Guida all'implementazione della ISO 27001:
Checklist dei relativi Step, Tempistiche e Costi

Guida all'implementazione della ISO 27001: Checklist dei relativi Step, Tempistiche e Costi - 27001Academy
ISO 27001 compliance software
Guida all'implementazione della ISO 27001: Checklist dei relativi Step, Tempistiche e Costi - 27001Academy
MODELLI PER ISO 27001
Guida all'implementazione della ISO 27001: Checklist dei relativi Step, Tempistiche e Costi - 27001Academy
CORSI SU ISO 27001

Checklist della ISO 27001: 16 passaggi per l'implementazione

Se stai iniziando a implementare la ISO 27001 probabilmente stai cercando un modo semplice per implementare questa norma. Cercherò di semplificare il tuo lavoro: ecco un elenco di 16 passaggi che riassumono come implementare la ISO 27001. Dall'ottenimento del consenso da parte dell’alta direzione, allo svolgimento delle attività per l'implementazione, il monitoraggio e il miglioramento, in questa checklist della ISO 27001 hai i passaggi principali che la tua organizzazione deve seguire se vuoi ottenere la certificazione ISO 27001

Ogni implementazione ISO 27001 deve iniziare con le seguenti fasi:
  1. Ottenere il supporto della direzione
  2. Impostare la gestione del progetto
  3. Definire il campo di applicazione dell'SGSI
  4. Scrivere una Politica per la Sicurezza delle Informazioni di alto livello
  5. Definire la metodologia di valutazione del rischio
  6. Svolgere la valutazione e il trattamento del rischio

1) Ottenere il supporto della direzione

Questo può sembrare piuttosto ovvio e di solito non viene preso abbastanza sul serio. Ma secondo la mia esperienza, questo è il motivo principale per cui i progetti di certificazione ISO 27001 falliscono: la direzione non mette a disposizione abbastanza persone o abbastanza soldi per lavorare al progetto.

Nelle sezioni seguenti troverai alcuni suggerimenti su come convincere la tua direzione e sul costo dell'implementazione.

2) Gestirla come un progetto

Come ho già detto, l'implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) basato sulla ISO 27001 è un'impresa complessa che coinvolge diverse attività e molte persone, che dura da un paio di mesi (per le aziende più piccole) fino a più di un anno (per grandi aziende).

Se non definisci chiaramente cosa deve essere fatto, chi lo farà e in quale lasso di tempo (ad esempio, applicare la gestione del progetto), potresti anche non finire mai il lavoro.

3) Definire il campo di applicazione

Se sei un'organizzazione più grande, probabilmente ha senso implementare la ISO 27001 solo in una parte della tua organizzazione, riducendo così significativamente il rischio del tuo progetto; tuttavia, se la tua azienda ha meno di 50 dipendenti, sarà probabilmente più facile includere l'intera azienda nel campo di applicazione.

Trova ulteriori informazioni sulla definizione del campo di applicazione nell'articolo How to define the ISMS scope.

4) Scrivere una Politica per la Sicurezza delle Informazioni

La Politica per la Sicurezza delle Informazioni (o politica dell’SGSI) è il documento interno di più alto livello nel tuo SGSI: non deve essere molto dettagliato, ma deve definire alcuni requisiti di base per la sicurezza delle informazioni nella tua organizzazione.

Ma qual è il suo scopo se non è dettagliato? Lo scopo è che la direzione definisca cosa vuole ottenere e come controllarlo. (Ulteriori informazioni nell'articolo What should you write in your Information Security Policy according to ISO 27001?).

5) Definire la metodologia di valutazione del rischio

La valutazione del rischio è il compito più complesso del progetto ISO 27001: lo scopo della metodologia è definire le regole per identificare i rischi, gli impatti e la probabilità e definire il livello di rischio accettabile.

Se tali regole non fossero chiaramente definite, potresti trovarti in una situazione in cui ottieni risultati inutilizzabili. (Per ulteriori informazioni, leggi l'articolo ISO 27001 Valutazione, Trattamento e Gestione del Rischio: La Guida Completa).

6) Eseguire la valutazione e il trattamento del rischio

Qui devi implementare la valutazione del rischio che hai definito nel passaggio precedente: potrebbero essere necessari un paio di giorni per una piccola azienda e fino a diversi mesi per le organizzazioni più grandi, quindi dovresti coordinare tale sforzo con grande attenzione. Il punto è ottenere un quadro completo dei pericoli interni ed esterni ai dati della tua organizzazione.

