ISO 27001: cos’è, a cosa serve e come ottenere la certificazione (Cyber Security)

ISO 27001 (denominata ufficialmente ISO/IEC 27001:2022) rappresenta lo standard internazionale di riferimento per la gestione della Sicurezza delle Informazioni. Pubblicata dall’Organizzazione Internazionale per la Standardizzazione (ISO) e dalla Commissione Elettrotecnica Internazionale (IEC), fornisce un quadro normativo essenziale per la protezione degli asset informativi delle organizzazioni di ogni settore e dimensione. Nel panorama attuale, dove la Cyber Security non è più un optional, comprendere e adottare lo standard ISO 27001 è cruciale per la resilienza, l’affidabilità e la competitività aziendale.

Cos’è la ISO 27001? Definizione e Scopo dello Standard

La ISO 27001 è una norma che specifica i requisiti per stabilire, implementare, mantenere e migliorare costantemente un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS).

Lo standard è stato progettato per:

1. Proteggere le informazioni e assicurare la triade fondamentale della sicurezza, ovvero Riservatezza (Confidentiality), Integrità (Integrity) e Disponibilità (Availability) degli asset informativi.
2. Gestire il rischio consentendo alle organizzazioni di identificate, valutare e trattare i rischi in materia di sicurezza delle informazioni in modo sistematico.
3. Garantire la conformità ai requisiti normativi e legali, come GDPR e NIS2.

Il Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) secondo ISO 27001

Tale sistema, prevede un approccio basato sul rischio che mira a gestire la Sicurezza delle Informazioni attraverso un ciclo continuo di miglioramento, noto come ciclo PDCA (Plan-Do-Check-Act):

• Plan (pianificazione): stabilire la politica del Sistema, definire l’ambito, condurre l’analisi dei rischi, selezionare i controlli.
• Do (esecuzione): implementare e utilizzare il Sistema di Gestione per la Sicurezza delle Informazioni e i controlli selezionati.
• Check (verifica): monitorare, misurare, analizzare, valutare e condurre audit interni.
• Act (azione): intraprendere azioni per il miglioramento continuo del Sistema.

E’ bene notare che l’adozione di un ISMS secondo la norma ISO 27001 non si limita all’implementazione di soluzioni tecnologiche; richiede un approccio olistico, che coinvolga persone, processi e tecnologia.

Perché la Certificazione ISO 27001 è fondamentale per la Cyber Security

Ottenere la Certificazione ISO 27001 è un passo strategico che traduce l’impegno dell’organizzazione nella gestione proattiva della Cyber Security.

Principali vantaggi:

1. Affidabilità e vantaggio competitivo: la certificazione è la prova verificabile e indipendente che l’organizzazione getisce la sicurezza delle informazioni secondo le migliori pratiche internazionali, aumentando la fiducia di clienti, stakeholders e partner commerciali.
2. Riduzione degli incidenti: l’approccio basato sul rischio dell’ISMS riduce la probabilità e l’impatto di incidenti di sicurezza, interruzioni operative e violazioni dei dati.
3. Conformità: la struttura della ISO 27001 aiuta a dimostrare la conformità ai requisiti legali e contrattuali.

Lo standard ISO 27001 è, di fatto, il più elevato e riconosciuto standard globale per misurare la maturità di un’organizzazione nella protezione dei suoi dati sensibili.

I passi per ottenere la Certificazione ISO 27001 (Audit e Mantenimento)

Il percorso per ottenere e mantenere la Certificazione ISO 27001 richiede il coinvolgimento di un Organismo di Certificazione Accreditato.

Le fasi chiave del processo di certificazione prevedono che innanzitutto l’organizzazione implementi il Sistema di Gestione per la Sicurezza delle Informazioni in conformità a tutti i requisiti della norma ISO 27001. Sarebbe consigliabile la conduzione di un audit interno per verificare l’efficacia e la conformità del proprio ISMS prima dell’intervento esterno o, in alternativa, effettuare un pre-audit (Gap Analysis) con un Ente accreditato come AS&C.

