24.01.2024
Idee
Information Security: Coopservice ottiene la certificazione ISO/IEC 27001
Si tratta del principale standard internazionale per la sicurezza delle informazioni in possesso di una organizzazione

Con la 27001 un approccio a 360° all’information security

Coopservice ha ottenuto la certificazione ISO/IEC 27001, la principale norma internazionale che regola la sicurezza delle informazioni in possesso di una azienda, uno standard messo a punto dall’International Organization for Standardization (ISO) in collaborazione con la International Electrotechnical Commission (IEC). Nello specifico con la 27001 vengono fissati determinati requisiti considerati indispensabili per lo sviluppo e il mantenimento dei sistemi di gestione della sicurezza delle informazioni (ISMS, information security management systems). Considerato l’incremento del crimine informatico e l'emergere costante di nuove minacce, ISO/IEC 27001 aiuta le organizzazioni ad assumere consapevolezza dei rischi e a identificare e affrontare in modo proattivo i punti deboli.

Non solo uno standard di sicurezza informatica

La gestione della sicurezza delle informazioni è infatti sempre più un segmento strategico per le direzioni aziendali a seguito della rilevanza e della quantità di contenuti informativi che quotidianamente vengono ‘elaborati’, soprattutto attraverso gli strumenti informatici. È bene però chiarire preliminarmente che la ISO/IE 27001 non va intesa unicamente come uno standard di sicurezza informatica, ma quale normativa che consente alle organizzazioni un approccio a 360° al tema della sicurezza delle informazioni possedute, occupandosi, oltre che degli aspetti specifici inerenti il trattamento delle risorse digitali, sia degli aspetti di sicurezza ‘fisica’ sia di quella ‘ambientale’ e ‘organizzativa’.

Gli aspetti altrettanto importanti della sicurezza fisica, ambientale e organizzativa

Certo un elemento imprescindibile è costituito dalla sicurezza delle reti, delle dotazioni hardware e dei sistemi di information technology, inclusi i sistemi operativi e i software, in modo da garantire che essi siano sicuri e protetti contro la perdita dei dati. Ma accanto agli aspetti correlati ai processi di progressiva digitalizzazione, nella norma assume un’altrettanta decisiva importanza la sicurezza fisica e ambientale, prevedendo le procedure e i controlli volti a impedire l'accesso non autorizzato alle aree fisiche di conservazione dei contenuti e la protezione delle apparecchiature e delle strutture da una possibile compromissione causata dall'intervento umano o da eventi ‘naturali’.

Una guida per implementare i sistemi di gestione della sicurezza delle informazioni (ISMS)

La gestione della sicurezza delle informazioni non riguarda pertanto solo la sicurezza informatica (server, backup, firewall, antivirus ecc.), ma anche la gestione dei processi, la tutela legale, la gestione delle risorse umane, la protezione fisica. Perché allo standard ISO/IEC 27001 fa riferimento tutto ciò che è riconducibile alla categoria ‘informazioni’: dai documenti in formato digitale a quelli in formato cartaceo, dalle strumentazioni hardware alle competenze del personale. Possiamo dunque definire la norma ISO/IEC 27001 una combinazione di politiche, procedure e controlli che consente alle organizzazioni di qualsiasi tipologia e settore di adottare un sistema efficace di gestione della sicurezza delle proprie informazioni sensibili, riducendo in tal modo il rischio di violazioni di dati, cyber attacchi e altre tipologie di possibili incidenti.

Obiettivo prevenzione e controllo dei rischi di violazioni e cyber attacchi

Più in generale, si può senz'altro affermare che l'obiettivo della ISO/IEC 27001 è proteggere le informazioni in possesso di una organizzazione, garantendo che risorse come i rendiconti finanziari, la proprietà intellettuale, i dati dei dipendenti e le informazioni affidate da terzi rimangano integre, riservate e disponibili secondo necessità. Una protezione da attuare partendo dall’individuazione dei potenziali problemi che potrebbero verificarsi (valutazione del rischio), e, conseguentemente, definendo ciò che è necessario fare per evitare che si verifichino, ovvero prevedendo tecniche e procedure per la mitigazione e il trattamento del rischio. Pertanto, la filosofia principale della ISO 27001 si basa su un processo di gestione dei rischi: scoprire dove essi si insidiano al fine di trattarli sistematicamente, attraverso l'implementazione di un sistema in cui si definiscono protezioni e controlli di sicurezza.

Politiche, procedure e controlli di sicurezza per il miglioramento continuo degli ISMS

Che cosa significa dunque implementare gli ISMS, Information Security Management Systems? Si tratta di sistemi fondati sull’applicazione del cosiddetto ‘ciclo di Deming’ (PDCA – Plan, Do, Check, Act), metodo di gestione in quattro fasi utilizzato nel total quality management per il controllo e il miglioramento continuo dei processi e dei prodotti. Nello specifico, per quanto attiene ai processi di messa in sicurezza delle informazioni, lo standard 27001 fornisce una guida gestionale che prevede requisiti per il risk management, l’asset management, il controllo degli accessi, la crittografia, la gestione degli incidenti, consentendo in tal modo una gestione dei rischi che garantisca al contempo:
•    la riservatezza, 
•    l'integrità,
•    la disponibilità dei dati informativi di cui si è in possesso.