Lo scopo del processo di trattamento del rischio è ridurre i rischi che non sono accettabili - questo di solito viene fatto pianificando di utilizzare i controlli dell'allegato A. Durante questa fase, deve essere scritto un rapporto di valutazione del rischio, che documenti tutti i passaggi intrapresi durante il processo di valutazione e trattamento del rischio. Inoltre, è necessario ottenere un'approvazione dei rischi residui.

Scopri di più sui dettagli della valutazione e del trattamento del rischio nell'articolo ISO 27001 Valutazione, Trattamento e Gestione del Rischio: La Guida Completa.

7) Scrivere la Dichiarazione di Applicabilità

Una volta completata la valutazione del rischio e il processo di trattamento, saprai esattamente quali controlli dell’Allegato A della ISO 27001 sono necessari. Lo scopo di questo documento (spesso indicato come Dichiarazione di Applicabilità, o SoA) è di elencare tutti i controlli e definire quali sono applicabili e quali no, le ragioni di tale decisione e una descrizione di come sono implementati nell'organizzazione.

La Dichiarazione di Applicabilità è anche il documento più idoneo per ottenere l'autorizzazione da parte della direzione per l’implementazione dell’SGSI. (Per saperne di più, leggi l'articolo The importance of Statement of Applicability for ISO 27001).

8) Scrivere il Piano per il Trattamento del Rischio

Proprio quando pensavi di aver risolto con tutti i documenti relativi al rischio, ne arriva un altro – lo scopo del Piano per il Trattamento del Rischio è definire esattamente come devono essere implementati i controlli della SoA – chi lo farà, quando, con quale budget, ecc.

Questo documento è in realtà un piano di implementazione incentrato sui tuoi controlli, senza il quale non saresti in grado di coordinare ulteriori fasi del progetto.

9) Definire come misurare l'efficacia dei controlli

Questo è un altro compito che di solito è sottovalutato in un sistema di gestione. Il punto qui è: se non puoi misurare ciò che hai fatto, come puoi essere sicuro di aver raggiunto lo scopo?

Pertanto, assicurati di definire come misurerai il raggiungimento degli obiettivi che hai impostato sia per l'intero SGSI, sia per i processi e/o i controlli di sicurezza. (Leggi di più nell'articolo ISO 27001 control objectives – Why are they important?)

10) Implementare i controlli per la sicurezza

Questo potrebbe essere più facile a dirsi che a farsi. È qui che devi implementare tutti i documenti e la tecnologia e, di conseguenza, modificare i processi di sicurezza nella tua azienda. Per ulteriori informazioni sui documenti e le registrazioni richieste dalla ISO 27001, leggi l'articolo Elenco dei documenti obbligatori richiesti dalla ISO 27001. Per ulteriori informazioni sull'allegato A, leggi l'articolo How to structure the documents for ISO 27001 Annex A controls.

Questo è solitamente il compito più difficile del tuo progetto perché significa imporre un nuovo comportamento nella tua organizzazione. Spesso sono necessarie nuove politiche e procedure (il che significa che è necessario un cambiamento) e le persone di solito si oppongono al cambiamento: ecco perché il compito successivo (formazione e consapevolezza) è fondamentale per evitare tale rischio.

11) Implementare programmi di formazione e sensibilizzazione

Se vuoi che il tuo personale implementi tutte le nuove politiche e procedure, devi prima spiegare loro perché sono necessarie e formare il tuo personale affinché sia ​​in grado di agire come previsto.

L'assenza di formazione e consapevolezza è la seconda ragione più comune per il fallimento del progetto ISO 27001. (Per ulteriori informazioni su formazione e sensibilizzazione, leggi l'articolo How to perform training & awareness for ISO 27001 and ISO 22301).

12) Gestire l'SGSI

Questa è la parte in cui la ISO 27001 diventa una routine quotidiana nella tua organizzazione. La parola cruciale qui è: "registrazioni". Gli auditor della certificazione ISO 27001 adorano le registrazioni (compresi i registri): senza registrazioni, sarà molto difficile dimostrare che un'attività è stata svolta davvero.

Ma le registrazioni dovrebbero in primo luogo aiutarti: usandole, puoi monitorare ciò che sta accadendo; saprai effettivamente con certezza se i tuoi dipendenti (e fornitori) stanno svolgendo i loro compiti come richiesto. (Leggi di più nell'articolo Records management in ISO 27001).

13) Monitorare e misurare l'SGSI

Cosa sta succedendo nel tuo SGSI? Quanti incidenti hai e di che tipo? Tutte le procedure vengono eseguite correttamente?

