Sicurezza Informatica

ISO 27001:2013 e 2017

 Ogni giorno sentiamo parlare di attacchi alla sicurezza delle informazioni di piccole e grandi aziende. Per salvaguardare l’integrità delle informazioni aziendali bisogna saperle categorizzare e proteggere. Occorre creare le giuste competenze all’interno dell’azienda, riconoscendo le competenze certificate delle persone.

Certificazione ISO 27001 Foundation  Certificazione ISO/IEC 27001 AuditorCertificzione ISO 27001 Lead Auditor

Differenze tra ISO 27001:2013 e ISO 27001:2017

La norma ISO 27001:2013 diventa ISO 270001:2017, ma in realtà non ci sono grandi cambiamenti. Si tratta soltanto del “cambiamento del nome”, perché essendo diventata uno standard anche dell’Unione Europea nel 2017, adesso diventa: “BS EN ISO/IEC 27001:2017“.

A voler essere più precisi, c’è qualche aggiustamento minore alla formulazione dei controlli nell’Allegato A.

  • Edizione 2013 –  le entità sono un inventario di beni relativi alle informazioni.
  • Edizione 2017 – l’informazione viene definita direttamente come una risorsa.

Un altro cambiamento è soltanto estetico:

  • Edizione 2013 – le voci della Dichiarazione di Applicabilità sono  un elenco.
  • Edizione 2017  – Le voci della Dichiarazione di Applicabilità corrispondono a quattro puntatori:
    1. Controlli necessari
    2. Loro giustificazione
    3. Controlli attuati o meno
    4. Motivo di esclusione di un controllo

Cambia l’enfasi, ma non sono richiesti altri requisiti.

Informazioni nell’inventario delle risorse

La ISO 27001 tratta le informazioni come risorse, sottolineando l’importanza di salvaguardarle. Occorre trattare le informazioni come risorse e salvaguardarle adeguatamente.

La perdita di dati sensibili può essere più devastante rispetto alla perdita di risorse fisiche. La perdita di dati può portare a enormi perdite finanziarie, responsabilità e persino danni irreparabili alla reputazione.

Durante l’inventario, è fondamentale valutare l’importanza di un’informazione, i rischi se viene violata e chi è responsabile della sua salvaguardia, come bene. L’obiettivo è valutare correttamente il rischio.

Se non valuti accuratamente le vulnerabilità delle risorse informative, corri il rischio di non proteggerle adeguatamente. L’inventario delle risorse, come parte della certificazione, aiuta a garantire di aver coperto ogni aspetto.

Dichiarazioni di applicabilità giuste

Molti considerano la Dichiarazione di Applicabilità la parte più onerosa della certificazione. In effetti, questo documento è la parte più importante delle garanzie per revisori e stakeholder e dà un’idea delle dimensioni del sistema di gestione della sicurezza delle informazioni.

Spesso, viene utilizzato anche per identificare i controlli necessari per altri motivi che includono contratti e legislazione che si applicano all’impresa.

Modificando il formato della ISO 27001, enfatizzando le quattro parti di questo requisito, diventa  più chiaro ciò che è richiesto.
Sebbene il processo di catalogazione di tutto possa essere difficile, disporre di tutto in modo ordinato significa disporre di un sistema di sicurezza delle informazioni più facile da implementare e con maggiori probabilità di essere conforme.

Certificazione delle Competenze delle Persone

Prima di pensare a certificare la tua azienda per garantire la sicurezza delle informazioni dell’azienda, è indispensabile creare le competenze ‘interne all’azienda per gestire effettivamente la sicurezza informatica, senza restare in balia dei così detti attacchi di cyber security.

PMTSI può aiutarti a creare tali competenze di base, motivando le persone ad essere pienamente consapevoli e sensibili alla sicurezza informatica.

Il nostro contributo può essere a tutti i livelli, in termini di formazione e relative certificazioni delle competenze acquisite.

Ecco una serie di corsi online, molto economici, comprensivi di esame di certificazione:

Sicurezza delle Informazioni e ISO 27001

In un contesto tutto proteso all’economia delle informazioni, è fondamentale avere cura di Riservatezza, Integrità e Disponibilità dei propri dati aziendali. Le nuove norme ISO consentono di realizzare, con costi contenuti, la protezione  dei dati in conformità alla norma e essere competitivi.

PMTSI ti aiuta  a qualificare il personale interno che dovrà implementar il sistema  (ISMS) per impostare e gestire la sicurezza delle informazioni aziendali. (Lo Standard ISO 27001 è propedeutico all’estensione della ISO/IEC 27701 – Standard per la gestione delle informazioni sulla privacy  – conosciuto come GDPR.

I tre corsi proposti sono i primi di una serie di corsi innovativi  proposti CertiProfOrganismo di Certificazione Internazionale.

Qui trovi tutti i Corsi CertiProf, molti già tradotti anche in Italiano.

Tutti i corsi CertiProf comprendono materiali strutturati da seguire  in auto apprendimento, oppure, se ci sono almeno 5 candidati in azienda possiamo organizzare apposite sessioni in aula o a distanza (causa pandemia).

Modulo di Iscrizione

oppure

Contattaci per un corso ad hoc, in tutta Italia