SECURITY

Garantire la sicurezza delle informazioni, 6 step necessari in ogni azienda

Un incidente sul fronte informativo può provocare danni ingenti, a un’azienda: dalla perdita di reputazione a richieste finanziarie. Per questo la certificazione di protezione sta diventando un must delle richieste da parte di clienti, investitori, partner, autorità. Vediamo i passaggi strategici per garantirla

18 Mar 2020
Margareth Stoll

consulente aziendale e Lead auditor della ISO 27001, ISO 27018, ISO 22301


Cresceranno sempre più le richieste per la certificazione della sicurezza dei fornitori e/o dei prodotti. E’ facile previsione. La sicurezza delle informazioni è diventata un valore competitivo e per alcune gare è già un requisito minimo o un criterio essenziale di selezione. La sicurezza è infatti diventata un importante fattore di successo per tutte le organizzazioni. Un incidente di sicurezza può provocare la perdita della fiducia dei clienti e della reputazione e causare oltre ai costi diretti anche elevate richieste finanziarie. Di conseguenza clienti, investitori, collaboratori, partner e autorità aumentano continuamente le loro richieste in merito alla gestione della sicurezza nelle organizzazioni e alla sicurezza dei prodotti e servizi.

Sicurezza delle informazioni: i 6 step basilari

Eppure, per un lungo periodo la sicurezza delle informazioni era spesso considerata responsabilità dell’IT (ad es. antivirus, firewall). Adesso la situazione è cambiata: visto che l’anello più debole della catena determina il livello di sicurezza, la sicurezza delle informazioni deve essere attuata da tutti i coinvolti insieme in modo sistemico. La certificazione di protezione può essere un buon viatico.