È qui che si incontrano gli obiettivi per i tuoi controlli e la tua metodologia di misurazione: devi verificare se i risultati che ottieni stanno raggiungendo ciò che hai definito nei tuoi obiettivi. In caso contrario, sai che qualcosa non va: devi eseguire azioni correttive e/o preventive. (Ulteriori informazioni nell'articolo How to perform monitoring and measurement in ISO 27001).

14) L’Audit interno

Molto spesso, le persone non sono consapevoli di fare qualcosa di sbagliato (d'altra parte, a volte lo sono, ma non vogliono che nessuno lo scopra). Ma essere inconsapevoli di problemi esistenti o potenziali può danneggiare la tua organizzazione: devi eseguire un audit interno per scoprire queste cose.

Il punto qui non è avviare azioni disciplinari, ma intraprendere azioni correttive affinché tali problemi non si ripetano. (Per maggiori informazioni leggi l'articolo How to prepare for an ISO 27001 internal audit.)

15) Il Riesame della direzione

L’alta direzione della tua azienda non deve configurare il tuo firewall, ma deve sapere cosa sta succedendo nell'SGSI, ovvero se tutti hanno svolto i propri compiti e se l'SGSI sta ottenendo i risultati desiderati, soddisfacendo i requisiti definiti, ecc...

Sulla base di ciò, la direzione deve prendere alcune decisioni cruciali come l'approvazione del budget per la sicurezza, l'allineamento della sicurezza con la strategia aziendale, ecc. (Ulteriori informazioni nell'articolo Why is management review important for ISO 27001?)

16) Azioni correttive e preventive

Lo scopo del sistema di gestione è garantire che tutto ciò che è sbagliato (cd “non conformità”) sia corretto, o auspicabilmente prevenuto. Pertanto, la ISO 27001 richiede che le azioni correttive siano eseguite sistematicamente, il che significa che la causa principale di una non conformità deve essere identificata, quindi risolta e verificata. (Leggi l'articolo Practical use of corrective actions for ISO 27001).

Speriamo che questa checklist per la ISO 27001 abbia chiarito cosa deve essere fatto, sebbene la ISO 27001 non sia un compito facile, non è necessariamente troppo complicato. Devi solo pianificare attentamente ogni passaggio e non preoccuparti: otterrai la certificazione ISO 27001 per la tua organizzazione.

Implementare la ISO 27001 | Una facile checklist per l'implementazione della ISO 27001

Tempo, impegno e ruoli necessari per implementare la ISO 27001

Quanto tempo ci vorrà? Questa è probabilmente la seconda domanda più comune che sento sulla ISO 27001 (la prima è "Quanto costa?"). Bene, la risposta non è molto incoraggiante: la maggior parte delle persone con cui parlo si aspetta che ci vogliano un paio di settimane. Ma questo non è realistico: la realtà è da un paio di mesi per le aziende più piccole a più di un anno per le organizzazioni più grandi.

Certo, puoi sempre produrre dozzine di documenti nel giro di pochi giorni dichiarando di essere conforme alla ISO 27001, ma non è di questo che sto parlando qui. Sto parlando di un’implementazione che sia significativa, cioè che produca risultati: un numero inferiore di incidenti, maggiore efficienza, risparmi sui costi, ecc.

Tempo necessario per l'implementazione iniziale

Il tuo principale sforzo per l’implementazione sarà impiegato nelle cosiddette fasi "Pianifica" e "Fai" della ISO 27001, ovvero le prime due fasi obbligatorie in cui viene eseguita la valutazione del rischio e in cui vengono implementate tutte le protezioni (controlli di sicurezza).

La durata dell'implementazione per queste due fasi dipende principalmente dalle dimensioni dell'organizzazione:

  • Aziende fino a 20 dipendenti – fino a 3 mesi
  • Da 20 a 50 dipendenti – da 3 a 5 mesi
  • Da 50 a 200 dipendenti – da 5 a 8 mesi
  • Più di 200 dipendenti – da 8 a 20 mesi

Questi tempi sono applicabili sia se utilizzi un consulente o uno strumento online per aiutarti nell'implementazione; se invece stai cercando di farlo da solo senza alcun aiuto, ci vorrà molto più tempo.

Inoltre, ciò che può prolungare notevolmente i tempi di implementazione è se la tua azienda non ha il supporto del top management o non ha un project manager esperto.