Dalla preparazione del sistema si passa all’audit di certificazione ISO 27001 vero e proprio le cui fasi principali sono le seguenti:

1. Audit di Fase 1 (Stage 1): Durante questa fase l’auditor raccoglie informazioni e verifica la documentazione inerente il sistema di gestione da certificare e determina quali sono norme obbligatorie e volontarie di riferimento. Questo passaggio è preparatorio per il secondo audit di certificazione.
2. Audit di Fase 2 (Stage 2): Durante questa fase l’auditor verificherà che il sistema di gestione venga realmente applicato dall’azienda. Al termine di questo secondo stage, in assenza di non conformità gravi, l’auditor presenterà richiesta all’organo deliberante per l’emissione della certificazione ISO.

Il certificato rilasciato avrà validità triennale ma il suo mantenimento sarà garantito dagli Audit di Sorveglianza annuali. Questi confermano che il Sistema di Gestione per la Sicurezza delle Informazioni continui ad essere efficace e oggetto di miglioramento continuo.

Diventa Lead Auditor ISO 27001

Clicca sul banner per scoprire i corsi di formazione in programma.

L’allegato A (Annex A) della ISO 27001: Controlli e Misure di Sicurezza

Una parte fondamentale dello standard ISO 27001 è l’Allegato A (Annex A, ISO 27001).

Se da una parte le clausole dal punto 4 al 10 della norma specificano i requisiti per l’istituzione e il funzionamento dell’ISMS, dall’altra l’Allegato A fornisce una lista di riferimento dei controlli di sicurezza (ridotti con la revisione del 2022 da 114 a 93 controlli) che le organizzazioni devono selezionare in base ai rischi individuati.

Questi controlli sono raggruppati in domini che coprono diverse aree di sicurezza, tra cui:

• Controlli organizzativi: definiscono policy, ruoli, responsabilità e strategie di gestione del rischio che guidano il comportamento di sicurezza di un’organizzazione, mirando pertanto ad una governance forte.
• Controlli sulle persone: le persone sono spesso l’anello più debole della sicurezza informatica nonostante firewall e crittografia avanzati. I controlli sulle persone affrontano questa sfida garantendo che dipendenti, appaltatori e terze parti comprendano le proprie responsabilità in materia di sicurezza delle informazioni.
• Controlli fisici: garantiscono che le misure di sicurezza proteggano sia gli aspetti digitali che quelli fisici dell’ambiente di un organizzazione. Infatti, si concentrano su prevenzione accessi non autorizzati a edifici, aree sicure e infrastrutture IT, protezione da minacce ambientali, smaltimento sicuro delle apparecchiature e policy di sicurezza dello spazio di lavoro.
• Controlli tecnologici: forniscono le basi per proteggere i sistemi IT, le reti, le applicazioni e i dati da attacchi, violazioni e accessi non autorizzati. Si tratta di controlli che si concentrano sull’implementazione, il monitoraggio e il mantenimento delle tecnologie di sicurezza informatica.

La selezione dei controlli da implementare dev’essere documentata nella Dichiarazione di Applicabilità (SOA), un documento chiave che mira a giustificare la selezione o l’esclusione di ogni controllo in base all’analisi dei rischi specifica dell’organizzazione.

La Dichiarazione di Applicabilità (SOA) nella ISO 27001

La Dichiarazione di Applicabilità (SOA – Statement of Applicability) è un documento fondamentale e obbligatorio nell’ambito di un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) conforme alla norma ISO/IEC 27001.

Essa rappresenta l’atto conclusivo della fase di valutazione del rischio e formalizza la selezione e la giustificazione dei controlli di sicurezza scelti per mitigare i rischi identificati all’interno del campo di applicazione del Sistema. In sostanza, la SOA elenca tutti i controlli presenti nell’Allegato A della ISO 27001 e, per ciascuno di essi, dichiara se è stato incluso o escludo dall’implementazione, fornendo una giustificazione chiara per la decisione presa.