  1. Lo standard ISO/IEC 27001 offre insieme ai sub-standard di questa serie una valida guida pratica. L’integrazione ottimale della sicurezza delle informazioni nell’intera gestione aziendale promuove l’attuazione efficiente e sostenibile. E’ anche necessaria un’integrazione della strategia: in base alle aspettative dei diversi soggetti interessati, alle richieste di mercato/cittadini, agli obiettivi aziendali e tenendo conto sia dell’organizzazione e della cultura aziendale, ma anche di tutte le disposizioni legali e regolatori pertinenti al tipo di attività e le specifiche richieste contrattuali (come p.e. l’altissima disponibilità di servizi online o della fornitura di energia) si definisce gli obiettivi individuali e le strategie di sicurezza. In tale modo la sicurezza porta un valore aggiunto all’organizzazione e promuove il successo. Una digitalizzazione sicura può aprire nuovi mercati e segmenti di clientela, aumentare l’efficienza, assicurare la fiducia dei clienti e ridurre i costi.
  2. Analisi dei rischi e gestione delle emergenze: si inizia con la rivelazione dei valori/”gioielli della corona” (ad es. informazioni tecniche sui prodotti/ricette, ricerche, strategie, segreti aziendali, dati riservati) con le tecnologie associati e le misure di sicurezza attuate. Tenendo conto dei requisiti di sicurezza per i processi aziendali si deducono i requisiti per le tecnologie di supporto e i loro componenti associati in modo olistico e sistemico (ad es. servizi cloud con la trasmissione dati ecc. o gli impianti di produzione con i loro unità di controllo elettronici, l’alimentazione elettrica ecc.). In conformità ai principi di gestione del rischio (cfr. ISO 31000, ISO 27005), si definiscono i rischi residui tenendo conto delle circostanze specifiche e delle misure di sicurezza attuate (vedi Protezione dei dati, come fare bene l’analisi dei rischi). Per gli accettabili rischi residui si definiscono piani di emergenza in caso di eventi di sicurezza che vengono periodicamente testati ed eventualmente aggiornati.
  3. Integrazione nei processi e nei progetti: le misure preventive elaborate nell’analisi dei rischi si integra in modo ottimale nei processi lavorativi (ad es. l’attribuzione e la cessazione dei diritti d’accesso nel processo HR) per garantire l’attuazione efficiente e sostenibile. In tale modo, la sicurezza delle informazioni è integrata anche nella gestione dei progetti (vedi Sicurezza by design e by default). In tutti i progetti di digitalizzazione, cambiamenti ed innovazioni si considera anche la sicurezza sin dall’inizio. Necessari requisiti di sicurezza fanno parte integrante degli contratti /incarichi di servizi/forniture e vengono concordati in modo vincolante. Vostri fornitori critici per la sicurezza possono dimostrare in modo rintracciabile un livello di sicurezza adeguato?
  4. Integrazione nella gestione delle risorse: risorse adeguate e competenze specialistiche allo stato dell’arte supportano la sicurezza. L’errore umano è la causa principale di incidenti. Diversi studi scientifici sottolineano che obiettivi di sicurezza memorabili e chiari, formazioni pratiche e di impatto, linee guida attuali, efficienti, facili da attuare e da comprendere, ma anche efficaci e veloci da consultare in caso di necessità promuovono fra altro la consapevolezza per la sicurezza dei collaboratori (vedi Cybersecurity, proteggere l’azienda dall’errore umano). In tale modo tutti attuano la sicurezza insieme efficacemente e sostenibile come valore aggiunto per gli interessati, i clienti/cittadini, gli shareholder e l’intera organizzazione.
  5. Integrazione nel miglioramento continuo: il contesto esterno ed interno, le richieste e i rischi cambiano continuamente. Monitoring, l’analisi degli segnalazioni degli eventi e gli audit periodici sono utilizzati per valutare l’adeguatezza e l’efficacia delle misure. Necessarie misure e potenziali riconosciuti vengono integrati secondo l’approccio descritto sopra in modo sistemico e rintracciabile. Si comunica periodicamente alla direzione dell’azienda insieme con eventi interni ed esterni che si sono verificati ed altro. Tutti i rapporti sono orientati ai destinatari e dimostrano l’ottemperanza degli obblighi e comunicano i benefici. Un manager racconta con entusiasmo: “I nostri collaboratori hanno sviluppato una forte comprensione strategica della sicurezza. Concepiscono la sicurezza come fattore di successo per l’azienda e per il loro posto di lavoro”.
  6. Infine, cultura della sicurezza: la sicurezza delle informazioni richiede l’impegno attivo di tutti. Soprattutto i manager con i loro dati e le loro autorizzazioni sono un target interessante per eventuali attacchi. La fretta, il lavoro mobile, viaggi in paesi critici per la sicurezza ecc. aumentano i rischi per loro.

Sicurezza delle informazioni ed etica

La sicurezza delle informazioni deve diventare parte integrante di ogni decisione, degli obiettivi/valutazioni e la scelta dei fornitori. Un’adeguata cultura della sicurezza con una sensibilizzazione continua e l’impegno visibile del management promuovono l’attuazione sostenibile. In tale modo la sicurezza delle informazioni diventa parte integrante dei valori etici dell’azienda e della cultura aziendale.

L’integrazione della sicurezza delle informazioni nella gestione aziendale sfrutta le sinergie, consente di ridurre i costi e promuove l’efficienza e l’efficacia. Inoltre promuove l’ottemperanza delle disposizioni legali (come p.e. la protezione dei dati, la direttiva NIS, le disposizione Cybersecurity, ecc.). La certificazione ISO/IEC 27001 con ev. ISO/IEC 27018 (protezione dei dati personali in Cloud) facilitano la dimostrazione di un livello di sicurezza adeguato, lo rendono visibile all’esterno e promuovono la fiducia dei clienti. Inoltre è un primo passo verso una certificazione di prodotto che verrà richiesto in futuro (cfr. Regolamento cybersecurity) o per la certificazione della protezione dei dati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3