Ruoli nel progetto di implementazione

Nelle aziende più piccole, la persona che gestisce il progetto (cioè chi agisce come project manager) svolgerà anche il ruolo di responsabile della sicurezza, mentre le aziende più grandi avranno questi due ruoli separati: un project manager professionista gestirà il progetto e un'altra persona in qualità di responsabile della sicurezza sarà responsabile della sicurezza generale e parteciperà al progetto.

La ISO 27001 non richiede la creazione di un project team, ma questo sarà utile per le aziende con 200 o più dipendenti; per le aziende più piccole basterà avere solo un project manager che coordinerà il progetto con altri colleghi.

Nelle aziende più grandi sarebbe meglio includere nel project team i responsabili dei vari dipartimenti, ad esempio il responsabile del dipartimento di informatica, il responsabile dell'ufficio legale, il responsabile delle risorse umane, il responsabile del marketing e delle vendite, il responsabile operativo, ecc. In questo modo è possibile garantire che tutte le principali decisioni in materia di sicurezza siano prese a un livello sufficientemente elevato e che vi sia un impegno sufficiente per la loro implementazione.

In un'azienda di qualsiasi dimensione, dovrai includere parte dei tuoi dipendenti nelle seguenti attività:

  • Valutazione del rischio - scoprire cosa può andare storto con le tue informazioni
  • Trattamento del rischio - scoprire quali opzioni di mitigazione da utilizzare per ridurre i rischi
  • Riesaminare delle politiche e delle procedure – per assicurarsi che i documenti della sicurezza siano allineati con i processi aziendali esistenti
  • Approvazione degli obiettivi di sicurezza, della documentazione e delle risorse richieste – per garantire l'impegno e l'allineamento con la strategia aziendale

Per i primi tre punti, è possibile utilizzare per queste attività i responsabili dei dipartimenti, mentre l'ultimo punto deve essere eseguito dall’alta direzione, ad esempio l’AD in un'azienda più piccola o il CIO o il CTO nelle aziende più grandi.

Ruoli e impegno necessari per l'implementazione iniziale della ISO 27001

Ruoli < 200 dipendenti 200 - 2.000 dipendenti  > 2.000 dipendenti
Project manager (ruolo unito) 1 giorno a settimana 50% del tempo 100% del tempo
Responsabile per la Sicurezza 50% del tempo 100% del tempo
Project team (non necessario) I responsabili dei dipartimenti sono membri del project team– 15 ore per ogni responsabile (durante l'intero progetto) I responsabili dei dipartimenti sono membri del project team– 30 ore per ogni responsabile (durante l'intero progetto)
Responsabili dei dipartimenti 7 ore per ogni responsabile (durante l'intero progetto)
Alta Direzione 5 ore in totale 10 ore in totale 15 ore in totale

Impegno necessario per l’implementazione iniziale

Nelle aziende con un massimo di 200 dipendenti, il project manager dovrà in genere dedicare circa il 20% del suo tempo durante l'intero progetto, ad esempio 1 giorno alla settimana. Più grande e/o complessa è l'azienda, più tempo questo project manager dovrà investire: in aziende con un paio di migliaia di dipendenti, il project manager dovrà probabilmente lavorare a tempo pieno su un progetto come questo.

Se hai un responsabile della sicurezza separato dal project manager, questa persona probabilmente dovrà dedicare al progetto la stessa quantità di tempo del project manager, ad esempio, in un'azienda di 2.000 dipendenti potresti avere un project manager a tempo pieno e un responsabile della sicurezza a tempo pieno che lavora sulla ISO 27001.

In un'azienda di minori dimensioni il carico di lavoro dei responsabili dei dipartimenti per le attività di cui alla sezione precedente sarà di circa 7 ore per ciascuna funzione per la valutazione e il trattamento dei rischi e per il riesame dei documenti; l’alta direzione dovrà investire circa 5 ore per fare tutte le approvazioni.

Ancora una volta, questo impegno sarà necessario sia se utilizzi uno strumento per la ISO 27001 o un consulente per aiutarti; in caso contrario, avrai bisogno di un impegno notevolmente maggiore.

Impegno necessario per il mantenimento dell'ISMS

Vale la pena ricordare che il lavoro sulla ISO 27001 non si ferma alle fasi Pianifica and Fai: il Sistema di Gestione della sicurezza delle Informazioni (ISMS) che viene creato deve essere mantenuto (e migliorato), il che significa che il lavoro sulla sicurezza delle informazioni non è una tantum, ma continuo.

