Pubblicato il

Speciale ISO 27001 – sistema di gestione sicurezza informazioni

Ciao!

oggi ti segnalo gli articoli di approfondimento sulla norma ISO 27001 – sistema di gestione sicurezza del lavoro che puoi consultare dal seguente link:

https://edirama.org/category/iso-27001/

_ Che cosa è la norma ISO 27001 e come realizzarla
_ Quali analisi rischi informazioni utilizzare?
_ Diventare consulente ISO 27001
_ Per quanto tempo un’azienda deve conservare i log dei visitatori?
_ La valutazione dei rischi quando si implementa un sistema di gestione sicurezza informazioni ISO 27001

Dal seguente link puoi accedere alle soluzioni per la formazione e l’implementazione di un sistema di gestione sicurezza informazioni ISO 27001, costituite da:

Kit audit Interno ISO 27001:2017

Audit check list ISO 27017

Audit check list ISO 27018

Kit documentazione ISO 27001:2017 vers. 2.0

Software Analisi Rischi Asset ISO 27001

Kit Esperto ISO 27001:2017 – Sistema di gestione sicurezza informazioni

Pubblicato il

Che cosa è la certificazione ISO 27001 e come realizzarla

Che cosa è la certificazione ISO 27001 e come realizzarla

La norma internazionale ISO 27001 regola la sicurezza delle informazioni nelle organizzazioni private, pubbliche o non a scopo di lucro. Descrive i requisiti per impostare, realizzare, gestire e ottimizzare un sistema di gestione della sicurezza delle informazioni.

Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 27001

Struttura della norma ISO 27001

4.0 CONTESTO DELL’ORGANIZZAZIONE

L’Organizzazione deve determinare i fattori interni ed esterni pertinenti alle sue finalità che influenzano la sua  capacità  di conseguire gli esiti previsti per il proprio sistema di gestione per la sicurezza delle informazioni.

 

5. LEADERSHIP

L’Alta Direzione deve dimostrare la propria leadership e impegno nei riguardi del sistema di gestione per la sicurezza delle informazioni mediante:

  1. Assicurando che la politica e gli obiettivi per la sicurezza delle informazioni siano stabiliti  e siano compatibili con gli indirizzi strategici dell’Organizzazione;
  2. Assicurando l’integrazione dei  requisiti del sistema di gestione per la sicurezza delle informazioni  nei  processi aziendali;
  3. Assicurando la disponibilità delle risorse necessarie al sistema di gestione per la sicurezza delle informazioni;
  4. Comunicando l’importanza  di un’efficace gestione della sicurezza delle informazioni e dell’essere conforme ai requisiti  del sistema di gestione per la sicurezza delle informazioni;
  5. Assicurando che il sistema di gestione per la sicurezza delle informazioni   consegua gli esiti previsti;
  6. Fornendo guida e sostegno  alle persone  per contribuire all’efficacia  del sistema di gestione per la sicurezza delle informazioni;
  7. Promuovendo il miglioramento continuo;
  8. Fornendo sostegno  ad altri pertinenti  ruoli gestionali  nel dimostrare  la propria leadership  come opportuno  nelle rispettive aree di responsabilità.

6. PIANIFICAZIONE

Nel pianificare il sistema di gestione per la sicurezza delle informazioni secondo ISO 27001, l’Organizzazione  deve considerare i  fattori di cui al punto 4.1 ed i requisiti di cui al punto 4.2  e determinare i rischi e le opportunità che è necessario  affrontare per:

  1. Assicurare che il sistema di gestione per la sicurezza delle informazioni possa conseguire gli esiti previsti;
    1. Prevenire o ridurre gli effetti indesiderati;
    1. Realizzare il miglioramento continuo;

L’Organizzazione deve pianificare:

  • Le azioni per affrontare questi rischi e  le opportunità;
    • Le modalità per:
      • integrare  e attuare le azioni  nei processi  del proprio sistema di gestione per la sicurezza delle informazioni;
      • valutare l’efficacia di tali azioni.

7. SUPPORTO

L’Organizzazione deve determinare e mettere a disposizione le risorse necessarie per stabilire, attuare, mantenere  e migliorare in modo continuo il sistema di gestione per la sicurezza delle informazioni.

