24.01.2024
Idee
Information Security: Coopservice ottiene la certificazione ISO/IEC 27001
Si tratta del principale standard internazionale per la sicurezza delle informazioni in possesso di una organizzazione

Con la 27001 un approccio a 360° all’information security

Coopservice ha ottenuto la certificazione ISO/IEC 27001, la principale norma internazionale che regola la sicurezza delle informazioni in possesso di una azienda, uno standard messo a punto dall’International Organization for Standardization (ISO) in collaborazione con la International Electrotechnical Commission (IEC). Nello specifico con la 27001 vengono fissati determinati requisiti considerati indispensabili per lo sviluppo e il mantenimento dei sistemi di gestione della sicurezza delle informazioni (ISMS, information security management systems). Considerato l’incremento del crimine informatico e l'emergere costante di nuove minacce, ISO/IEC 27001 aiuta le organizzazioni ad assumere consapevolezza dei rischi e a identificare e affrontare in modo proattivo i punti deboli.

Non solo uno standard di sicurezza informatica

La gestione della sicurezza delle informazioni è infatti sempre più un segmento strategico per le direzioni aziendali a seguito della rilevanza e della quantità di contenuti informativi che quotidianamente vengono ‘elaborati’, soprattutto attraverso gli strumenti informatici. È bene però chiarire preliminarmente che la ISO/IE 27001 non va intesa unicamente come uno standard di sicurezza informatica, ma quale normativa che consente alle organizzazioni un approccio a 360° al tema della sicurezza delle informazioni possedute, occupandosi, oltre che degli aspetti specifici inerenti il trattamento delle risorse digitali, sia degli aspetti di sicurezza ‘fisica’ sia di quella ‘ambientale’ e ‘organizzativa’.

Gli aspetti altrettanto importanti della sicurezza fisica, ambientale e organizzativa

Certo un elemento imprescindibile è costituito dalla sicurezza delle reti, delle dotazioni hardware e dei sistemi di information technology, inclusi i sistemi operativi e i software, in modo da garantire che essi siano sicuri e protetti contro la perdita dei dati. Ma accanto agli aspetti correlati ai processi di progressiva digitalizzazione, nella norma assume un’altrettanta decisiva importanza la sicurezza fisica e ambientale, prevedendo le procedure e i controlli volti a impedire l'accesso non autorizzato alle aree fisiche di conservazione dei contenuti e la protezione delle apparecchiature e delle strutture da una possibile compromissione causata dall'intervento umano o da eventi ‘naturali’.

Una guida per implementare i sistemi di gestione della sicurezza delle informazioni (ISMS)

La gestione della sicurezza delle informazioni non riguarda pertanto solo la sicurezza informatica (server, backup, firewall, antivirus ecc.), ma anche la gestione dei processi, la tutela legale, la gestione delle risorse umane, la protezione fisica. Perché allo standard ISO/IEC 27001 fa riferimento tutto ciò che è riconducibile alla categoria ‘informazioni’: dai documenti in formato digitale a quelli in formato cartaceo, dalle strumentazioni hardware alle competenze del personale. Possiamo dunque definire la norma ISO/IEC 27001 una combinazione di politiche, procedure e controlli che consente alle organizzazioni di qualsiasi tipologia e settore di adottare un sistema efficace di gestione della sicurezza delle proprie informazioni sensibili, riducendo in tal modo il rischio di violazioni di dati, cyber attacchi e altre tipologie di possibili incidenti.

Obiettivo prevenzione e controllo dei rischi di violazioni e cyber attacchi

Più in generale, si può senz'altro affermare che l'obiettivo della ISO/IEC 27001 è proteggere le informazioni in possesso di una organizzazione, garantendo che risorse come i rendiconti finanziari, la proprietà intellettuale, i dati dei dipendenti e le informazioni affidate da terzi rimangano integre, riservate e disponibili secondo necessità. Una protezione da attuare partendo dall’individuazione dei potenziali problemi che potrebbero verificarsi (valutazione del rischio), e, conseguentemente, definendo ciò che è necessario fare per evitare che si verifichino, ovvero prevedendo tecniche e procedure per la mitigazione e il trattamento del rischio. Pertanto, la filosofia principale della ISO 27001 si basa su un processo di gestione dei rischi: scoprire dove essi si insidiano al fine di trattarli sistematicamente, attraverso l'implementazione di un sistema in cui si definiscono protezioni e controlli di sicurezza.

Politiche, procedure e controlli di sicurezza per il miglioramento continuo degli ISMS

Che cosa significa dunque implementare gli ISMS, Information Security Management Systems? Si tratta di sistemi fondati sull’applicazione del cosiddetto ‘ciclo di Deming’ (PDCA – Plan, Do, Check, Act), metodo di gestione in quattro fasi utilizzato nel total quality management per il controllo e il miglioramento continuo dei processi e dei prodotti. Nello specifico, per quanto attiene ai processi di messa in sicurezza delle informazioni, lo standard 27001 fornisce una guida gestionale che prevede requisiti per il risk management, l’asset management, il controllo degli accessi, la crittografia, la gestione degli incidenti, consentendo in tal modo una gestione dei rischi che garantisca al contempo:
•    la riservatezza, 
•    l'integrità,
•    la disponibilità dei dati informativi di cui si è in possesso.