Tuttavia, l’impegno per mantenere il sistema non è così grande come nell'implementazione iniziale: sarà probabilmente il 25% dell’impegno necessario per le fasi Pianifica e Fai.

Quanto costa l'implementazione della ISO 27001?

Di solito è la prima domanda che ricevo dal potenziale cliente. Con loro disappunto, non c'è un importo preciso da dargli, perché non è un acquisto di un prodotto standard.

Il costo totale dell'implementazione dipenderà da quanto segue:

  • la dimensione dell’azienda, ovvero il numero di dipendenti (dovresti calcolare solo i dipendenti che saranno inclusi nel tuo ISO 27001 scope)
  • il livello di criticità delle informazioni (ad esempio, le informazioni nelle banche sono considerate più critiche e richiedono un livello di protezione più elevato)
  • la tecnologia utilizzata dall'organizzazione (ad esempio, i data center tendono ad avere costi più elevati a causa dei loro sistemi complessi)
  • requisiti legislativi (di solito, i settori finanziario e governativo sono fortemente regolamentati per quanto riguarda la sicurezza delle informazioni)

Inoltre, ci sono diversi tipi di costi di cui bisogna tenere conto:

  1. la letteratura e la formazione
  2. il costo dell'assistenza esterna
  3. il costo del tempo dei dipendenti
  4. il costo della nuova tecnologia
  5. il costo della certificazione

Ecco una spiegazione di ciascuno di questi costi e una stima approssimativa degli importi (tutti gli importi sono in USD):

1. Il costo della letteratura e della formazione

L'implementazione della ISO 27001 è piuttosto complessa, richiede cambiamenti nell'organizzazione e nuove competenze. Puoi preparare i tuoi dipendenti acquistando vari libri sull'argomento e/o facendogli seguire dei corsi (di persona o online) – la durata di questi corsi varia da 1 a 5 giorni. Qui puoi vedere i corsi ISO 27001 di Advisera – il costo va dai 250 USD ai 1.700 USD a persona.

E non dimenticare di acquistare la norma ISO 27001: troppo spesso mi imbatto in aziende che implementano la norma senza averla mai letta. Costo: circa 100 USD.

2. Il costo dell'assistenza esterna

Sfortunatamente, formare i tuoi dipendenti non basta. Se non hai un responsabile della sicurezza con un'esperienza approfondita nell'implementazione della ISO 27001, avrai bisogno di qualcuno che abbia tali conoscenze: puoi assumere un consulente o ottenere un'alternativa online.

I costi dei consulenti variano notevolmente da un paese all'altro, ma per le piccole aziende negli Stati Uniti, il costo potrebbe aggirarsi intorno ai 15.000 USD; il costo del software Conformio ISO 27001 di Advisera è di circa $ 2.000 all'anno.

Tuttavia, sia chiaro: non aspettarti che il consulente o il software online facciano l'intera implementazione per te: anche i tuoi dipendenti dovranno investire del tempo.

3. Il costo del tempo dei dipendenti

Come spiegato nelle sezioni precedenti, i tuoi dipendenti devono dedicare del tempo per capire dove sono i rischi, come migliorare le procedure e le politiche esistenti o implementarne di nuove, e devono prendersi del tempo per prepararsi per le nuove responsabilità e per adattarsi a nuove regole.

Nella sezione "Impegno necessario" sopra, puoi vedere la quantità di tempo necessaria, in modo da poter calcolare i costi associati a questo investimento di tempo dei tuoi dipendenti.

4. Il costo della tecnologia

Potrebbe sembrare strano, ma la maggior parte delle aziende con cui ho lavorato non aveva bisogno di un investimento in hardware, software o qualcosa di simile. Avevano già tutta la tecnologia di cui avevano bisogno, tuttavia, durante l'implementazione della ISO 27001 hanno dovuto iniziare a utilizzare quella tecnologia in modo più sicuro.

Quindi, dal punto di vista tecnologico, la maggior parte dei costi sarà correlata alla modifica delle attività esistenti e tali costi verranno inclusi nella categoria precedente: il costo del tempo dei dipendenti.

5. Il costo della certificazione

Se desideri ottenere una prova pubblica della conformità alla ISO 27001, l'organismo di certificazione dovrà effettuare un audit di certificazione: questo costo dipenderà anche dalle dimensioni dell'azienda. Negli Stati Uniti, la certificazione di un'azienda più piccola potrebbe essere di circa 7.500 USD.

Vedi anche: Come ottenere la certificazione ISO 27001.

