24.01.2024
Idee
Information Security: Coopservice ottiene la certificazione ISO/IEC 27001
Si tratta del principale standard internazionale per la sicurezza delle informazioni in possesso di una organizzazione

Con la 27001 un approccio a 360° all’information security

Coopservice ha ottenuto la certificazione ISO/IEC 27001, la principale norma internazionale che regola la sicurezza delle informazioni in possesso di una azienda, uno standard messo a punto dall’International Organization for Standardization (ISO) in collaborazione con la International Electrotechnical Commission (IEC). Nello specifico con la 27001 vengono fissati determinati requisiti considerati indispensabili per lo sviluppo e il mantenimento dei sistemi di gestione della sicurezza delle informazioni (ISMS, information security management systems). Considerato l’incremento del crimine informatico e l'emergere costante di nuove minacce, ISO/IEC 27001 aiuta le organizzazioni ad assumere consapevolezza dei rischi e a identificare e affrontare in modo proattivo i punti deboli.

Non solo uno standard di sicurezza informatica

La gestione della sicurezza delle informazioni è infatti sempre più un segmento strategico per le direzioni aziendali a seguito della rilevanza e della quantità di contenuti informativi che quotidianamente vengono ‘elaborati’, soprattutto attraverso gli strumenti informatici. È bene però chiarire preliminarmente che la ISO/IE 27001 non va intesa unicamente come uno standard di sicurezza informatica, ma quale normativa che consente alle organizzazioni un approccio a 360° al tema della sicurezza delle informazioni possedute, occupandosi, oltre che degli aspetti specifici inerenti il trattamento delle risorse digitali, sia degli aspetti di sicurezza ‘fisica’ sia di quella ‘ambientale’ e ‘organizzativa’.

Gli aspetti altrettanto importanti della sicurezza fisica, ambientale e organizzativa

Certo un elemento imprescindibile è costituito dalla sicurezza delle reti, delle dotazioni hardware e dei sistemi di information technology, inclusi i sistemi operativi e i software, in modo da garantire che essi siano sicuri e protetti contro la perdita dei dati. Ma accanto agli aspetti correlati ai processi di progressiva digitalizzazione, nella norma assume un’altrettanta decisiva importanza la sicurezza fisica e ambientale, prevedendo le procedure e i controlli volti a impedire l'accesso non autorizzato alle aree fisiche di conservazione dei contenuti e la protezione delle apparecchiature e delle strutture da una possibile compromissione causata dall'intervento umano o da eventi ‘naturali’.

Una guida per implementare i sistemi di gestione della sicurezza delle informazioni (ISMS)

La gestione della sicurezza delle informazioni non riguarda pertanto solo la sicurezza informatica (server, backup, firewall, antivirus ecc.), ma anche la gestione dei processi, la tutela legale, la gestione delle risorse umane, la protezione fisica. Perché allo standard ISO/IEC 27001 fa riferimento tutto ciò che è riconducibile alla categoria ‘informazioni’: dai documenti in formato digitale a quelli in formato cartaceo, dalle strumentazioni hardware alle competenze del personale. Possiamo dunque definire la norma ISO/IEC 27001 una combinazione di politiche, procedure e controlli che consente alle organizzazioni di qualsiasi tipologia e settore di adottare un sistema efficace di gestione della sicurezza delle proprie informazioni sensibili, riducendo in tal modo il rischio di violazioni di dati, cyber attacchi e altre tipologie di possibili incidenti.

Obiettivo prevenzione e controllo dei rischi di violazioni e cyber attacchi

Più in generale, si può senz'altro affermare che l'obiettivo della ISO/IEC 27001 è proteggere le informazioni in possesso di una organizzazione, garantendo che risorse come i rendiconti finanziari, la proprietà intellettuale, i dati dei dipendenti e le informazioni affidate da terzi rimangano integre, riservate e disponibili secondo necessità. Una protezione da attuare partendo dall’individuazione dei potenziali problemi che potrebbero verificarsi (valutazione del rischio), e, conseguentemente, definendo ciò che è necessario fare per evitare che si verifichino, ovvero prevedendo tecniche e procedure per la mitigazione e il trattamento del rischio. Pertanto, la filosofia principale della ISO 27001 si basa su un processo di gestione dei rischi: scoprire dove essi si insidiano al fine di trattarli sistematicamente, attraverso l'implementazione di un sistema in cui si definiscono protezioni e controlli di sicurezza.

Politiche, procedure e controlli di sicurezza per il miglioramento continuo degli ISMS

Che cosa significa dunque implementare gli ISMS, Information Security Management Systems? Si tratta di sistemi fondati sull’applicazione del cosiddetto ‘ciclo di Deming’ (PDCA – Plan, Do, Check, Act), metodo di gestione in quattro fasi utilizzato nel total quality management per il controllo e il miglioramento continuo dei processi e dei prodotti. Nello specifico, per quanto attiene ai processi di messa in sicurezza delle informazioni, lo standard 27001 fornisce una guida gestionale che prevede requisiti per il risk management, l’asset management, il controllo degli accessi, la crittografia, la gestione degli incidenti, consentendo in tal modo una gestione dei rischi che garantisca al contempo:
•    la riservatezza, 
•    l'integrità,
•    la disponibilità dei dati informativi di cui si è in possesso.

