Certificazioni e Standard: ISO 27001

Per un’azienda che si occupa di servizi IT, le Certificazioni rappresentano un fattore fondamentale. Il riconoscimento esterno della soddisfazione di criteri e standard è, infatti, una condizione che fornisce visibilità e fiducia nei potenziali clienti ed una garanzia di affidabilità ed attenzione verso i propri utenti. Per il conseguimento di una certificazione, un’azienda deve passare attraverso gli Audit, ovvero le varie analisi delle macroaree individuate dall’ente certificatore.

Grazie alle Certificazioni, un’azienda potrà quindi fornire ancora più garanzie ai propri clienti, piccoli o grandi che siano, in fatto di serviziprotezioniinfrastrutture e molto altro. Non tutti gli standard, però, sono uguali, per questo è necessario passarle una ad una sotto la lente d’ingrandimento per sottolineare l’importanza di ciascuna di esse.

ISO 27001

Partiamo dalle basi. La ISO/IEC 27001 è una delle certificazioni più importanti per le società che gestiscono ed hanno a che fare con grosse mole di dati, essa è basata su uno standard che definisce le caratteristiche necessarie per un Sistema di Gestione della Sicurezza delle Informazioni, chiamato SGSI o, in inglese, ISMS. Questo sistema consiste in un insieme di fattori tesi al miglioramento di gestione, monitoraggio, controllo ed eventuale miglioramento della sicurezza interna all’azienda in fatto di dati.

La norma dalla quale si basa la ISO 27001 contiene un insieme di procedure da seguire. Il principale scopo di implementare un sistema SGSI certificato è quello di gestire nel modo migliore la sicurezza di tutte le informazioni, virtuali o materiali, trattate dalla propria azienda, siano esse dati speciali, riservati o di qualsiasi altro tipo.

Uno degli aspetti fondamentali per mettere in piedi un corretto sistema SGSI è predisporre un censimento dei beni ed un’analisi chiamata Risk Assessment. All’interno del primo verranno identificati tutti gli asset aziendali (PC, infrastrutture, apparecchiature, strumenti, database, account aziendali, ecc…), mentre nel secondo si procederà ad un’identificazione dei rischi, una loro analisi e tutte le attività svolte dall’azienda mirate al controllo, alla gestione ed all’abbassamento del rischio stesso.

Il Sistema di Gestione della Sicurezza delle Informazioni coinvolge tutti i comparti aziendali e gli stakeholders (in quanto portatori di interesse). Tra i soggetti coinvolti ci sono infatti anche tutti i fornitori, anch’essi soggetti a continue analisi e giudizi. L’analisi della totalità dei processi aziendali viene giudicata anche mediante un report sulle non-conformità, ovvero l’evenienza nella quale si verifica un errore in un processo, e la sua messa a punto. Tutte queste non-conformità devono essere gestite con azioni correttive o preventive che poi verranno inserite nei suddetti report. Un altro aspetto di primaria importanza riguarda il management dell’azienda, che deve risultare totalmente coinvolto e consapevole di tutti i processi interni.

Dal 2017, Genesys Informatica, holding proprietaria del marchio Hosting Solutions, dispone anche della certificazione ISO/IEC 27001 per progettazione, sviluppo ed erogazione di servizi di: data center e infrastruttura; soluzioni cloud oriented in modalità IaaS, SaaS, PaaS; backup e disaster recovery; soluzioni email.

Per questo approfondimento è tutto. Vi diamo appuntamento al prossimo articolo sulle Certificazioni dedicato alla ISO/IEC 27017.