I 3 princìpi fondamentali della sicurezza delle informazioni secondo lo standard 27001

Riservatezza, integrità e disponibilità costituiscono infatti i 3 princìpi fondamentali della ISO/IEC 27001:
•    riservatezza, in quanto le informazioni sono protette dalla divulgazione non autorizzata e pertanto solo le persone autorizzate hanno diritto ad accedervi;
•    integrità, poiché si certifica che i contenuti in proprio possesso vengono archiviati in modo affidabile così da garantire che siano accurati, completi e non manomessi, e che dunque solo le persone autorizzate possano apportare modifiche;
•    disponibilità, così da assicurare che le informazioni siano pienamente accessibili alle persone autorizzate ogni volta che si renda necessario.
Ai tre capisaldi della norma si aggiungono poi due ulteriori elementi che completano la dotazione di sicurezza di base, e che si riferiscono essenzialmente ai sistemi e alle procedure informative digitali:
•    autenticità, nel senso che l’identità dell’utente e dei sistemi può essere verificata;
•    ‘non-repudiation’, ovvero l’impossibilità di disconoscere interazioni e ‘transaction’ che devono rimanere tracciate e verificate.

I plurimi benefici dell’adesione alla norma 27001

Date le sue caratteristiche, lo standard ISO/IEC 27001 si configura quale strumento prezioso per le organizzazioni che cercano di migliorare il proprio livello di sicurezza e dimostrare ai propri stakeholder l'impegno a proteggere le informazioni sensibili. Più analiticamente si possono individuare per le imprese e le organizzazioni aderenti i seguenti vantaggi:
•    una maggiore sicurezza delle informazioni e dei dati su tutti i supporti (cartacei, cloud, digital data);
•    sviluppo della resilienza dell’intera organizzazione agli attacchi informatici;
•    riduzione del rischio di incidenti di sicurezza;
•    miglioramento della reputation e della fiducia di partner e clienti, i quali hanno modo di apprezzare che le informazioni che li riguardano siano al sicuro;
•    conformità ai requisiti legali e normativi, dato il numero crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni.

Aggregatore Risorse

Con il Report Integrato 2023 Coopservice conferma il proprio impegno nella gestione trasparente della sostenibilità
Idee
08.10.2024
Con il Report Integrato 2023 Coopservice conferma il proprio impegno nella gestione trasparente della sostenibilità
Come già nell’esercizio precedente, in anticipo sugli obblighi normativi vengono recepiti i nuovi standard europei per la definizione della reportistica ESG
Come già nell’esercizio precedente, in anticipo sugli obblighi normativi vengono recepiti i nuovi standard europei per la definizione della reportistica ESG. Il Report risulta così redatto e pubblicato secondo due modalità: nella versione ‘consolidata’ secondo gli standard GRI ma anche nella modalità ‘aggiornata’ incorporando i criteri ESRS introdotti nel luglio dello scorso anno. Una conferma, questa, di una scelta totalmente volontaria di immediato avvicinamento alla nuova Corporate Sustainability Reporting Directive – CSRD, nell’ottica di migliorare costantemente la trasparenza e la comparabilità delle informazioni fornite agli investitori, agli stakeholder e alle comunità di riferimento.
Con la piattaforma Futuring, Coopservice comunica in tempo reale il proprio impegno per la sostenibilità
Idee
20.06.2024
Con la piattaforma Futuring, Coopservice comunica in tempo reale il proprio impegno per la sostenibilità
Il Report Integrato da statico e rivolto al passato diventa ‘live’, con una rendicontazione continuamente aggiornata
Futuring si presenta come uno strumento dinamico di rendicontazione, di fatto un progetto di trasformazione del Report Integrato pubblicato da Coopservice a partire dal 2017. Superando la staticità dell'annuale pubblicazione cartacea in direzione dell’aggiornabilità tempestiva e continua resa possibile dal web, la piattaforma racconta in presa diretta le iniziative e le azioni messe in campo dal Gruppo per la sostenibilità. Un sito di facile consultazione, con una grafica fresca e accattivante, un linguaggio chiaro e diretto e, soprattutto, con contenuti di interesse e valore per tutti gli stakeholder aziendali che possono così scoprire e verificare le tante azioni concrete messe in campo.
I 10 megatrend del cleaning del futuro (prossimo) secondo Interclean 2024
Idee
22.05.2024
I 10 megatrend del cleaning del futuro (prossimo) secondo Interclean 2024
La più grande fiera commerciale del settore ha sancito il dominio delle nuove tecnologie. I principali impatti attesi dal crescente ricorso all’AI e alla Realtà Aumentata e Virtuale
La più grande fiera commerciale del settore ha sancito il dominio delle nuove tecnologie le quali hanno assunto il ruolo di 'driver' di uno sviluppo destinato a cambiare i connotati del mondo delle pulizie professionali. Nuovi scenari che fanno già parte del presente, imperniati sul lavoro di operatori high-tech, formati nell’utilizzo di ausili informatici e robotici, in grado di interpretare in presa diretta la grande quantità di dati disponibili sulle caratteristiche e le condizioni degli ambienti. Proprio seguendo la pista dello sviluppo tecnologico l’edizione 2024 di Interclean ha focalizzato l’attenzione su 10 macro-tendenze che delineano un futuro che è ormai già oltre l’angolo di svolta.