Oggi, le informazioni e i dati di un’organizzazione costituiscono il proprio patrimonio aziendale.
La protezione e la sicurezza dei dati e delle informazioni è oggi fondamentale, siano essi in forma scritta, verbale o in formato elettronico.
La protezione delle Informazioni consiste nell’assicurare, attraverso la gestione controllata dei processi aziendali, i desiderati livelli di:
■ Riservatezza
■ Integrità
■ Accessibilità
Sicurezza dei dati e delle informazioni significa quindi salvaguardare privacy, integrità e disponibilità delle informazioni: dalla perdita di dati agli accessi non autorizzati, dagli attacchi virus alle intrusioni del sistema, dalla disaster recovery ecc.
Le organizzazioni possono proteggersi da potenziali minacce alla sicurezza delle informazioni da esse gestite sviluppando un Sistema di Gestione per la Sicurezza delle Informazioni. ISO/IEC 27001 è lo standard internazionale di riferimento per la gestione della sicurezza delle informazioni, consente di valutare attentamente tutti i rischi per il business e le diverse tipologie di informazioni gestite, evidenziando le aree in cui è necessario un miglioramento. Lo standard, quindi, delinea il processo di gestione dei rischi che coinvolge persone, processi e sistemi IT, fornendo così un approccio unitario e globale alla sicurezza delle informazioni.
I VANTAGGI DELLA ISO/IEC 27001 SONO:
- Protezione della riservatezza delle informazioni, integrità dei dati aziendali e disponibilità dei sistemi IT.
- Garanzia per tutte le parti interessate coinvolte e per i clienti del mantenimento dei più alti standard di sicurezza delle informazioni
- Credibilità, affidabilità e fiducia: i clienti potranno fare affidamento sull’impegno nel mantenere le loro informazioni al sicuro;
- Riduzione delle interruzioni dei processi e Risparmi sui costi: il costo di una singola violazione della sicurezza delle informazioni può essere notevole. La certificazione riduce il rischio di incorrere in tale costo e questo è importante per le parti interessate e per gli altri investitori nelle attività aziendali;
- Conformità: la certificazione aiuta a mostrare alle autorità la conformità alle leggi ed ai regolamenti rilevanti in materia;
- Impegno: la certificazione aiuta ad assicurare e a dimostrare l’impegno a tutti i livelli dell’organizzazione.
Inoltre, a seguito del crescente contesto normativo in materia di privacy e della necessità di un insieme comune di regole per la data protection, ha reso necessario la redazione di uno standard di riferimento l’ISO/IEC 27701 per la protezione dei dati personali.
Infatti, l’introduzione del Regolamento generale sulla protezione dei dati personali ha prodotto un duplice effetto ovvero rappresentando un’innovazione e un’armonizzazione rispetto alle normative esistenti sulla privacy dei dati che riflettono le realtà del mondo digitale in cui viviamo attualmente.
Allo stesso tempo, è stato stressato il concetto di sicurezza delle informazioni e sono stati forniti strumenti agli interessati per poter riprendere il controllo dei propri dati, o quantomeno, limitare gli impatti che da essi possono derivare.
Tuttavia, il GDPR non da istruzioni operative pragmatiche su alcuni aspetti che sono lasciati alla libera interpretazione delle singole organizzazioni.
La ISO/IEC 27701, è una vera e propria estensione della ISO/IEC 27001, che fornisce le indicazioni e aiuta le aziende a gestire i rischi per la privacy legati alle informazioni personali identificabili (PII).
I VANTAGGI DI CERTIFICARSI ISO/IEC 27701:
- Creare fiducia nella gestione delle informazioni personali
- Fornire trasparenza alle le parti interessate
- Chiarire ruoli e responsabilità
- Essere conformi in merito a normative sulla privacy
- Ridurre la complessità integrandosi con il principale standard di Sicurezza delle Informazioni ISO/IEC 27001
ATTUAZIONE DI UN SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI
Gli standard sono applicabili a tutti i tipi e dimensioni di organizzazioni pubbliche e private.
Esistono delle fasi fondamentali che qualsiasi azienda che intenda attuare un sistema di gestione della sicurezza delle informazioni dovrà prendere in considerazione:
✓ Mettere insieme un team e concordare la propria strategia
✓ Effettuare una valutazione dei rischi
✓ Sviluppare una politica documentata
✓ Sviluppare documentazione di supporto
✓ Attuare il sistema di gestione della sicurezza delle informazioni
✓ Ottenere la certificazione
✓ Effettuare una valutazione continuativa