" " Standard ISO/IEC 27001: tutto quello che c'è da sapere - DiliTrust

Standard ISO/IEC 27001: tutto quello che c’è da sapere

La sicurezza delle informazioni e dei dati altamente confidenziali dei clienti è la priorità n. 1  per DiliTrust Data Room: per questo è certificata ISO 27001. Ma cosa copre esattamente questo standard?

STANDARD ISO/IEC 27001: Tutto quello che c’è da sapere

La norma ISO/IEC 27001 è stata creata per la prima volta nell’ottobre 2005 per poi essere rivista nel 2013. È lo standard di sicurezza più riconosciuto a livello internazionale e riguarda tutti i tipi di organizzazioni. Ha sostituito lo standard BS 7799-2 del gruppo British Standards Institution (BSI), che aveva riunito un gruppo di enti dedicati alla standardizzazione, alla certificazione, alla formazione e al controllo della conformità.

Quello che è più importante capire della ISO/IEC 27001 è che considera la sicurezza dei dati in relazione al rischio. In questo senso definisce i requisiti per l’implementazione di un sistema di gestione della sicurezza delle informazioni (SGSI) o ISMS dall’inglese Information Security Management System. Il suo obiettivo è quello di proteggere i dati e le informazioni da perdita, furto o alterazione. Inoltre protegge i sistemi informatici dall’hacking o da disastri. Per questo l’ISO/IEC 27001 è diventato una garanzia di fiducia ed è un importante asset di differenziazione per le aziende che hanno la sua certificazione. È questo il caso di DiliTrust Data Room.

ISO/IEC 27001: FUNZIONAMENTO

Il sistema di gestione della sicurezza dell’informazione o ISMS definisce un framework globale, a livello non solo tecnico ma anche organizzativo, che riunisce i sistemi informativi, i processi e le figure chiave coinvolte nelle misure di protezione. Ogni rischio identificato si basa su un rapporto che tiene conto della probabilità che si verifichi e del suo impatto qualora si verificasse. Questo consente al management aziendale di scegliere le misure appropriate per ridurre, prevenire, condividere e accettare il rischio. A questo fa riferimento uno specifico documento obbligatorio: la dichiarazione di applicabilità, che finalizza il Piano di Trattamento dei Rischi.

CERTIFICAZIONE ISO 27001: PROCESSI E SVILUPPI COSTANTI

La certificazione ISO 27001 ha una durata triennale. Durante questo periodo, viene condotto un audit iniziale da enti indipendenti accreditati e a seguire due audit di sorveglianza; alla scadenza del triennio si tengono gli audit di rinnovo. Gli enti indipendenti sono certificati ISO 27006 e il loro ruolo è quello di assicurare che le deviazioni o le non conformità siano correttamente gestite. Ma anche il progresso delle attività pianificate e la sostenibilità a lungo termine dell’ISMS.

In altre parole, un’azienda che desidera ottenere la certificazione ha un forte interesse ad attuare un monitoraggio accurato e continuo, non solo dei rischi ma anche delle misure di sicurezza selezionate. Questa prospettiva implica un processo di miglioramento continuo della sicurezza per alzarne il livello e aumentare il controllo dei rischi. Ciò implica anche la riduzione del ricorso a misure identificate come secondarie.

I BENEFICI DELLA CERTIFICAZIONE ISO 27001

I Clienti affidano a DiliTrust Data Room informazioni strategiche e questo richiede un elevatissimo livello di sicurezza. Ecco perché DiliTrust Data Room è certificata ISO 27001: il suo ISMS soddisfa i requisiti tecnici e i requisiti di gestione, aggiornamento e miglioramento continuo.

La sicurezza include la crittografia dei dati, sia in movimento che a riposo, l’utilizzo di un HSM, audit periodici, una politica di sicurezza forte ed esigente, ma anche audit di sicurezza interna, revisioni del codice e test sistematici prima che ogni nuova funzionalità venga rilasciata in produzione, test di intrusione automatizzati e giornalieri. I server di DiliTrust Data Room sono inoltre controllati una o due volte all’anno da un’organizzazione esterna per la sicurezza informatica. Dal lato del cliente, ogni utente è identificato da un nome utente e una password forti. La crittografia dei dati è sistematica e viene eseguita utilizzando il protocollo TLS con i più alti livelli di crittografia (a 256 bit).