Per concludere, devi stare molto attento a non sottovalutare il vero costo di un progetto ISO 27001: se lo fai, la tua direzione inizierà a vedere il tuo progetto sotto una luce negativa. D'altra parte, prevedere correttamente tutti i costi mostrerà il tuo livello di professionalità; e non dimenticare: devi sempre presentare sia il costo che i benefici.

Tre strategie per l'implementazione della ISO 27001

In sostanza, hai tre opzioni strategiche per implementare la ISO 27001:

a) Farlo da solo senza un aiuto esterno

In questa opzione, i tuoi dipendenti svolgono tutto il lavoro senza utilizzare l'aiuto di consulenti o strumenti.

Questa è l'opzione migliore se non vuoi estranei nella tua azienda e se il tuo budget è davvero limitato, ma è fattibile solo se hai un dipendente che ha già esperienza nella ISO 27001.

b) Farlo da solo con un aiuto esterno

In questo caso tu stesso implementi la norma (eseguendo tutte le analisi, le interviste, scrivendo la documentazione, ecc.), ma stai utilizzando uno strumento ISO 27001 e la guida di esperti esterni per completare il progetto.

Questa è l'opzione migliore se hai un budget non molto elevato e se vuoi che i tuoi dipendenti imparino il più possibile su come gestire la sicurezza. Il Conformio i di Advisera è un esempio di un tale strumento.

c) Il consulente fa la maggior parte del lavoro

In questo caso assumi un esperto esterno (ad esempio, un consulente per la ISO 27001) per fare l'intero lavoro: questa persona farà tutto il lavoro e ti consegnerà la documentazione completa.

Questa di solito è l'opzione più rapida per implementare la norma, ma anche la più costosa. Leggi anche i 5 criteria for choosing an ISO 27001 consultant.

I quattro vantaggi chiave dell'implementazione della ISO 27001

Hai mai provato a convincere la tua direzione a finanziare l'implementazione della sicurezza delle informazioni? Se lo hai fatto, probabilmente sai come ci si sente: ti chiederanno quanto costa e, se sembra troppo costoso, ti diranno di no.

In realtà, non dovresti biasimarli: dopotutto, la loro responsabilità è la redditività dell'azienda. Ciò significa che ogni loro decisione si basa sull'equilibrio tra investimento e beneficio, o per dirla nel linguaggio del management: ROI (ritorno sull'investimento).

Ciò significa che devi fare i compiti prima di provare a proporre un tale investimento: pensa attentamente a come presentare i vantaggi, usando un linguaggio che la direzione possa capire e approvare.

Io ti posso aiutare: i vantaggi della sicurezza delle informazioni, in particolare l'implementazione della ISO 27001, sono numerosi. Ma nella mia esperienza, i seguenti quattro sono i più importanti:

1) Conformità

Potrebbe sembrare strano elencarlo come il primo vantaggio, ma spesso mostra il più rapido "ritorno sull'investimento" - se un'azienda deve rispettare varie normative in materia di protezione dei dati, privacy e governance IT (in particolare se si tratta di un’organizzazione governativa), allora la ISO 27001 può introdurre la metodologia che gli consente di farlo nel modo più efficiente.

Ancora più importante, se un tuo cliente ti chiede la conformità alla ISO 27001, allora devi essere conforme per mantenere il cliente.

2) Vantaggi commerciali

In un mercato sempre più competitivo, a volte è molto difficile trovare qualcosa che ti differenzi agli occhi dei potenziali clienti.

La ISO 27001 potrebbe essere un punto di forza unico per distinguerti dalla concorrenza, soprattutto se i nuovi clienti desiderano che i loro dati siano trattati con grande attenzione.

3) Abbassare le spese

La sicurezza delle informazioni è generalmente considerata un costo senza evidenti vantaggi economici. Tuttavia, c'è un guadagno finanziario se riduci le spese causate dagli incidenti. Probabilmente si possono verificare interruzioni del servizio, occasionali perdite di dati o dipendenti scontenti. O ex dipendenti scontenti.

Ad essere onesti, non esiste ancora una metodologia e/o una tecnologia per calcolare quanti soldi potresti risparmiare se prevenissi tali incidenti. Ma suona sempre bene se porti questi casi all'attenzione della direzione.

4) Portare ordine nella tua attività

Questa è probabilmente la più sottovalutata – se sei un'azienda in rapida crescita negli ultimi anni, potresti riscontrare problemi come – chi deve decidere cosa, chi è responsabile di determinate risorse informative, chi deve autorizzare l'accesso a sistemi informativi, ecc.