Deve:

  • Determinare le necessarie competenze per le persone che svolgono attività sotto il suo controllo e che influenzano  le sue prestazioni  relative alla sicurezza delle informazioni.
  • Assicurare che queste persone siano competenti sulla base di istruzione, formazione, addestramento o esperienze appropriate;
  • Ove applicabile, intraprendere  azioni per acquisire  la necessaria competenza  e valutare l’efficacia delle azioni intraprese;
  • Conservare appropriate informazioni documentate  quale evidenza delle competenze.

 

8. ATTIVITA’ OPERATIVE

L’Organizzazione deve pianificare, attuare  e tenere sotto controllo i processi necessari per soddisfare i requisiti di sicurezza  delle informazioni e per mettere in atto le azioni determinate  al punto 6.1.

Deve anche attuare i piani per conseguire gli obiettivi per la sicurezza delle informazioni di cui al punto 6.2; conservare le informazioni documentate nella misura necessaria ad avere fiducia che i processi siano stati eseguiti come pianificato; tenere sotto controllo  le modifiche pianificate e riesaminare le conseguenze dei cambiamenti involontari, intraprendendo azioni per mitigare qualunque  effetto negativo per quanto necessario e assicurare che i processi affidati all’esterno siano determinati e tenuti sotto controllo

9. VALUTAZIONE DELLE PRESTAZIONI

L’Organizzazione deve valutare le prestazioni della sicurezza delle informazioni e l’efficacia del sistema di gestione per la sicurezza delle informazioni e deve terminare:

  1. Cosa è necessario monitorare e misurare, includendo  i processi ed i controlli relativi  alla sicurezza delle informazioni;
    1. I metodi per il monitoraggio, la misurazione, l’analisi e la valutazione, in quanto applicabili, per assicurare risultati validi;
    1. Quando i monitoraggi e le misurazioni devono essere effettuati;
    1. Chi deve monitorare e misurare;
    1. Quando i risultati dei monitoraggi e delle misurazioni devono essere analizzati e valutati;
    1. Chi deve analizzare e valutare  tali risultati.
    1. L’Organizzazione deve conservare appropriate informazioni documentate quale evidenza dei risultati  dei monitoraggi e delle misurazioni.

10. MIGLIORAMENTO

L’organizzazione deve:

  • Reagire tempestivamente a incidenti o NC (azioni per tenerli sotto controllo e correggerli; affrontarne le conseguenze).
  • Valutare, azioni correttive per eliminare le cause dell’incidente o della NC.i
  • Riesaminare le valutazioni esistenti dei rischi per la SGSI e di altri rischi.
  • Determinare e attuare ogni azione necessaria, comprese le azioni correttive e la gestione del cambiamento.
  • Valutare i rischi per la SGSI che riguardano pericoli nuovi o modificati.
  • Riesaminare efficacia di ogni azione intrapresa, comprese le azioni correttive.
  • Effettuare modifiche del SGSI.

ANNEX A

Di fondamentale importanza è l’Annex A della ISO 27001 che contiene i 114 “controlli” (o contromisure) a cui, l’organizzazione che intende applicare la norma, deve attenersi.

Essi riguardano l’altro:
la politica e l’organizzazione per la sicurezza delle informazioni
la sicurezza delle risorse umane
la gestione degli asset
il controllo degli accessi logici
la crittografia
la sicurezza fisica e ambientale
la sicurezza delle attività operative
la sicurezza delle comunicazioni
la gestione della sicurezza applicativa
la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
la gestione della Business Continuity
il rispetto normativo

Come ottenere la certificazione ISO 27001?

L’audit di certificazione viene effettuato da un organismo accreditato che provvede a  verificare la conformità del sistema documentale  rispetto ai requisiti della norma. Il tutto si conclude con l’ emissione del certificato (validità 3 anni) , che deve essere rinnovato annualmente mediante gli audit di prima e seconda sorveglianza per confermare o meno l’effettivo mantenimento del sistema ISO 27001.
Alla fine del terzo anno viene effettuato un audit per l’eventuale nuova conferma triennale.
La certificazione garantisce tutte le parti interessate (clienti, autorità di vigilanza, consumatori, cittadini) che l’organizzazione opera in conformità ai requisiti stabiliti nello standard di riferimento.

Quanto tempo è necessario per completare la certificazione ISO 27001 e quanto costa?

