La Sicurezza delle Informazioni
Le Norme appartenenti alla serie ISO/IEC 27000 definiscono gli standard per la sicurezza delle informazioni pubblicati dalla International Organization for Standardization (ISO).
La serie comprende la più importante - nonché certificabile da un Ente di Certificazione terzo - ISO/IEC 27001, che rappresenta lo standard per la definizione, l'implementazione, il controllo ed il miglioramento continuo di un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS Information Security Management System).
Tale Sistema di Gestione ha lo scopo di proteggere tutte le informazioni aziendali, garantendo che le stesse siano sempre disponibili, integre e accessibili ai soggetti autorizzati, mediante l’adozione di un opportuno sistema di classificazione e gestione delle stesse.
Lo sviluppo tecnologico, inoltre, ha posto la sicurezza informatica al centro dell’attenzione, rendendola critica in termini di impatto potenziale che il verificarsi di un cyber attack potrebbe causare, ossia effetti talmente disastrosi a livello organizzativo da essere paragonabili a quelli causati da una calamità naturale. Per questo motivo è assolutamente necessario per le Aziende tutelarsi dagli incidenti informatici, promuovendo non solo la consapevolezza del proprio personale ma anche l’implementazione di soluzioni e strategie in grado di efficientare il proprio sistema IT (Information Technology).
È fondamentale che il management aziendale sia consapevole del ruolo decisivo che riveste nel conseguimento degli obiettivi e nell’efficacia di un programma di promozione della cultura della sicurezza delle informazioni: occorre un sostegno forte e determinato della direzione aziendale, nonché un investimento strategico nell’implementazione di opportune misure di sicurezza.
Congiuntamente non è da sottovalutare il ruolo del personale aziendale nella trasmissione delle informazioni: la sensibilizzazione all’uso corretto delle risorse deve essere costantemente mirata alla tutela del patrimonio informativo aziendale, per minimizzare gli impatti che una perdita di informazioni o, ancor peggio, un uso improprio delle stesse potrebbe avere sull’Organizzazione.
Pertanto il servizio che offriamo come Studio consiste in una consulenza finalizzata all’implementazione e al mantenimento di un Sistema di Gestione della Sicurezza delle Informazioni, che si articola come segue:
- - Prima fase di acquisizione documentale
- - Definizione e pianificazione delle attività
- - Screening dei processi
- - Analisi e definizione dei trattamenti posti in essere dall’Organizzazione
- - Definizione ruoli e obiettivi
- - Risk assessment
- - Definizione e monitoraggio indicatori di performance
- - Formazione al personale
- - Controlli applicabili alla produzione/erogazione di servizi
- - Conformità legislativa
- - Audit interno
- - Assistenza in fase di verifica
- - Riesame dei risultati e dell’andamento durante l’anno
Ognuna delle suddette fasi è composta da più attività, generalmente divisa in una parte on-site presso il Cliente per intervistare il personale, formarlo in merito al sistema, raccogliere evidenze, etc… ed una parte presso lo Studio di stesura e riesame della documentazione.