Se state leggendo questo articolo, è perché siete interessati alla norma ISO/IEC 27001:2013, e noi vi capiamo! Si tratta dello standard internazionale pionieristico per la sicurezza informatica.
La norma ISO/IEC 27001:2013 stabilisce il punto di riferimento per l’ISMS, ovvero il Sistema di Gestione della Sicurezza delle Informazioni. Controllo degli accessi, analisi dei rischi, gestione degli asset, risorse umane, comunicazione… Per ottenere la certificazione, è necessario mettere in pratica tutta una serie di raccomandazioni (114 per l’esattezza) per facilitare la gestione della sicurezza.
I vostri obiettivi? Proteggere la riservatezza, la disponibilità e l’integrità di tutti i dati della vostra organizzazione. Ma come si fa?
L’ISO è una vera e propria avventura. In questo articolo, quindi, vi forniamo una lista di controllo con 9 caselle da spuntare per prepararvi.
La lista di controllo per la preparazione alla ISO/IEC 27001:2013
1) Leggere lo standard
Sembra ovvio, d’accordo. Ma vi assicuriamo che molti non lo fanno, soprattutto se sono accompagnati! Dovrete acquistarlo sul sito ufficiale.
Lo standard è composto da 18 capitoli: 00 – Governance, 01 – Miglioramento continuo, 02 – Audit e controlli, 03 – Cruscotti, 04 – Organizzazione, 05 – Deroghe, 06 – Comunicazione, 07 – Sicurezza delle risorse, 08 – Gestione delle risorse, 09 – Controllo degli accessi, 10 – Crittografia, 11 – Sicurezza fisica, 12 – Operazioni, 13 – Sicurezza delle reti, 14 – Sicurezza fisica, 15 – Gestione dei fornitori, 16 – Gestione degli incidenti, 17 – Gestione della continuità e delle crisi.
2) Entrare in contatto con persone che hanno già intrapreso questa avventura
Non esitate a contattare i vostri contatti professionali per porre domande sulla ISO/IEC 27001:2013. Questo vi aiuterà a capire le sfide che i vostri colleghi hanno affrontato e come le hanno superate. È anche un’opportunità per chiedere consigli sull’adozione degli standard di sicurezza a livello interno.
3) Ottenere assistenza
Il certificato ISO 27001 è rilasciato da un ente di certificazione terzo: AFNOR in Francia. Se desiderate ottenere la certificazione, vi consigliamo di rivolgervi a un’azienda specializzata.
4) Definire chiaramente chi si occupa internamente dell’argomento
“Da soli si va più veloci, insieme si va più lontano”. Come vedrete, il tema della sicurezza è un lavoro di squadra e questo proverbio africano lo illustra bene. Affinché un sistema di gestione della sicurezza delle informazioni possa essere implementato, è necessario assegnare al progetto risorse adeguate. E questo include tempo, persone e budget dedicati. Ciò significa che il personale responsabile dell’argomento deve ricevere una formazione adeguata, mantenere la documentazione e garantirne l’attuazione.
5) Fare un inventario chiaro e preciso di ciò che viene fatto in azienda in termini di sicurezza.
È il momento di porsi le domande giuste. È possibile accedere ai vostri locali tramite badge? Le postazioni di lavoro sono dotate di password forti? Le apparecchiature sensibili lasciate in ufficio la sera sono protette in una cassaforte o in una stanza chiusa a chiave? I dati del computer sono criptati?
7) Avvertire il management di prepararsi alla comunicazione
Il management deve essere educativo, e in particolare deve trasmettere al resto del personale: una politica di sicurezza delle informazioni, obiettivi e piani di sicurezza delle informazioni, con ruoli e responsabilità per la sicurezza delle informazioni.
8) Coinvolgere l’intera azienda nelle questioni di sicurezza
Non lo si ripeterà mai abbastanza: per prepararsi alla ISO/IEC 27001:2013, la comunicazione è fondamentale. Ogni dipendente, in ogni reparto dell’azienda, deve impegnarsi sul tema della sicurezza.
9) Non date mai per scontato l’ISO!
Non commettete mai questo errore! Lo standard ISO/IEC 27001:2013 riguarda la creazione, l’implementazione, il mantenimento e il miglioramento continuo di un ISMS. Una volta ottenuta la certificazione ISO/IEC 27001:2013, viene effettuato un nuovo audit una volta all’anno per tre anni. Al termine di questo periodo, la ISO/IEC 27001:2013 può essere rinnovata (o meno).
