Oggi, la questione della sicurezza delle informazioni (di seguito denominata sicurezza delle informazioni) delle aziende è una delle più urgenti al mondo. E questo non sorprende, perché in molti paesi i requisiti per le organizzazioni che archiviano ed elaborano dati personali sono sempre più stringenti. Attualmente, la legislazione russa richiede il mantenimento di una parte significativa del flusso di documenti in formato cartaceo. Allo stesso tempo, la tendenza alla digitalizzazione è evidente: molte aziende archiviano già una grande quantità di informazioni riservate sia in formato digitale che sotto forma di documenti cartacei.
Secondo i risultati Centro analitico anti-malware, l'86% degli intervistati ha notato che durante l'anno hanno dovuto risolvere almeno una volta incidenti dopo attacchi informatici o come risultato di violazioni da parte degli utenti delle normative stabilite. A questo proposito, dare priorità alla sicurezza delle informazioni negli affari è diventata una necessità.
Attualmente la sicurezza delle informazioni aziendali non è solo un insieme di mezzi tecnici, come antivirus o firewall, ma è già un approccio integrato alla gestione del patrimonio aziendale in generale e delle informazioni in particolare. Le aziende affrontano questi problemi in modo diverso. Oggi vorremmo parlare dell'implementazione dello standard internazionale ISO 27001 come soluzione a questo problema. Per le aziende sul mercato russo, la presenza di tale certificato semplifica l'interazione con clienti e partner stranieri che hanno requisiti elevati in questa materia. La norma ISO 27001 è ampiamente utilizzata in Occidente e copre i requisiti nel campo della sicurezza delle informazioni, che dovrebbero essere coperti dalle soluzioni tecniche utilizzate e contribuire anche allo sviluppo dei processi aziendali. Pertanto, questo standard può diventare il vostro vantaggio competitivo e un punto di contatto con le aziende straniere.
Questa certificazione del Sistema di Gestione della Sicurezza delle Informazioni (di seguito denominato ISMS) ha raccolto le migliori pratiche per la progettazione di un ISMS e, soprattutto, ha previsto la possibilità di scegliere strumenti di controllo per garantire il funzionamento del sistema, requisiti per il supporto tecnologico di sicurezza e anche per il processo di gestione del personale in azienda. Dopotutto, è necessario capire che i guasti tecnici sono solo una parte del problema. Nelle questioni relative alla sicurezza delle informazioni, il fattore umano gioca un ruolo enorme ed è molto più difficile eliminarlo o minimizzarlo.
Se la tua azienda sta cercando di ottenere la certificazione ISO 27001, potresti aver già provato a trovare il modo più semplice per farlo. Dobbiamo deludervi: qui non esistono vie semplici. Tuttavia, esistono alcuni passaggi che aiuteranno a preparare un'organizzazione ai requisiti internazionali di sicurezza delle informazioni:
1. Ottieni supporto dalla direzione
Potresti pensare che sia ovvio, ma in pratica questo punto viene spesso trascurato. Inoltre, questo è uno dei motivi principali per cui i progetti di implementazione della ISO 27001 spesso falliscono. Senza comprendere il significato del progetto di implementazione dello standard, la direzione non fornirà né risorse umane né budget sufficienti per la certificazione.
2. Sviluppare un piano di preparazione alla certificazione
Prepararsi alla certificazione ISO 27001 è un compito complesso che coinvolge molti tipi diversi di lavoro, richiede il coinvolgimento di un gran numero di persone e può richiedere molti mesi (o addirittura anni). Pertanto, è molto importante creare un piano di progetto dettagliato: allocare risorse, tempo e coinvolgimento delle persone in compiti rigorosamente definiti e monitorare il rispetto delle scadenze, altrimenti potresti non finire mai il lavoro.
3. Definire il perimetro di certificazione
Se hai una grande organizzazione con attività diversificate, potrebbe avere senso certificare solo una parte delle attività dell'azienda secondo la norma ISO 27001, il che ridurrà significativamente il rischio del tuo progetto, nonché i suoi tempi e costi.
4. Sviluppare una politica di sicurezza delle informazioni
Uno dei documenti più importanti è la politica di sicurezza delle informazioni dell'azienda. Dovrebbe riflettere gli obiettivi di sicurezza delle informazioni della tua azienda e i principi di base della gestione della sicurezza delle informazioni, che devono essere seguiti da tutti i dipendenti. Lo scopo di questo documento è determinare ciò che il management dell'azienda vuole ottenere nel campo della sicurezza delle informazioni e come questo verrà implementato e controllato.
5. Definire una metodologia di valutazione del rischio
Uno dei compiti più difficili è definire le regole per la valutazione e la gestione del rischio. È importante capire quali rischi un’azienda può considerare accettabili e quali richiedono un’azione immediata per ridurli. Senza queste regole, l’ISMS non funzionerà.
Allo stesso tempo, vale la pena ricordare l’adeguatezza delle misure adottate per ridurre i rischi. Ma non bisogna lasciarsi trasportare troppo dal processo di ottimizzazione, perché comportano anche grandi costi in termini di tempo e denaro o potrebbero semplicemente essere impossibili. Raccomandiamo di utilizzare il principio della “sufficienza minima” quando si sviluppano misure di riduzione del rischio.
6. Gestire i rischi secondo una metodologia approvata
La fase successiva è l'applicazione coerente della metodologia di gestione dei rischi, ovvero la loro valutazione ed elaborazione. Questo processo deve essere eseguito regolarmente con la massima attenzione. Mantenendo aggiornato il registro dei rischi per la sicurezza delle informazioni, sarai in grado di allocare in modo efficace le risorse aziendali e prevenire incidenti gravi.
