FAQ

Perché ho bisogno di una gestione della sicurezza delle informazioni?

Oggi le informazioni rappresentano la maggior parte degli asset di un'azienda. Sono vitali per la sopravvivenza in tutti i settori. Perderle significa di solito la fine! Uno studio dell'Università di Houston, in Texas, ha dimostrato che il 50% delle aziende che hanno subito una perdita totale di dati non si è mai ripreso. Il 90% di esse non esisteva più dopo 2 anni.

Un sistema di gestione di questo tipo non è eccessivo per una PMI?

La caratteristica saliente della ISO 27001:2013 è che tutto ciò che si fa per proteggere le informazioni si basa su un'analisi dei rischi aziendali. Si determina il livello di sicurezza, si decidono le contromisure per ridurre al minimo i rischi e si decide quale rischio residuo si può sopportare come imprenditori. Ciò consente un uso molto mirato delle risorse per mitigare i rischi principali, invece di implementare misure selettive secondo il principio dell'annaffiatoio fino all'esaurimento del budget. In questo modo si risparmia denaro!

Gestisco i miei dati e quelli dei miei clienti con molta attenzione. Credo che questo risolva la questione!

No, perché la sicurezza delle informazioni secondo la norma ISO 27001:2013 tiene conto non solo della riservatezza, ma anche della disponibilità e dell'integrità delle informazioni. La ponderazione varia a seconda del settore e dell'azienda. Nell'industria manifatturiera, ad esempio, la disponibilità è quasi la massima priorità. Se si perde l'impianto di produzione con i macchinari a causa di un incendio o dell'acqua, i danni sono solitamente coperti dall'assicurazione e si può trovare un subappaltatore per soddisfare gli ordini. Tuttavia, se i dati vengono distrutti, non è più possibile produrre. Gli incendi e l'acqua sono quasi sempre una minaccia molto concreta.

Ho già un sistema ISO 9001. È compatibile con il sistema?

Un sistema di gestione conforme alla norma ISO 9001:2015 non è un prerequisito, ma è molto utile in quanto si dispone di una struttura di processo in cui integrare le misure. Senza un sistema di gestione di questo tipo, l'operazione richiede più tempo.

Quali sono i vantaggi della certificazione?

Mostrate ai vostri clienti e partner commerciali! Dimostrate loro che siete un partner affidabile e che pensa a lungo termine e che avete i rischi sotto controllo.  L'esperienza dimostra anche che un sistema certificato è più sostenibile di quanto non lo sia il certificato e i meccanismi come il riesame della direzione, gli audit interni ed esterni, le misure correttive e di miglioramento sono il motore che mantiene in vita il sistema.Il numero di certificati sta aumentando in modo esponenziale. Un punto di vendita unico oggi, sarà uno standard domani e forse un must dopodomani.

Cosa contengono le norme ISO 27001 e ISO 27002?

Lo standard ISO 27001, nato dalla BS 7799-2, stabilisce i requisiti di un sistema di gestione della sicurezza delle informazioni (ISMS). È suddiviso nelle seguenti aree:

• Sistema di gestione della sicurezza delle informazioni
• Responsabilità della direzione
• Audit interni
• Riesame della gestione
• Miglioramento del sistema

Ogni manager ha familiarità con i requisiti delle norme ISO 9001 e ISO 14001. Essi dimostrano che un sistema di gestione della sicurezza delle informazioni può essere perfettamente integrato in un sistema di gestione esistente. La ISO 27002, nata dalla BS 7799-1, non prescrive una procedura, ma specifica i fattori critici di successo e fornisce indicazioni su: politica di sicurezza, supporto alla gestione, formazione, monitoraggio e miglioramento continuo, analisi dei rischi, controllo degli accessi, gestione della sicurezza e gestione della sicurezza. Miglioramento, analisi dei rischi, controllo degli accessi, sviluppo e manutenzione dei sistemi e gestione delle crisi. Con numerose "buone pratiche", fornisce agli operatori del settore una guida preziosa.

Non è un problema solo dell'IT?

Naturalmente l'informatica svolge un ruolo sempre più importante nell'elaborazione e nell'archiviazione delle informazioni. Ma le informazioni vengono anche archiviate su carta, ad esempio, o trasmesse sotto forma di parole. Vi siete mai chiesti quanto liberamente i viaggiatori parlino della loro attività, dei loro progetti e dei loro clienti in treno, dove tutti possono ascoltare? Anche la sensibilizzazione dei dipendenti è un aspetto fondamentale della sicurezza delle informazioni.