La nuova versione della ISO 27001 arriverà a fine 2013

Computer Monitor and Keyboard on Desk La ISO/IEC 27001, norma contenente i requisiti per un sistema di gestione della sicurezza delle informazioni, è in corso di revisione e la sua pubblicazione è prevista per l’autunno del 2013. La revisione riguardeà essenzialmente l’armonizzazione della norma alla ISO Guide 83 che prevede uno schema univoco per tutte le norme sui sistemi di gestione, a cui si stanno man mano adeguando gli standard di recente e futura pubblicazione.

Tale allineamento comporterà che tutte le norme riporteranno un significativo testo comune e ciò porterà un indubbio vantaggio per le organizzazioni che risparmieranno tempo nell’applicare le norme stesse, grazie all’integrazione tra i vari Sistemi di Gestione. Naturalmente ciò comporterà – per le organizzazioni già certificate per più sistemi – la necessità di revisionare la documentazione del sistema di gestione (integrato).

Il testo comune prevede i seguenti capitoli  a struttura comune : Introduzione, Norme di riferimento, Termini e definizioni, Contesto dell’organizzazione, Guida e Direzione (Leadership), Pianificazione, Supporto, Operatività (Operation), Valutazione delle Prestazioni e Miglioramento.

Altre modifiche riguarderanno la S.O.A., la comprensione del contesto dell’organizzazione, la Business Continuity, l’allineamento del Risk Assessment alla ISO 31000 e l’aggiornamento dei controlli di sicurezza dell’Annex A. Proprio per quest’ultimo motivo si prevede l’emissione congiunta della nuova ISO 27002 che rappresenta la linea guida per l’attuazione dei controlli.

Finora la ISO 27001 (pubblicata anche in versione italiana dall’UNI come UNI CEI ISO/IEC 27001) ha avuto un numero limitato di certificazioni in Italia, soprattutto se consideriamo che la certificazione di molet organizzazione è multisito e, quindi, il numero di certificati emessi è molto superiore alle aziende certificate.

Da un lato questo può essere imputabile ad un approccio un po’ “high-level” della norma che, pertanto, può essere applicata in modo completo solo dalle organizzazioni più grandi che dispongono di risorse e di personale dalle competenze adeguate.

Dall’altro la scarsa propensione delle PMI a tutto ciò che può ridurre i rischi del business, ma che richiede risorse dedicate per farlo ne ha impedito la diffusione capillare come è avvenuto per altri schemi. In questo contesto anche la privacy, a seguito dell’eliminazione dell’obbligo di redigere il DPS, è stata dimenticata da molte organizzazioni di medio-piccole dimensioni.

Il filo conduttore è sempre la sopravvivenza a cui mirano molte PMI in questo momento di crisi, trascurando diversi aspetti di miglioramento dell’efficienza e di riduzione dei rischi. Proprio i rischi legati alla sicurezza delle informazioni sono tra quelli trascurati, oggi che da un lato stanno crescendo i crimini informatici ed i reati legati al furto di informazioni di valore, dall’altro le aziende sono sempre più dipendenti dai sistemi informatici.

Sicuramente arrivare alla certificazione ISO 27001 è impegnativo e costoso (il numero di giornate di audit previste dallo schema di accreditamento è molto superiore a  quello della ISO 9001, a parità di dimensioni dell’organizzazione), ma questo non vuol dire che non si possa recepire l’approccio della norma in modo più semplificato ed attuare comunque i controlli che si ritiene adeguati a seconda del rapporto costo/beneficio (=riduzione del rischio) che essi possono portare.

Un sistema di gestione per la sicurezza delle informazioni ISO 27001 richiede, poi, un approccio culturalmente avanzato ed una conoscenza profonda dei processi aziendali e dell’impatto della sicurezza delle informazioni su di essi.

Purtroppo molte realtà ignorano che sicurezza delle informazioni non significa soltanto sicurezza dei sistemi informatici garantita attraverso l’adozione di un buon antivirus. Gli aspetti trattati dal SGSI ISO 27001 (e dai controlli della ISO 27002) sono molteplici e degni di nota: si va dalla sicurezza fisica dei locali (prevenzione e mitigazione degli effetti di incendi, allagamenti, inondazioni ed altri fenomeni naturali, prevenzione di furti ed altri atti criminosi) a quella logica dei sistemi informativi. Soprattutto si considerano tutti gli aspetti che possono minare la continuità dell’operatività aziendale (che genera profitti): dal furto di informazioni importanti all’interruzione dei servizi per le cause più disparate, il tutto considerando che le minacce più pericolose non sempre vengono dall’esterno dell’azienda, ma talvolta sono rappresentate da dipendenti e collaboratori infedeli o semplicemente incauti.

Ma quali sono le organizzazioni che più si avvantaggerebbero – sia dal punto di vista della riduzione dei rischi operativi, sia da quello dell’immagine sul mercato dall’applicazione di un sistema di gestione per la sicurezza delle informazioni ISO 27001? Sicuramente anzitutto Banche ed Istituti di Credito, Società finanziarie, Assicurazioni; insomma chi tratta flussi di denaro ed operazioni ad essi correlate tramite sistemi informatici. Tra esse forse le Compagnie di Assicurazioni (che trattano anche dati sensibili legati a polizze infortuni e malattie) sono probabilmente più lontane dallo standard ISO 27001, anche perchè sono costituite anche da piccole Agenzie che, di fatto, sono realtà con poco personale e con un’infrastruttura informatica ridotta per cui non dispongono di mezzi propri sufficienti per approcciare lo standard ISO 27001.

Per il resto tutte le realtà che trattano dati ed informazioni, anche riservate, in outsourcing per conto di organizzazioni più grandi, come quelle sopra citate, oppure Enti Pubblici potrebbero trovare nell’applicazione dei principi della ISO 27001 (e ISO 27002) valore aggiunto per garantire al cliente un servizio più sicuro. Dunque i vantaggi sarebbero sia dal punto di vista di riduzione del rischio di business, sia dal punto di vista commerciale e di marketing, presentandosi come organizzazione certificata per la sicurezza delle informazioni.

Infine tutte le organizzazioni che forniscono servizi amministrativi, legali e di assistenza fiscale o consulenza del lavoro trattano dati sensibili o comunque riservati per conto dei propri clienti, ma non sempre attuano quelle misure di sicurezza che sono auspicate anche dal Codice della Privacy nel Disciplinare dell’Allegato B. Per esse – parliamo di Studi Legali, Studi di Commercialisti o Società di Professionisti nel medesimo settore, Consulenti del Lavoro, ecc. – l’impatto della ISO 27001 potrebbe essere eccessivamente oneroso, soprattutto per le realtà più piccole, ma applicarne i principi, gli obiettivi di controllo ed i controlli delle ISO 27001/27002 potrebbe ridurre sensibilmente i rischi di business legati alla perdita di Riservatezza, Integrità e Disponibilità delle Informazioni.

Leggi il documento ACCREDIA sulla nuova norma

Al sito http://www.iso27001security.com/index.html (in lingua inglese) sono disponibili numerosi documenti, liberamente scaricabili, sull’implementazione del sisttema di gestione della sicurezza delle informazioni (o ISMS, Information Security Management System).