I 3 princìpi fondamentali della sicurezza delle informazioni secondo lo standard 27001

Riservatezza, integrità e disponibilità costituiscono infatti i 3 princìpi fondamentali della ISO/IEC 27001:
•    riservatezza, in quanto le informazioni sono protette dalla divulgazione non autorizzata e pertanto solo le persone autorizzate hanno diritto ad accedervi;
•    integrità, poiché si certifica che i contenuti in proprio possesso vengono archiviati in modo affidabile così da garantire che siano accurati, completi e non manomessi, e che dunque solo le persone autorizzate possano apportare modifiche;
•    disponibilità, così da assicurare che le informazioni siano pienamente accessibili alle persone autorizzate ogni volta che si renda necessario.
Ai tre capisaldi della norma si aggiungono poi due ulteriori elementi che completano la dotazione di sicurezza di base, e che si riferiscono essenzialmente ai sistemi e alle procedure informative digitali:
•    autenticità, nel senso che l’identità dell’utente e dei sistemi può essere verificata;
•    ‘non-repudiation’, ovvero l’impossibilità di disconoscere interazioni e ‘transaction’ che devono rimanere tracciate e verificate.

I plurimi benefici dell’adesione alla norma 27001

Date le sue caratteristiche, lo standard ISO/IEC 27001 si configura quale strumento prezioso per le organizzazioni che cercano di migliorare il proprio livello di sicurezza e dimostrare ai propri stakeholder l'impegno a proteggere le informazioni sensibili. Più analiticamente si possono individuare per le imprese e le organizzazioni aderenti i seguenti vantaggi:
•    una maggiore sicurezza delle informazioni e dei dati su tutti i supporti (cartacei, cloud, digital data);
•    sviluppo della resilienza dell’intera organizzazione agli attacchi informatici;
•    riduzione del rischio di incidenti di sicurezza;
•    miglioramento della reputation e della fiducia di partner e clienti, i quali hanno modo di apprezzare che le informazioni che li riguardano siano al sicuro;
•    conformità ai requisiti legali e normativi, dato il numero crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni.

Tag
Think Magazine, safety, salute e sicurezza, sicurezza, prevenzione,

Aggregatore Risorse

Articoli Correlati
La vertigine tecnologica che attende l’edizione 2024 di Interclean
Idee
18.04.2024
La vertigine tecnologica che attende l’edizione 2024 di Interclean
Dal 14 al 17 maggio prossimi ad Amsterdam si svolgerà la principale fiera mondiale della pulizia e dell’igiene
In previsione dell'apertura della più importante fiera commerciale nel settore della pulizia e dell’igiene che si tiene ad Amsterdam ogni due anni, gli organizzatori hanno anticipato le principali innovazioni e i trend che caratterizzeranno l’edizione 2024. Si tratta di tendenze fortemente determinate dal ruolo di driver che il progresso tecnologico sta assumendo anche nell’ambito del cleaning professionale, con innovazioni a getto continuo e crescente ricorso alle risorse dell’Internet of Things (IoT), oltre che alle nuove frontiere dell’ intelligenza artificiale (AI), della realtà aumentata (AR) e della realtà virtuale (VR).
Coopservice ha conseguito l’attestazione ISO 56002 sulla gestione dell’innovazione
Idee
15.04.2024
Coopservice ha conseguito l’attestazione ISO 56002 sulla gestione dell’innovazione
L’importante riconoscimento ha una validità triennale con monitoraggio annuale
Coopservice Soc.Coop.p.A e Istituto di Vigilanza Coopservice S.p.A. hanno ricevuto da Bureau Veritas l’attestazione di conformità del sistema di gestione per l’innovazione secondo quanto previsto dalla norma ISO 56002:2021. In particolare, il campo di applicazione della certificazione conseguita riguarda la gestione dell'innovazione nell’offerta di servizi e nell'efficientamento dei processi interni ed operativi, con specifico riferimento ai servizi di cleaning, handling & moving, facility, energy, technical e security, nonché nell’ambito della progettazione di immobili e della sostenibilità.
Le nuove frontiere della Security: Digitalizzazione, Intelligenza Artificiale, Cybersecurity
Idee
12.12.2023
Le nuove frontiere della Security: Digitalizzazione, Intelligenza Artificiale, Cybersecurity
L’Istituto di Vigilanza Coopservice SpA presente al salone Sicurezza 2023, appuntamento biennale con le innovazioni del settore
Dal 15 al 17 novembre si è tenuto alla Fiera di Milano-Rho il salone Sicurezza, biennale dedicata alle soluzioni di Security&Fire più innovative per proteggere persone, città, beni. L’Istituto di Vigilanza Coopservice SpA ha partecipato con un proprio spazio espositivo. Al centro della manifestazione l’evoluzione digitale, processo che come noto riguarda ormai ogni settore delle nostre società e che sta letteralmente cambiando i connotati del settore Security, rendendo indispensabili nuove competenze e professionalità.