I tempi necessari al raggiungimento della certificazione dipendono dalla complessità dei processi aziendali e dalla “partecipazione attiva” dell’azienda.
In media occorrono c.a. 4-6 mesi.
Per quanto concerne i costi, questi possono variare in funzione della tipologia di azienda.
Puoi utilizzare questo tools per confrontare diversi preventivi.

Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 27001

 

Pubblicato il

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

È difficile consigliare metodi o strumenti particolari per effettuare l’analisi rischi informazioni, in ambito ISO 27001  senza prendere in considera la tipologia dell’ organizzazione in termini di capacità interna nell’analisi dei rischi e nella gestione della sicurezza delle informazioni, delle sue dimensioni e complessità, del settore, dello stato del SGSI e così via.

Mentre la norma ISO/IEC 27005 offre consigli generali sulla scelta e l’utilizzo di metodi di analisi o valutazione del rischio delle informazioni, gli standard ISO 27000 non specificano alcun metodo , offrendo la flessibilità di selezionare un metodo, o più probabilmente diversi metodi e/o strumenti, che si adattano alle esigenze dell’organizzazione.

Esistono molti metodi e strumenti diversi di analisi del rischio delle informazioni (li vedremo prossimamente dei dettagli).

Possiamo suddividerli  a grandi linee in due gruppo che condividono caratteristiche ampiamente simili: i metodi quantitativi (matematici) e qualitativi (esperienziali).

Nessuno di loro è esplicitamente richiesto o raccomandato dagli standard ISO 27000 (forniscono alcune indicazioni) che lasciano la scelta del metodo/i agli utenti, a seconda delle loro esigenze e a fattori come la loro familiarità con determinati metodi.

E’ perfettamente accettabile e sovente consigliato, che un’organizzazione utilizzi più metodi di analisi dei rischi. Alcuni sono più adatti a situazioni particolari rispetto ad altri – ad esempio, potrebbe avere senso utilizzare un semplice metodo di valutazione rischi per una visione più generale della situazione sicurezza informazioni, per poi passare ad altri metodi più dettagliati per esaminare questi aspetti particolari in modo più completo.

Inoltre, alcuni metodi di analisi dei rischi sono selezionabili in funzione della presenza nell’organizzazione di esperti in attività come audit, gestione dei rischi, salute e sicurezza, progettazione e test delle applicazioni e gestione della continuità aziendale: non vi è alcun reale vantaggio nel costringerli ad abbandonare i loro metodi e strumenti preferiti solo per conformarsi alla ISO 27001.

Anzi, le diverse prospettive, esperienze e intuizioni portate da questi metodi, strumenti ed esperti potrebbero rivelarsi molto preziose (ad esempio, i valutatori della salute e la sicurezza sul lavoro ponderano i “pericoli” utilizzando metodi notevolmente simili alla sicurezza delle informazioni)

Un aspetto a cui fare attenzione, tuttavia, è come risolvere le inevitabili discrepanze nei risultati dei diversi metodi adottati

Le analisi sono semplicemente strumenti di supporto alle decisioni per guidare la direzione aziendale, che deve  prendere le decisioni vitali su quanto investimento in sicurezza è appropriato, quanto rischio può essere tollerato, e quando apportare i necessari miglioramenti alla sicurezza delle informazioni. La risoluzione di tali quesiti richiede visione ed esperienza gestionale e il supporto di esperti ISO 27001.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Pubblicato il

Diventare consulente ISO 27001

Diventare consulente ISO 27001

 

Nell’attuale panorama delle certificazioni ISO, quella 27001 che consente di realizzare un sistema di gestione sicurezza informazioni, è in forte crescita, in virtù delle problematiche aziendali legate alla sicurezza dei dati e del rispetto della normativa privacy.

La certificazione dei sistemi di gestione sicurezza informazioni costituisce un’ottima opportunità per i consulenti che già si occupano di sistemi di gestione e per quelli che hanno maturato esperienza in ambito privacy, sia come consulente che come DPO, ma anche per chi per la prima volta si affaccia a tale mondo

Perchè le aziende ricercano un consulente sistemi di gestione sicurezza informazioni?

L’implementazione di un sistema di gestione ISO 27001 è complesso e un’azienda che decide di implementarlo, non dispone generalmente delle competenze necessarie per ottenere la certificazione ISO 27001 senza assistenza esterna.