7. Pianificare il trattamento del rischio
I rischi che superano un livello accettabile per la vostra azienda devono essere inclusi nel piano di trattamento dei rischi. Dovrebbe registrare le azioni volte a ridurre i rischi, nonché le persone responsabili e le scadenze.
8. Completa la dichiarazione di applicabilità
Questo è un documento chiave che sarà studiato dagli specialisti dell'organismo di certificazione durante l'audit. Dovrebbe descrivere quali controlli di sicurezza delle informazioni si applicano alle attività della tua azienda.
9. Determinare come verrà misurata l'efficacia dei controlli sulla sicurezza delle informazioni.
Qualsiasi azione deve avere un risultato che porti al raggiungimento degli obiettivi stabiliti. Pertanto, è importante definire chiaramente in base a quali parametri verrà misurato il raggiungimento degli obiettivi sia per l’intero sistema di gestione della sicurezza delle informazioni che per ciascun meccanismo di controllo selezionato dall’Allegato sull’Applicabilità.
10. Implementare controlli di sicurezza delle informazioni
E solo dopo aver completato tutti i passaggi precedenti dovresti iniziare a implementare i controlli di sicurezza delle informazioni applicabili dall'Appendice sull'applicabilità. La sfida più grande qui, ovviamente, sarà l'introduzione di un modo completamente nuovo di fare le cose in molti dei processi della vostra organizzazione. Le persone tendono a resistere alle nuove politiche e procedure, quindi presta attenzione al punto successivo.
11. Implementare programmi di formazione per i dipendenti
Tutti i punti sopra descritti non avranno senso se i tuoi dipendenti non comprendono l'importanza del progetto e non agiscono in conformità con le politiche di sicurezza delle informazioni. Se vuoi che il tuo personale rispetti tutte le nuove regole, devi prima spiegare alle persone perché sono necessarie, e poi fornire formazione sull’ISMS, evidenziando tutte le politiche importanti di cui i dipendenti devono tenere conto nel loro lavoro quotidiano. La mancanza di formazione del personale è una ragione comune per il fallimento dei progetti ISO 27001.
12. Mantenere i processi ISMS
A questo punto, la ISO 27001 diventa una routine quotidiana nella tua organizzazione. Per confermare l'implementazione dei controlli di sicurezza delle informazioni in conformità con lo standard, i revisori dovranno fornire registrazioni, prove dell'effettivo funzionamento dei controlli. Ma soprattutto, i registri dovrebbero aiutarti a monitorare se i tuoi dipendenti (e fornitori) stanno svolgendo i loro compiti in conformità con le regole approvate.
13. Monitora il tuo ISMS
Cosa sta succedendo al tuo ISMS? Quanti incidenti hai, di che tipo sono? Tutte le procedure sono seguite correttamente? Con queste domande dovresti verificare se l’azienda sta raggiungendo i suoi obiettivi di sicurezza delle informazioni. In caso contrario, è necessario sviluppare un piano per correggere la situazione.
14. Condurre un audit interno del SGSI
Lo scopo dell'audit interno è identificare le incoerenze tra i processi effettivi dell'azienda e le politiche di sicurezza delle informazioni approvate. Per la maggior parte, si tratta di verificare quanto bene i tuoi dipendenti stanno seguendo le regole. Questo è un punto molto importante, perché se non controlli il lavoro del tuo personale, l'organizzazione potrebbe subire danni (intenzionali o meno). Ma l’obiettivo qui non è trovare i colpevoli e disciplinarli per il mancato rispetto delle politiche, ma correggere la situazione e prevenire problemi futuri.
15. Organizzare un riesame della direzione
Il management non dovrebbe configurare il firewall, ma dovrebbe sapere cosa sta succedendo nell’ISMS: ad esempio, se ognuno sta adempiendo alle proprie responsabilità e se l’ISMS sta raggiungendo i risultati prefissati. Sulla base di ciò, il management deve prendere decisioni chiave per migliorare l’ISMS e i processi aziendali interni.
16. Introdurre un sistema di azioni correttive e preventive
Come ogni standard, la ISO 27001 richiede il “miglioramento continuo”: la correzione sistematica e la prevenzione delle incoerenze nel sistema di gestione della sicurezza delle informazioni. Attraverso azioni correttive e preventive, la non conformità può essere corretta ed evitare che si ripeta in futuro.
In conclusione, vorrei dire che in realtà ottenere la certificazione è molto più difficile di quanto descritto in varie fonti. Ciò è confermato dal fatto che oggi in Russia ce ne sono solo sono stati certificati per la conformità. Allo stesso tempo, questo è uno degli standard più apprezzati all'estero, in grado di soddisfare le crescenti esigenze delle aziende nel campo della sicurezza delle informazioni. Questa richiesta di implementazione è dovuta non solo alla crescita e alla complessità dei tipi di minacce, ma anche ai requisiti della legislazione, nonché ai clienti che necessitano di mantenere la completa riservatezza dei propri dati.
Nonostante la certificazione del SGSI non sia un compito facile, il fatto stesso di soddisfare i requisiti dello standard internazionale ISO/IEC 27001 può fornire un serio vantaggio competitivo nel mercato globale. Ci auguriamo che il nostro articolo abbia fornito una prima comprensione delle fasi chiave nella preparazione di un'azienda alla certificazione.
Fonte: habr.com