La ISO 27001 è particolarmente efficace per risolvere queste questioni: ti costringerà a definire ruoli e responsabilità in modo molto preciso e quindi a rafforzare la tua organizzazione interna.

Per concludere, la ISO 27001 potrebbe portare molti vantaggi oltre ad essere solo un altro certificato sulla tua bacheca. Nella maggior parte dei casi, se presenti questi vantaggi in modo chiaro, la direzione inizierà ad ascoltarti.

Il Progetto ISO 27001: fattori chiave di successo

Molte aziende non se ne rendono conto, ma impostare correttamente il progetto per la ISO 27001 all'inizio dell'implementazione è uno degli elementi più importanti se si desidera completare l'implementazione con tempi e un budget accettabili.

Non provarlo senza il supporto della direzione

L'impegno della direzione deve venire prima di ogni altra cosa: se i tuoi dirigenti non vedono un reale vantaggio nell'aumentare il livello di sicurezza stabilendo delle egole chiare, faresti meglio a investire le tue energie in qualcos'altro.

Ma questo non può accadere in breve tempo, figuriamoci in un incontro con una presentazione PowerPoint. Questo è un processo in cui è necessario svolgere un ruolo attivo: in primo luogo, è necessario riconoscere i vantaggi applicabili alla propria attività e quindi trasmettere in modo coerente questo messaggio ai responsabili delle decisioni.

Ottieni la conoscenza

A meno che tu non abbia già implementato la ISO 27001 un paio di volte, dovrai imparare come va fatto. L'implementazione della ISO 27001 è troppo complessa per essere compresa solo leggendo la norma.

Ci sono diversi corsi ISO 27001 disponibili per principianti o per utenti avanzati – vedi qui l'elenco dei corsi di formazione ISO 27001.

Gestisci l'implementazione come un progetto

Se sai esattamente quali sono gli obiettivi, chi è responsabile di cosa, se le risorse sono disponibili e quali sono i risultati finali, non solo accelererai il processo, ma aumenterai anche le tue possibilità di successo. (Vedi qui un esempio di Project checklist for ISO 27001 implementation)

Il punto è che l'implementazione di norme come queste richiede molto tempo, quindi è necessario assicurarsi di farlo tenendo presente una struttura. Se l'implementazione viene eseguita in modo superficiale o senza obiettivi chiari, non solo perderai tempo, ma perderai un'opportunità per aiutare la tua azienda a migliorare e crescere. E, naturalmente, se pianifichi attentamente il tuo progetto potrai ridurre i tempi di implementazione.

Scegliere il giusto project manager

La persona più ovvia per guidare il progetto dovrebbe essere la persona responsabile della sicurezza delle informazioni nella tua azienda - ci sono diversi titoli per questo lavoro: Chief Information Security Officer (CISO), Information Security Officer (ISO), Security Manager, ecc. Vedi anche: Chief Information Security Officer (CISO) – where does he belong in an org chart?

In ogni caso, devi scegliere una persona con le seguenti caratteristiche:

  • Buona conoscenza dei processi aziendali e informatici della tua azienda: questa persona non deve essere un esperto in IT ma deve avere una conoscenza pratica dell'IT
  • Deve avere abbastanza tempo per eseguire il progetto
  • E, cosa più importante, questa persona deve avere abbastanza autorità per portare avanti tutti i cambiamenti che sono richiesti

In alcuni casi, ho visto delle aziende dare questo progetto a un tirocinante, con il risultato che dopo molti sforzi il progetto è fallito.

Come scegliere uno strumento di implementazione ISO 27001

Gestire un progetto ISO 27001 senza alcuna guida è come mettere insieme un grande puzzle di mille pezzi, ma senza l'immagine di fronte a te. Ciò di cui hai veramente bisogno in questa situazione è una guida.

In questa sezione proponiamo l'utilizzo di uno strumento ISO 27001 per la gestione dell'implementazione. Questa alternativa darà tutti i pezzi del puzzle con i numeri sul retro e la tranquillità.

Cosa cercare in uno strumento di gestione dell'implementazione ISO 27001

Avere uno strumento online per aiutarti a portare avanti il ​​tuo progetto ISO 27001 è sicuramente un vantaggio. Tuttavia, prima di scegliere una soluzione software, devi capire che non tutti gli strumenti soddisfano le tue esigenze: potresti essere sedotto da numerose funzionalità, ma non tutte ti saranno necessarie mentre potrebbero esserci altre funzionalità a cui non hai pensato.

