Sistema di gestione ISO/IEC 27001 per garantire la business continuity

I documenti e le informazioni digitali e non sono un patrimonio strategico e di business fondamentale per ogni organizzazione. E-mail, internet, e-commerce, extranet, ecc. sono strumenti ormai indispensabili nelle attività quotidiane, ma possono trasformarsi in fonti di vulnerabilità e di rischio per le aziende.

Un'adeguata identificazione dei beni dell'organizzazione ed un'attenta valutazione dei rischi ad essi collegati permette di comprendere in modo consapevole il potenziale impatto che la perdita di riservatezza, integrità e disponibilità delle informazioni potrebbero avere sull'organizzazione e sui suoi clienti-utenti.
La soluzione è dotarsi di un sistema che garantisca una gestione sicura delle informazioni.
Tale disciplina assume un particolare interesse anche alla luce di quanto richiesto dalle recenti disposizioni in materia di privacy e responsabilità amministrativa d'impresa, che hanno reso ancora più urgente e pressante l'attenzione a tutte le informazioni gestite e conservate in un'azienda.

Un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o in inglese ISMS Information Security Management System) ha la finalità di garantire:

riservatezza per tutte le informazioni che transitano in azienda e vengono conservate;

integrità, cioè le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate;

disponibilità, vale a dire che l'informazione deve essere sempre accessibile da parte delle persone autorizzate quando necessario.

L'adozione di un Sistema di Gestione per la Sicurezza delle Informazioni garantisce inoltre conformità ed efficacia assicurando:

la continuità del business, intesa come garanzia della continuità dei servizi erogati da un'organizzazione alla propria clientela utenza, anche in caso di incidente, sia esso incidentale o doloso;

la minimizzazione dei danni: data l'impossibilità di eliminare il rischio di incidenti, ogni organizzazione può analizzare i rischi e agire per ridurre i danni derivanti da eventuali incidenti;

la massimizzazione del rendimento del capitale investito e
opportunità di miglioramento: assicurare la continuità dei servizi e minimizzare i danni in caso di incidente implica investimenti che possono essere massimizzati se adeguatamente quantificati, monitorati e gestiti;

la tutela di tutte le parti interessate.

I vantaggi dell'applicazione di un sistema di gestione delle informazioni ISO/IEC 27001

L'organizzazione certificata ISO/IEC 27001 dispone per di più di uno strumento gestionale che permette di rispondere ai requisiti legislativi (es. D.Lgs. 196/03, D.Lgs. 231/01) evitando dispendi di tempi e denaro in vertenze legali con soggetti interni ed esterni.

Il SGSI sviluppato in accordo alla norma ISO/IEC 27001, può essere applicato in qualsiasi contesto organizzativo e si integra perfettamente anche con altri sistemi di gestione (qualità, ambiente, sicurezza).

Non richiede la stesura di un manuale e le procedure documentate sono limitate a quattro (gestione della documentazione, gestione degli audit, gestione delle azioni correttive e preventive, gestione dei criteri di valutazione dell'efficacia del SGSI e delle contromisure adottate) e indica chiaramente su quali aspetti aziendali porre maggiore attenzione per implicazioni di sicurezza: politica della sicurezza, organizzazione della sicurezza, controllo e classificazione delle risorse, sicurezza del personale, sicurezza materiale e ambientale, gestione operativa e comunicazione, controllo degli accessi, sviluppo e manutenzione dei sistemi, gestione degli incidenti per la sicurezza delle informazioni, gestione della business continuity, conformità.