ISO27001 e protezione dei dati: qual è l’influenza del fattore umano?

L’errore umano è tra le prime cause di incidenti nell’ambito della protezione dei dati: la certificazione ISO27001 ne è la testimonianza

Il volume e il valore dei dati che ogni giorno le aziende usano rivelano in che modo essi operano e la loro importanza. Per proteggere queste informazioni, sempre più aziende stanno ottenendo la certificazione ISO 27001.

Cos’è la certificazione ISO 27001?

La ISO 27001 è uno standard internazionale di sicurezza dei dati che fornisce i requisiti per l’implementazione, il mantenimento e il miglioramento di un sistema di gestione della sicurezza delle informazioni.

Dal momento che l’informazione è un bene che aggiunge valore all’organizzazione, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo dello standard ISO 27001 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

Best Practice ISO27001

La certificazione ISO27001 è, dunque, il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, e dimostra che l’organizzazione ha definito ed implementato le best practice per la sicurezza delle informazioni. Tra le best practice troviamo:

  • Politiche e organizzazione della sicurezza delle informazioni
  • Sicurezza delle risorse umane
  • Asset management, access control e crittografia
  • Sicurezza fisica e ambientale, delle operazioni e delle comunicazioni
  • Acquisizione, sviluppo e manutenzione impianti
  • Gestione degli incidenti per la sicurezza delle informazioni
  • Sicurezza delle informazioni della gestione e della continuità aziendale

La sicurezza delle risorse e l’errore umano

Cosa si intende per sicurezza delle risorse umane? Il punto 7 dell’ISO27001 e tutti i suoi sotto elementi definiscono alcuni degli standard da rispettare tra cui definire le responsabilità di gestione e processi disciplinari. In questo elenco, però, risulta di fondamentale importanza il punto 7.2.2 in cui si parla di “consapevolezza della sicurezza delle informazioni, istruzione e formazione”.

Tutto il personale dell’organizzazione e i collaboratori, infatti, devono ricevere un’adeguata sensibilizzazione, istruzione, formazione, addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività lavorativa. Sarà, però, sempre l’organizzazione a dover dimostrare che ha effettuato un adeguata formazione per i suoi dipendenti.

Nell’ambito della protezione dei dati personali e in maniera più ampia, nell’approccio della certificazione 27001 sulla sicurezza delle informazioni, l’errore umano resta tra le prime cause di incidenti; per questo motivo fare formazione dovrebbe sempre essere un’opportunità da sfruttare, per accrescere il livello di consapevolezza dei propri dipendenti. È importante quindi capire che l’imposizione normativa non è e non deve essere l’unico motivo che induce le aziende a fare formazione.

La formazione è l’elemento protagonista di un’organizzazione e dovrebbe sempre essere vista come una grande opportunità. Il vantaggio che si ottiene dalla formazione è il raggiungimento di un obiettivo: gestione del rischio rispetto all’errore umano.

Il Piano Nazionale Transizione e la Formazione 4.0

Anche nel Piano Nazionale Transizione 4.0 varato dal Governo per il biennio 2021 e 2022, che nasce con lo scopo di supportare le aziende italiane nella fase di rinnovamento delle tecnologie, si dedica particolare rilevanza a questo tema. Uno dei punti fondamentali è proprio quello che è stato definito Formazione 4.0.

Sono infatti stati stanziati importanti fondi a sostegno della formazione professionale, con il fine di favorire lo sviluppo di competenze dei lavoratori, utili per assicurare un efficace utilizzo delle nuove tecnologie applicate ai processi produttivi e ai singoli modelli di business aziendali.