La SOA si configura inoltre come uno strumento di convergenza essenziale per dimostrare la conformità ai regimi normativi specifici che impongono misure di sicurezza e gestione del rischio, come il GDPR e la Direttiva NIS 2. Dunque, oltre ad assicurare la conformità alla ISO 27001, diventa l’elemento probatorio centrale per dimostrare alle autorità di vigilanza (Garante Privacy, ACN) che l’organizzazione ha gestito il rischio normativo attraverso un framework di sicurezza riconosciuto a livello internazionale.

ISO 27000 Family: standard, linee guida ed estensioni

La norma ISO/IEC 27001:2022 è parte integrante dalla più ampia famiglia di standard ISO 27000, ovvero un insieme coerente di norme che indirizzano specifici aspetti della sicurezza delle informazioni. All’interno sono presenti standard, linee guida ed estensioni in materia di sicurezza IT, Gestione della Privacy (PIMS), Sicurezza Cloud, Protezione Dati PII nel Cloud.

ISO 27001 e servizi Cloud alle PA: la Qualifica ACN

L’Agenzia per la cybersicurezza nazionale (ACN) si occupa di prevenire e mitigare gli attacchi cibernetici e di favorire il raggiungimento dell’autonomia tecnologica. Essere qualificati ACN migliora le capacità di difesa cibernetica delle organizzazioni e allo stesso tempo supporta la costruzione di una reputazione aziendale solida, fondata su affidabilità e impegno nella sicurezza informatica.

Ai fini della Qualificazione di Livello 1 (SC-Livello 1/QC1) e dell’Adeguamento (AC1) dei servizi cloud destinati alla Pubblica Amministrazione (PA), i fornitori sono tenuti a rispettare un insieme dettagliato di requisiti.

Tali requisiti includono caratteristiche essenziali relative a qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità, come specificato nell’Allegato 3 al Regolamento per i servizi cloud per le PA, applicabile ai dati e servizi classificati come ordinari.

Per la qualificazione di Livello 1 (QC1), i fornitori privati devono presentare specifiche certificazioni:

• un’autocertificazione di conformità alla norma ISO 9001 (Sistema di Gestione Qualità), con un campo di applicazione che includa l’erogazione del servizio qualificato e l’assistenza tecnica alla PA;
• la certificazione ISO/IEC 27001 (ISMS);
• le estensioni ISO/IEC 27017 (Tecniche di sicurezza — Codice di condotta per i controlli di sicurezza delle informazioni basato sulla norma ISO/IEC 27002 per i servizi cloud) e ISO/IEC 27018 (Linee guida per la protezione delle informazioni di identificazione personale (PII) nei cloud pubblici che agiscono come processori PII) specifiche per il cloud.

ISO 27001, GDPR e NIS 2 nel Contesto Aziendale

Il panorama regolatorio attuale impone alle organizzazioni, in particolare quelle designate come essenziali o importanti ai sensi della Direttiva NIS 2 (recepita con il D.Lgs. 138/2024), la gestione integrata di due discipline apparentemente divergenti ma intrinsecamente connesse: la cybersecurity e la protezione dei dati personali. 

Tale dicotomia, generata dalla coesistenza degli obblighi di NIS 2 (incentrata su resilienza operativa e sicurezza nazionale) e del GDPR (tutela dei diritti individuali e della privacy), potrebbe generare, in assenza di linee guida congiunte, criticità applicative.

Per superare queste sfide, una metodologia solida per le organizzazioni è l’integrazione e l’unificazione dei requisiti. L’adozione di un framework riconosciuto, come la norma ISO/IEC 27001, permette di stabilire un linguaggio comune e un insieme di misure di sicurezza (proporzionate e dimostrabili per NIS 2 ed adeguate per il GDPR).