I 3 princìpi fondamentali della sicurezza delle informazioni secondo lo standard 27001

Riservatezza, integrità e disponibilità costituiscono infatti i 3 princìpi fondamentali della ISO/IEC 27001:
•    riservatezza, in quanto le informazioni sono protette dalla divulgazione non autorizzata e pertanto solo le persone autorizzate hanno diritto ad accedervi;
•    integrità, poiché si certifica che i contenuti in proprio possesso vengono archiviati in modo affidabile così da garantire che siano accurati, completi e non manomessi, e che dunque solo le persone autorizzate possano apportare modifiche;
•    disponibilità, così da assicurare che le informazioni siano pienamente accessibili alle persone autorizzate ogni volta che si renda necessario.
Ai tre capisaldi della norma si aggiungono poi due ulteriori elementi che completano la dotazione di sicurezza di base, e che si riferiscono essenzialmente ai sistemi e alle procedure informative digitali:
•    autenticità, nel senso che l’identità dell’utente e dei sistemi può essere verificata;
•    ‘non-repudiation’, ovvero l’impossibilità di disconoscere interazioni e ‘transaction’ che devono rimanere tracciate e verificate.

I plurimi benefici dell’adesione alla norma 27001

Date le sue caratteristiche, lo standard ISO/IEC 27001 si configura quale strumento prezioso per le organizzazioni che cercano di migliorare il proprio livello di sicurezza e dimostrare ai propri stakeholder l'impegno a proteggere le informazioni sensibili. Più analiticamente si possono individuare per le imprese e le organizzazioni aderenti i seguenti vantaggi:
•    una maggiore sicurezza delle informazioni e dei dati su tutti i supporti (cartacei, cloud, digital data);
•    sviluppo della resilienza dell’intera organizzazione agli attacchi informatici;
•    riduzione del rischio di incidenti di sicurezza;
•    miglioramento della reputation e della fiducia di partner e clienti, i quali hanno modo di apprezzare che le informazioni che li riguardano siano al sicuro;
•    conformità ai requisiti legali e normativi, dato il numero crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni.

Aggregatore Risorse

Le nuove frontiere della Security: Digitalizzazione, Intelligenza Artificiale, Cybersecurity
Idee
12.12.2023
Le nuove frontiere della Security: Digitalizzazione, Intelligenza Artificiale, Cybersecurity
L’Istituto di Vigilanza Coopservice SpA presente al salone Sicurezza 2023, appuntamento biennale con le innovazioni del settore
Dal 15 al 17 novembre si è tenuto alla Fiera di Milano-Rho il salone Sicurezza, biennale dedicata alle soluzioni di Security&Fire più innovative per proteggere persone, città, beni. L’Istituto di Vigilanza Coopservice SpA ha partecipato con un proprio spazio espositivo. Al centro della manifestazione l’evoluzione digitale, processo che come noto riguarda ormai ogni settore delle nostre società e che sta letteralmente cambiando i connotati del settore Security, rendendo indispensabili nuove competenze e professionalità.
Il Report Integrato: un impegno per l’azienda e un esempio di gestione consapevole della sostenibilità
Idee
12.09.2023
Il Report Integrato: un impegno per l’azienda e un esempio di gestione consapevole della sostenibilità
L’ulteriore salto di qualità di Coopservice nella redazione del Report Integrato 2022
Coopservice ha pubblicato il suo sesto Report Integrato, redatto in conformità agli standard di rendicontazione definiti dal Global Reporting Initiative (GRI), come attestato dalla ‘Limited Assurance Engagement’ rilasciata dalla società di certificazione Deloitte & Touche. Una decisione assunta dall'azienda su base volontaria, per rimarcare ancora una volta il proprio impegno nella direzione della sostenibilità, dell’etica, della trasparenza e della piena considerazione verso l’universo dei propri stakeholder.
Con i cobot è alle porte una ‘cleaning revolution’?
Idee
08.08.2023
Con i cobot è alle porte una ‘cleaning revolution’?
Cresce nel mondo delle pulizie professionali il dibattito sui possibili effetti dell’avvento dei robot collaborativi. Con una prevalenza di previsioni di effetti positivi per i professionisti del settore
Nel mondo delle pulizie professionali cresce il dibattito sui possibili effetti dell’avvento dei robot collaborativi. Secondo la maggioranza degli esperti, piuttosto che provocare la perdita di posti di lavoro, i cobot possono cambiare i connotati del duro lavoro dell'addetto al cleaning. Alleviandone la fatica delle mansioni ripetitive e fornendo la possibilità di un lavoro più vario e appagante. Purchè al personale venga garantita un'adeguata formazione, in grado di favorirne un corretto approccio all’innovazione.