Gesta Papers n. 61 dell’8 Novembre 2011

Tempo di lettura di questo GP: 2 minuti

ISO 27001: perché certificarsi?

Per una buona e corretta strategia di sicurezza a protezione dei dati e delle informazioni aziendali non è sufficiente la tecnologia, ma è anche necessario definire un piano di protezione ed implementarlo nell’organizzazione. Lo standard ISO/IEC 27001 garantisce la protezione dei dati e delle informazioni da minacce di ogni natura, per assicurarne l’integrità, la riservatezza e la disponibilità.

Nel quadro della crescente importanza della rete nei sistemi di comunicazione, dello scambio di dati ad essa correlato e della problematica relativa alla tutela dei dati, gli interventi volti alla sicurezza delle informazioni assumono un’importanza sempre maggiore nella vita delle imprese. Le informazioni custodite con mezzi informatici rappresentano buona parte del capitale intellettuale di un’azienda: sono uno strumento strategico per lo sviluppo e la tutela dell’organizzazione. E proprio per questo, l’aspetto legato alla sicurezza, in particolare nell’ambito della gestione delle tecnologie, assume una funzione crescente nella valutazione reale dell’azienda stessa.

Dal punto di vista dell’impresa, infatti, non basta più la sola tecnologia per la difesa delle informazioni stesse: bisogna affiancarla a un set di procedure specifiche per renderla una fase attiva della vita aziendale. Un processo, quindi, che come tale contribuisce alla creazione di valore ed implica lo sviluppo e l’applicazione di policy aziendali e di procedure per possibili situazioni di rischio, permettendo così un adeguato controllo della sicurezza.

In tale contesto la certificazione ISO 27001, attraverso l’introduzione e il mantenimento di un idoneo sistema di gestione documentato in grado di regolamentare il trattamento dei dati e delle informazioni Aziendali, consente all’azienda di:

  1. attuare sistematicamente la politica di sicurezza informazioni
  2. applicare una gestione globale dei rischi legati alla sicurezza delle informazioni e sistemi corrispondenti
  3. attuare un monitoraggio efficace dei settori a rischio
  4. definire ed attuare idonei obiettivi ed interventi di sicurezza
  5. rispettare i principi legislativi e contrattuali
  6. attuare metodiche generali (anche non tecniche)
  7. eseguire un’analisi sistematica dei rischi.

 Pur trattando di sicurezza delle informazioni, la norma ISO 27001 non solleva l’azienda dal rispetto delle misure minime di sicurezza e dalla protezione dei dati e della Privacy in ottemperanza alla legislazione in vigore.
Legge sulla privacy e norma ISO 27001 si rivelano casomai complementari: la prima tutela dati sensibili, mentre la ISO 27001, che pure richiede che ciò sia fatto, si focalizza sui dati di business dell’organizzazione aziendale, da tutelare nell’interesse stesso dell’azienda. Non a caso, la Norma richiede esplicitamente che il rispetto della legislazione applicabile vada definito e documentato per ottenere la certificazione ISO 27001.

Riassumiamo di seguito i vantaggi che un’Azienda può ottenere con la Certificazione ISO 27001:2005:

  1. L’Azienda potrà godere di una maggiore fiducia nel contatto con clienti, organizzazioni pubbliche e nel settore dell’e-commerce e potrà offrire garanzia idonea e durevole di disponibilità, riservatezza ed integrità
  2. Il Cliente ha la garanzia che se affida all’azienda i suoi dati questi entreranno in un sistema con un alto standard di sicurezza
  3. l’Azienda certificata può offrire ai clienti informazioni conformi a livelli di riservatezza prestabiliti, accurate e correttamente accessibili: ciò può costituire un vantaggio competitivo sotto forma di rispetto nei confronti di eventuali vincoli contrattuali, oltre alla dimostrazione nei confronti degli interlocutori del valore delle informazioni trattate
  4. I processi di analisi e valutazione periodica consentono la verifica costante delle prestazioni aziendali, puntando al miglioramento continuo
  5. Sviluppo del proprio business attraverso la riduzione dei rischi informatici e la conseguente riduzione degli impatti negativi in termini operativi ed industriali
  6. Continuo aggiornamento delle proprie infrastrutture tecniche ed organizzative
  7. Migliore gestione in generale delle relazioni con Terze Parti
  8. Valore aggiunto di distinzione nel proprio mercato di riferimento
  9. Fidelizzazione dei propri Clienti
  10. Compatibilità legale.

Gesta Srl è a disposizione per ogni chiarimento in merito.

X