Norme

Gli impatti della ISO-27001 nella sicurezza delle informazioni per dispositivi IoT

La norma descrive un metodo che le aziende devono applicare al fine di garantire uno standard elevato di sicurezza dei dati. I processi aziendali vengono ottimizzati, si riducono i tempi di registrazione per iscritto, diminuiscono i rischi aziendali e i rischi di responsabilità, i premi assicurativi sono più vantaggiosi

Pubblicato il 08 Lug 2020

ISO27001

I dati forniti dallOsservatorio Internet of Things della School of Management del Politecnico di Milano sulla diffusione dell’IoT in Italia sono chiari: se nel 2018 c’è stato un incremento del 35% rispetto all’anno precedente, nel 2019 si può parlare di una crescita del 24%, con 6,2 miliardi di euro, grazie alle applicazioni che sfruttano la connettività cellulare e a quelle che utilizzano altre tecnologie di comunicazione.

I settori in crescita sono smart metering e smart asset management che hanno visto un +19% rispetto al 2018 (con un valore di mercato pari a 1,7 miliardi di euro); smart car ha registrato un +14% con 1,2 miliardi di euro; smart home ha raggiunto 530 milioni di euro (+40%) grazie all’arrivo in Italia degli smart speaker di Google e Amazon; smart factory 350 milioni di euro (+40%), smart building 670 milioni di euro (+12%), per la videosorveglianza e la gestione dei consumi energetici negli edifici; smart city 520 milioni di euro (+32%).

La sicurezza dei dispositivi interconnessi

L’interconnessione tra dispositivi é un tema molto discusso, soprattutto relativamente alla sicurezza delle informazioni che circolano tra gli stessi dispositivi. Cioè è, come abbiamo detto tante volte, un’infrastruttura critica o un servizio essenziale. O perlomeno lo diventerà.

Le aziende, per tutelarsi e garantire al meglio la sicurezza sul lavoro, sempre più digitalizzato, hanno a disposizione parecchie soluzioni. La più adatta in termini di sicurezza è la norma internazionale ISO-27001.

Messa a punto dall’Organizzazione Internazionale per la normazione (ISO appunto), regola la sicurezza delle informazioni nelle organizzazioni private, pubbliche o non a scopo di lucro, attraverso la descrizione su come creare un sistema che gestisca le informazioni in piena sicurezza.

La norma ISO-27001

La norma ISO-27001 ha come base la stessa della ISO/IEC 27001 del 2005. Le misure espresse dalla norma rappresentano dei consigli per attuarla in maniera efficace, secondo i principi di riservatezza, disponibilità e integrità, propri della norma, e secondo principi di altri standard che incoraggiano le aziende ad attuare quelli della Iso-27001. Quest’ultima è successiva all’attuazione di un Information Security Management System (ISMS), un approccio procedurale di gestione della sicurezza delle informazioni, nel quale in passato era presente, ora non più obbligatorio, un rimando esplicito al ciclo PDCA, che sta per “Plan, Do, Check e Act” (in italiano: pianificare, implementare, verificare e agire), anche detto ciclo di Deming, “progettato con l’obiettivo di stabilire un modello continuo per il miglioramento continuo dei processi ed essere garanzia di qualità efficiente e continuativa”.

L’ISMS deve essere attuato dalle risorse di un’azienda, a seconda delle caratteristiche dell’azienda stessa, che ne garantisce un miglioramento continuo e il mantenimento. Lo stesso ISMS a sua volta deve essere controllato nella sua efficacia a intervalli regolari. Impostato l’ISMS, si classificano i valori aziendali, come già anticipato, secondo i tre principi di riservatezza, integrità e disponibilità, in tre livelli: il primo comprende i documenti pubblici, il secondo i documenti interni, ad esempio legati alla contabilità o alla retribuzione, il terzo riguarda i documenti contenenti dati interni molto sensibili.

Partendo dal decidere chiaramente la politica in materia di sicurezza delle informazioni  e dalla conseguente definizione di competenze e responsabilità per l’esecuzione dei compiti, l’azienda deve tener presente i seguenti aspetti al suo interno e eterno: cultura aziendale, condizioni ambientali, obblighi contrattuali e legali, disposizioni regolamentari, linee guida ufficiali in relazione alla governance. Importante è poi diffondere una consapevolezza e sensibilizzazione al tema della sicurezza delle informazioni tra il personale.

Le aziende, quindi, indipendentemente dalla loro dimensione o dal settore di appartenenza, possono e devono realizzare uno standard per la sicurezza delle informazioni al proprio interno, seguendo appunto la norma, e ricevere una certificazione Iso-27001, che descrive un metodo che le aziende devono applicare al fine di garantire uno standard elevato di sicurezza dei dati. Per assicurarsi una certificazione innanzitutto è prioritario assicurare protezione e obblighi dei vertici della direzione, che devono attuare con successo un ISMS e renderne chiari a tutti gli obiettivi, che saranno poi il quadro di riferimento per gli sviluppi futuri. Si passa successivamente a definire i campi di applicazione dell’ISMS, con relativa analisi dei rischi e dei punti deboli del sistema aziendale e ovviamente le misure da attuare in caso di incidenti, il cosiddetto pre-audit al quale seguirà il vero audit per l’ottenimento della certificazione tramite un ente indipendente.

Quali vantaggi dalla certificazione ISO-27001

Ottenere la certificazione ISO-27001 porta all’azienda diversi vantaggi che possiamo riassumere in: attestazione che l’azienda attua le disposizioni legislative, dimostrazione che tratta in maniera sicura le informazioni sensibili, riduzione dei rischi di incidenti dovuti a minacce cyber e conseguente riduzione di eventuali costi legati alla gestione di tali incidenti. Inoltre grazie alla certificazione ISO-27001 i processi aziendali vengono ottimizzati in quanto si riducono i tempi di registrazione per iscritto, diminuiscono i rischi aziendali e i rischi di responsabilità, i premi assicurativi sono più vantaggiosi e il sistema riconosce facilmente e in maniera affidabile problemi e minacce.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4