L’ammontare del credito d’imposta formazione 4.0 è calibrato in base alla dimensione aziendale, secondo le seguenti aliquote e importo massimo:

  • 50% delle spese ammissibili e nel limite massimo annuale di € 300.000 per le micro e piccole imprese
  • 40% delle spese ammissibili nel limite massimo annuale di € 250.000 per le medie imprese
  • 30% delle spese ammissibili nel limite massimo annuale di € 250.000 le grandi imprese

La formazione delle risorse umane è una potente misura di sicurezza per le informazioni: Lucy Security lo rende semplice e dinamico

Come detto sin ora, avere un firewall e un software antivirus è importante, ma anche i dipendenti che si occupano di e-mail, Internet, dispositivi dati portatili, dispositivi mobili, ecc. contribuiscono alla sicurezza e possono essere considerati l’ultima linea di difesa. Lucy Security fornisce un ambiente di apprendimento sicuro in cui i dipendenti possono sperimentare come sarebbero i veri attacchi. Con varietà di simulazioni di attacchi multilingue predefinite è possibile verificare se i dipendenti hanno davvero familiarità con i pericoli di Internet o no.

Lucy Security consente alle organizzazioni di assumere il ruolo di aggressore e identificare le lacune nell’infrastruttura tecnica e nella consapevolezza della sicurezza e risolverle attraverso un programma di e-learning dinamico e completo che comprende:

  • Collaudo dei dipendenti tramite simulazioni di attacchi come il phishing
  • Prova delle infrastrutture con simulazione e scanner di malware
  • Formazione dei dipendenti con LMS integrato
  • Misurazione del progresso con analisi del rischio e dell’apprendimento
  • Integrazione dei dipendenti come difesa tramite un sistema di segnalazione (es. pulsante di phishing della posta)

L’importanza dei sistemi di Cyber Security

Ci sono alcune soluzioni messe a disposizione dal ventaglio di prodotti e servizi di sistemi di sicurezza IT che possono agevolare enormemente il rispetto e la conformità ISO 27001, come ad esempio quelli proposti da Sophos o FortinetEset Invicti ed anche Yubico.

Un punto di partenza per creare una strategia di conformità di successo è, dunque, lo sviluppo di un tessuto di sicurezza che comprende l’intera superficie di attacco integrando tutti gli elementi di prevenzione dei rischi.

Quali sono i benefici della certificazione ISO 27001?

Ottenere una certificazione accreditata ISO 27001 permette di dimostrare che l’azienda sta seguendo le best practice sulla sicurezza delle informazioni e offre anche enormi benefici quali:

  • Risparmiare denaro: Evita le sanzioni pecuniarie e le perdite economiche dovute alle violazioni dei dati. Secondo uno studio condotto da Ponemon, il costo medio globale di una violazione dei dati è stimato attorno ai 3,86 milioni di dollari (3,23 milioni di euro), aumentato del 6,4% rispetto al 2017.
  • Soddisfare i requisiti legali. Rispetta e rende conforme l’organizzazione ai requisiti normativi (come quelli richiesti dal GDPR, Direttiva NIS e le altre leggi sulla sicurezza delle informazioni).
  • Espandere il business. Soddisfa le richieste degli attuali clienti per una maggiore sicurezza dei dati e offre anche un vantaggio di marketing sulla concorrenza dimostrando comprovate credenziali aziendali
  • Proteggere la reputazione: Dimostra di aver implementato tutte le misure necessarie per proteggere il business, ottenendo un riconoscimento globale di affidabilità
  • Migliorare la struttura: lo Standard aiuta le organizzazioni a definire chiaramente le responsabilità dei rischi delle informazioni.

Curiosità! GDPR e ISO 27001
GDPR e ISO 27001 sono due standard di conformità importanti che hanno molti elementi in comune. Entrambi mirano ad irrobustire la sicurezza dei dati ed a diminuire il rischio di violazione degli stessi, ed entrambi necessitano e dettano le linee guida per la creazione di un sistema organizzato al fine di assicurare la riservatezza, l’integrità e la disponibilità dei dati sensibili. La conformità alla ISO 27001 non garantisce però la conformità al GDPR, ma ne costituisce una parte importante. Questo perché il GDPR ha uno scopo molto più ampio e una comprensione più fondamentale riguardo alla sicurezza ed alla privacy dei dati personali in maniera organica e completa rispetto alla ISO 27001

Potrebbe interessarti

Rispondi

%d blogger hanno fatto clic su Mi Piace per questo: