 27001 (con impiego di estensioni precedentemente indicate) identifica i dati personali come un asset per la sicurezza delle informazioni, la maggior parte dei requisiti del regolamento GDPR potrà essere soddisfatta.
In conclusione, quasi tutte le società che operano a livello internazionale dovranno conformarsi al regolamento GDPR. Lo standard ISO 27001 rappresenta l’opzione migliore per facilitare la conformità immediata al GDPR. Oltre ai controlli tecnici adottati, alla documentazione strutturata, al monitoraggio e al miglioramento continuo, la realizzazione dello standard ISO 27001 promuove una cultura e consapevolezza della sicurezza nelle organizzazioni.
