Sicurezza delle informazioni, lo standard ISO/IEC 27001 come abilitatore di nuove potenzialità di business per le organizzazioni nella valutazione di controlli, processi e gestione del rischio
Fondata nel 1983, SQS, l’Associazione svizzera per sistemi di qualità e di management, è uno dei primi enti di certificazione in Europa e in Italia. «L’associazione è nata per volere del mondo industriale svizzero tedesco che cercava un ente indipendente che certificasse i prodotti svizzeri» – spiega Antonio Lucchini, CEO della filiale italiana di SQS. «Siamo sbarcati in Italia perché il concetto svizzero di neutralità è stato percepito come un modello di successo, un valore perché fuori dai giochi del nostro Paese. Nel 2011, abbiamo aperto a Milano una branch italiana. Oggi, abbiamo circa 2.500 clienti. Il nostro team è composto da circa 80 auditori che rappresentano il punto di riferimento per le organizzazioni per quanto riguarda tutte le attività o eventuali chiarimenti sui servizi erogati». Le certificazioni di qualità servono ad attestare che un determinato prodotto, processo, servizio o sistema di gestione è conforme a una specifica norma o a un altro documento normativo. La norma base è la ISO 9001 che contiene una serie di requisiti che l’ISO, l’Organizzazione internazionale per la normazione, ha strutturato sulla base delle best practices delle migliori organizzazioni nel mondo. «L’introduzione in azienda di un sistema di gestione deve essere considerata un investimento in quanto garantisce un miglioramento continuo delle prestazioni e la soddisfazione di tutte le parti interessate. Un’impresa deve essere organizzata e lavorare con l’obiettivo della prevenzione. I sistemi di gestione servono per evitare le discontinuità. Non servono tanto per acquisire dei clienti ma servono all’organizzazione» – sottolinea Lucchini.
PROTEGGERE I DATI E LE INFORMAZIONI
Quando si parla di certificazione, il tema della sicurezza delle informazioni assume un’importanza sempre più rilevante per ogni organizzazione. I dati che gestiamo, le informazioni che ci scambiamo, l’importanza della tutela e della riservatezza dei dati sono aspetti sempre più comuni e critici per ogni organizzazione aziendale. Allo stato attuale, come il periodo pandemico sta ampiamente dimostrando, non esiste più la separazione tra dati digitali e dati “fisici”: qualunque dato è gestito al 100% digitalmente. Le informazioni vitali per le aziende di ogni settore e dimensione sono quindi sempre più frequentemente esposte e oggetto di attacchi informatici e violazioni, aumentando il rischio per le imprese, per le istituzioni e anche per i semplici consumatori, con ingenti danni economici in caso di incidenti. «Esiste un’intera famiglia di norme, la serie ISO 27000, che serve a garantire una sicura gestione delle informazioni» – spiega Lucchini. Per famiglia, intendiamo una serie di norme che toccando un tema, lo affrontano sotto diverse sfaccettature. Il tutto sotto il cappello di una norma-quadro di riferimento».
VISIONE AD ALTO LIVELLO
Lo standard ISO/IEC 27001 stabilisce i requisiti per attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System), nel contesto dell’organizzazione. Scopo dello standard è quello di proteggere i dati e le informazioni da una vasta gamma di minacce (accesso non autorizzato, distruzione e furto dati, interruzione di servizio, virus informatici) con l’obiettivo di assicurare la continuità dell’attività aziendale. Avere un corretto sistema di gestione della sicurezza delle informazioni significa dotarsi di tutte le misure di sicurezza, assicurando i dati in termini di riservatezza, integrità e disponibilità. «La norma ISO 27001 è stata la prima ad avere creato una struttura di alto livello ovvero un framework normativo a cui tutte le norme devono adeguarsi per essere integrabili tra loro» – spiega Lucchini. «Si tratta di un insieme di requisiti che nasce per il settore informatico e che utilizza un linguaggio per specialisti del settore, ma che può essere considerato anche come un insieme di regole di pianificazione, implementazione e gestione del rischio da applicare all’intero sistema organizzativo».