Quindi, è necessario trovare uno strumento che abbia le funzionalità per portare avanti il ​​progetto ISO 27001 e che abbia le competenze integrate su come soddisfare i requisiti della ISO 27001.

Hai bisogno di una piattaforma che:

  • Descriva passaggi chiari per l'implementazione del progetto ISO 27001
  • Fornisca procedure guidate di facile utilizzo per la creazione di tutta la documentazione (politiche, procedure, report, ecc.)
  • Automatizzi il processo di gestione del rischio suggerendo asset, minacce, vulnerabilità e relativi controlli
  • Compili automaticamente la Dichiarazione di Applicabilità in base al trattamento del rischio e ai requisiti delle parti interessate
  • Consenta una facile collaborazione tra le persone che lavorano all'implementazione della ISO 27001
  • Fornisca una chiara panoramica dei compiti ricevuti e dei compiti assegnati ad altre persone, nonché del loro stato
  • Abiliti l'automazione non solo per l'implementazione iniziale, ma anche per il mantenimento dell'SGSI

Oltre ai criteri sopra elencati, il software dovrebbe:

  • Essere adattato alle dimensioni della tua azienda: la documentazione e il flusso dei passaggi vengono adattati alle dimensioni della tua azienda
  • Fornire supporto da parte di esperti – se hai delle domande su come affrontare il tuo caso specifico
  • Insegnare a tutte le persone la sicurezza: il punto non è solo chiedere meccanicamente alle persone di svolgere alcune attività, ma anche spiegare loro perché queste attività sono necessarie

E, ultimo ma non meno importante, forse il criterio più importante per selezionare lo strumento di implementazione della ISO 27001 è che bisogna avere una logica esperta incorporata su come eseguire correttamente l'implementazione, in altre parole, deve essere progettato da esperti ISO 27001, non solo da designer e sviluppatori di software.

Il Software Conformio ISO 27001 di Advisera

E se avessi davanti a te tutti i passaggi per il tuo progetto ISO 27001, in modo che con una sola occhiata tu possa capire ogni passaggio davanti a te? Sarebbe bello, vero? Ora, immagina di avere una spiegazione su come completare ogni passaggio e di poter accedere a tali linee guida in qualsiasi momento e condividerle facilmente come attività attuabili con il tuo team.

Comprendendo l'importanza di tale guida, abbiamo creato Conformio, che ti guiderà attraverso l'implementazione e la manutenzione della ISO 27001. Conformio è un software collaborativo online progettato attorno ai vari passaggi per implementare ISO 27001, che comprende anni di esperienza nello sviluppo di documenti e nel fornire supporto alle organizzazioni di tutto il mondo.

Questa esperienza si concretizza in due elementi essenziali: il primo sono i Document Wizards, che forniscono una guida sullo sviluppo della documentazione e aiutano nella definizione di come le attività vengono distribuite durante l'implementazione e la manutenzione continua del proprio SGSI. La seconda è la Matrice delle responsabilità, che consolida le informazioni su chi fa cosa e quando, in ogni documento, fornendo una base per l'automazione di attività come la revisione dei documenti e l'audit interno.

Conformio è progettato per le aziende più piccole e offre quanto segue:

  • Guida passo dopo passo per l'implementazione e il mantenimento dell'SGSI
  • Automazione della valutazione e del trattamento del rischio, nonché della Dichiarazione di Applicabilità
  • Invio di attività e messaggi tra i membri del progetto, consentendo la collaborazione, ad esempio, sul riesame dei documenti e altre attività
  • Video di formazione per ogni fase dell'implementazione

Nello screenshot qui sotto, puoi vedere come appare la procedura guidata passo dopo passo di Conformio:

Guida all'implementazione della ISO 27001: Checklist dei relativi Step, Tempistiche e Costi - 27001Academy
Come puoi vedere, quando hai uno strumento online per portare avanti il tuo progetto, combinato con una guida concreta di esperti, hai le giuste condizioni per implementare e mantenere con successo qualsiasi progetto. Questo è qualcosa che abbiamo riconosciuto all'inizio e perfezionato per fornirti il miglior strumento possibile per la gestione del tuo progetto ISO 27001.
Se tutto questo ti convince, provalo.

Per imparare come implementare la ISO 27001 attraverso una procedura guidata passo dopo passo e ottenere tutte le politiche e le procedure necessarie, iscriviti per una prova gratuita di 14 giorni di Conformio, il principale software per la conformità alla ISO 27001.

Advisera Dejan Kosutic
Autore
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.