Se devi implementare un Sistema di Gestione per la Sicurezza delle Informazioni secondo la norma ISO 27001 devi sapere prima di tutto, che non è un buon inizio cercare scorciatoie. Esistono però dei metodi e degli strumenti che possono agevolare e rendere più veloce questo percorso di implementazione e certificazione. La prima cosa è avere le idee chiare sugli step necessari.

8. Il Piano di Trattamento del rischio
9. Definire come misurare l’efficacia edi controlli
10. Implementare i controlli
11. Piano di formazione
12. Gestire il SGSI
13. Monitorare e misurare il SGSI
14. Audit interni
15. Riesame della direzione
16. Azioni correttive

1) Leadership e impegno della direzione

Il punto 5 della norma è abbastanza chiaro al riguardo. Dimostrare leadership e impegno sembrerebbe scontato e invece tante volte oltrechè sul lato pratico, si fa fatica a rilevarlo anche sulla carta. Assicurare risorse (sia economiche che di personale) è uno degli aspetti fondamentali richiesti dalla norma, ma ancora di più conta quanto la direzione si fa parte attiva e presente durante tutte le fasi di implementazione. Dalla costruzione di una vera cultura aziendale della sicurezza dipende il vero impegno della direzione e la buona riuscita del progetto di implementazione.

2) Impostazione del progetto

L’implementazione della norma deve essere gestito come un progetto. Da come verranno organizzate le risorse e da come le persone coinvolte interagiranno tra di loro, dipende il tempo necessario per l’implementazione e soprattutto la vera riuscita e utilità del Sistema di Gestione per la Sicurezza delle Informazioni. Per le piccole aziende parliamo di un paio di mesi, fino a più di un anno per quelle grandi.

Se non definisci chiaramente cosa deve essere fatto, chi lo farà e in quale lasso di tempo (ad esempio, applicare la gestione del progetto), potresti anche non finire mai il lavoro. Il punto 1 deve comunque essere adeguatamente rispettato.

3) Definire il campo di applicazione

La definizione del Campo di Applicazione può essere un processo semplice come può creare parecchi grattacapi durante tutto il processo d implementazione. Se sei una grande organizzazione, probabilmente ha senso implementare la ISO 27001 solo in una parte della tua organizzazione, se invece la tua azienda ha meno di 50 dipendenti, sarà probabilmente più facile includere l’intera azienda nel campo di applicazione.

Su come definire il perimetro e come ragionare per la definizione del campo di applicazione, ti consigliamo questi due articoli

• Problemi nella definizione del perimentro
• Definizione del campo di applicazione

4) La Politica per la Sicurezza delle Informazioni

L’impegno della direzione si misura anche sulla presenza e qualità della Politica per la Sicurezza delle Informazioni, ma non solo,  anche sulla volontà di richiamarla all’attenzione di tutta l’organizzazione. È il documento interno di più alto livello nel SGSI: non deve essere molto dettagliato, ma deve definire alcuni requisiti di base per la sicurezza delle informazioni nell’organizzazione.

Leggi qui l’articolo:

5) Definire la metodologia di valutazione del rischio

La valutazione del rischio è il cuore del progetto ISO 27001: lo scopo della metodologia è definire le regole per identificare i rischi, la magnitudo (gli impatti) e la verosimiglianza (la probabilità) per definire il livello di rischio accettabile.

Se le regole e il metodo non fosse ben definit, si “rischia” di avere dei risultati distorti e poco utili.

Leggi qui l’articolo ISO 27001 Valutazione, Trattamento e Gestione del Rischio: La Guida Completa).

6) Eseguire la valutazione e il trattamento del rischio

Questo passaggio consiste nella valutazione dei rischi vera e propria. L’obiettivo è ottenere un quadro completo dei pericoli interni ed esterni per i dati e le informazioni dell’organizzazione.

Lo scopo è ridurre impatto e/o verosimiglianza per rendere i rischi accettabili – in questo lavoro è di fondamentale importanza l’elenco dei controlli dell’allegato A. Inoltre, è necessario ottenere un’approvazione dei rischi residui.

Leggi qui l’articolo ISO 27001 Valutazione, Trattamento e Gestione del Rischio: La Guida Completa).

7) Scrivere la Dichiarazione di Applicabilità

Seguire l’Allegato A della norma ci consentirà di fare una valutazione completa, scegliendo accuratamente quali controlli implementare e quali eventualmente escludere. Lo scopo della SoA (Sentence of Applicability) non è altro che quello di elencare tutti i controlli e definire quali sono applicabili e quali no, le ragioni di tale decisione e una descrizione di come sono implementati nell’organizzazione.

La Dichiarazione di Applicabilità è anche il documento più idoneo per ottenere l’autorizzazione da parte della direzione per l’implementazione dell’SGSI.

(Per saperne di più, leggi l’articolo The importance of Statement of Applicability for ISO 27001).