Il ricorso al consulente SGSI da parte delle aziende è quindi una tappa obbligatoria anche in funzione dei seguenti vantaggi:

_ rapidità  nello sviluppare il sistema di  gestione sicurezza informazioni
_ riduzione degli errori nella compilazione della documentazione
_ rapidità e maggiore efficienza nel rapporto con l’ente di certificazione.

Quindi da un lato vi è un mercato vivo che richiede l’intervento del consulente ISO 27001, dall’altro vi sono tariffe e compensi molto interessanti per i consulenti SGSI, in quanto le competenze in tale ambito non sono così diffuse tra i professionisti, così come lo sono per esempio nel caso della norma ISO 9001.

Quali competenze deve possedere un buon consulente ISO SGSI?

Innanzitutto la conoscenza della norma ISO 27001 e delle procedure che richiede (a tale scopo puoi consultare Kit documentazione ISO 27001 la raccolta delle procedure ISO 27001).

E’ richiesta altresì la capacità di svolgere l’analisi dei rischi degli asset, da cui poi si sviluppa tutta l’architettura della documentazione del SGSI
Questa fase della consulenza ISO 27001, è molto delicata e richiede un’esperienza pregressa in analisi dei rischi. Con il software Analisi rischi Asset ISO 27001 questa procedura è notevolmente facilitata grazie alla possibilità di automatizzare tutti i passaggi richiesti.

Un’altra skill che deve possedere il consulente ISO 27001 è rappresentata dalla capacità di svolgere correttamente l’audit sia iniziale che quello finale prima di avviare l’iter  per la certificazione.
Questa attività richiedere l’utilizzo di un’adeguata e completa check list, la capacità di redigere per l’alta direzione un report di audit comprensibile, un atteggiamento che coinvolga positivamente tutto il personale dell’azienda interessato all’attività di audit del sistema di gestione sicurezza delle informazioni.

Quanto può essere il compenso per una consulenza richiesta per sviluppare un sistema di gestione sicurezza informazioni?
Il compenso è variabile, in funzione della complessità dell’azienda e della tipologia di attività.
Di norma una consulenza ISO 27001 non scende come importo sotto i 6000/8000 euro.

 

Pubblicato il

FAQ – ISO 27001 – Per quanto tempo un’azienda può conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

 

Pubblicato il

La valutazione dei rischi quando si implementa un SGSI ISO 27001

La valutazione dei rischi quando si implementa un SGSI ISO 27001

iso27001

La norma UNI CEI ISO 27001 ( Sistemi di gestione della sicurezza delle informazioni – Requisiti ), richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

La  valutazione dei rischi ISO 27001 si articola fondamentalmente in cinque passaggi importanti:
1. definizione della  struttura che si occuperà della valutazione dei rischi;
2. identificazione  dei rischi;
3. analisi dei rischi;
4. valutazione dei rischi;
5. scelta delle modalità di gestione dei rischi.
La struttura di valutazione dei rischi comporta  la scelta della/e persona/e responsabili della valutazione. In genere si procede affidando a un consulente esterno tale compito, un professionista che abbia già svolto tale attività precedentemente

L’identificazione dei rischi deve avvenire in modo analitico con la collaborazione dei responsabili di settore e la supervisione del Responsabile IT.

Identificare i rischi che  influenzano la riservatezza, l’integrità e la disponibilità delle informazioni richiede è un’attività del processo di valutazione dei rischi che richiede molto tempo e attenzione.

Il punto di partenza è l’identificazione degli asset, ovvero le risorse informative che possono subire danni.

È inoltre necessario definire i criteri di accettazione dei rischi, cioè comprenderne l’impatto sull’organizzazione e le probabilità che si presentino effettivamente.

Determinare l’impatto e la probabilità di un rischio dato consente di determinarne la reale gravità. Spesso i responsabili della gestione dei rischi presentano questa semplice matrice:
Probabilità
È possibile utilizzare i risultati di questa analisi per decidere come reagire ai rischi.
A tal fine è necessario considerare quattro tipi di reazione:
1. tollerare il rischio;
2. gestirlo mediante controlli;
3. eliminarlo evitandolo completamente;
4. trasferirlo, mediante un’assicurazione o un accordo con altre parti.