8) Il Piano per il Trattamento del Rischio

Il piano di trattamento dei rischi è un piano di implementazione incentrato sui tuoi controlli, soprattutto quando i rischi correlati sono ancora troppo alti e necessitano appunto di un trattamento ulteriore. Lo scopo è definire esattamente come devono essere implementati i controlli della SoA chi lo farà, quando, con quale budget, ecc.

9) Definire come misurare l’efficacia dei controlli

La misurazione è la base per definire se uno strumento è utile oppure no, se deve essere migliorato e in che termini. Questo aspetto viene spesso sottovalutato, definisce invece se il nostro sistema di gestione sta funzionando, è utile e sta realmente proteggendo dati e informazioni e se sta portando valore aggiunto alla nostra organizzazione.

Pertanto, assicurati di definire come misurerai il raggiungimento degli obiettivi che hai impostato sia per l’intero SGSI, sia per i processi e/o i controlli di sicurezza.

(Leggi di più nell’articolo ISO 27001 control objectives – Why are they important?)

10) Implementare i controlli per la sicurezza

È solitamente il compito più difficile del progetto di implementazione, perché significa imporre nuovi comportamenti, introdurre nuove politiche e procedure (il che significa che è necessario un cambiamento) e le persone di solito si oppongono al cambiamento: ecco perché il piano di formazione e consapevolezza è fondamentale per evitare tale rischio.

11) Il Piano di formazione

I dipendenti e collaboratori devono sapere che il loro ruolo prevede delle responsabilità anche sul piano della sicurezza delle informaizoni. Così come devono essere consapevoli del loro contributo all’intero sistema di gestione. Se vuoi che le persone implementino tutte le nuove politiche e procedure, devi spiegare loro perché queste sono necessarie e formarle affinché siano ​​in grado di agire come previsto.

L’assenza di formazione e consapevolezza è la seconda ragione più comune per il fallimento del progetto ISO 27001.

(Per ulteriori informazioni su formazione e sensibilizzazione, leggi l’articolo How to perform training & awareness for ISO 27001 and ISO 22301).

12) Gestire l’SGSI

La gestione del SGSI è la parte in cui la ISO 27001 diventa una routine quotidiana nell’organizzazione. Mantenere il Sistema di Gestione per la Sicurezza delle Informazioni, significa fare quotidianamente quello che abbiamo scritto nelle politiche e nelle procedure. Il rispetto delle scadenze e le necessarie registrazioni, sono il modo con il quale dimostriamo in fase di Audit (interno ed esterno) il rispetto e la conformità dello standard. Senza registrazioni, sarà molto difficile dimostrare che un’attività è stata svolta davvero.

Ma le registrazioni dovrebbero in primo luogo aiutarti: usandole, puoi monitorare ciò che sta accadendo; saprai effettivamente con certezza se i tuoi dipendenti (e fornitori) stanno svolgendo i loro compiti come richiesto.

(Leggi di più nell’articolo Records management in ISO 27001).

13) Monitorare e misurare l’SGSI

Verificare il funzionamento del nostro Sistema di Gestione per la Sicurezza delle Informazioni, consiste nel controllar se gli obiettivi raggiunti sono in linea con quanto programmato e previsto. In caso contrario, sai che qualcosa non va: devi eseguire azioni correttive e/o preventive.

(Ulteriori informazioni nell’articolo How to perform monitoring and measurement in ISO 27001).

14) L’Audit interno

La verifica interna è uno strumento che dovrebbe essere il più imparziale possibile. Questo per anticipare quanto avverrà durante le verifiche condotte da un’organizzazione esterna (cliente o ente certificatore) che ci “obbligherà” con delle osservazioni o nel peggiore dei casi con delle “Non Conformità” ad azioni correttive per rimediare. Il punto non è avviare azioni disciplinari, ma intraprendere azioni correttive affinché tali problemi non si ripetano.

(Per maggiori informazioni leggi l’articolo How to prepare for an ISO 27001 internal audit.)

15) Il Riesame della direzione

L’alta direzione della tua azienda non deve configurare il tuo firewall, ma deve sapere cosa sta succedendo nell’SGSI, ovvero se tutti hanno svolto i propri compiti e se l’SGSI sta ottenendo i risultati desiderati, soddisfacendo i requisiti definiti. Sulla base di ciò, la direzione deve prendere alcune decisioni cruciali come l’approvazione del budget per la sicurezza, l’allineamento della sicurezza con la strategia aziendale, ecc.

(Ulteriori informazioni nell’articolo Why is management review important for ISO 27001?)

16) Azioni correttive e preventive

Lo scopo del sistema di gestione è garantire che tutto ciò che non è conforme allo standard sia corretto e possibilmente prevenuto. La ISO 27001 richiede pertanto che le azioni correttive siano eseguite sistematicamente, il che significa che la causa principale di una non conformità deve essere identificata, quindi risolta e verificata.

(Leggi l’articolo Practical use of corrective actions for ISO 27001).