Uno dei principali obiettivi delle aziende è garantire la sicurezza dei propri dati e mettere al sicuro le proprie informazioni.
I sistemi di sicurezza sono stati introdotti per prevenire attacchi informatici e sono uno strumento molto importante anche per la gestione dei rischi.
La ISO/IEC 27001 è una norma che indica i passi da seguire relativamente ai sistemi e alla gestione della sicurezza delle informazioni in ambito aziendale, definisce un insieme di regole, processi e pratiche che aiutano le organizzazioni a gestire e a proteggere le informazioni in loro possesso. Molta attenzione viene posta sull’organizzazione dei processi aziendali che spesso lasciano spazio a scambi disattenti di informazioni che invece dovrebbero essere protette. Troppo spesso le aziende proteggono le informazioni attuando sistemi come firewall e schemi di cifratura ma ciò non basta: è infatti necessario implementare delle politiche interne che definiscano le modalità con cui i dati devono essere trattati quando servono, le attività periodiche di controllo che testino il funzionamento delle politiche intraprese ed i processi migliorativi delle stesse, quando è necessario apportare loro delle modifiche.
Molto spazio è dedicato anche alla tracciabilità delle attività svolte per poter ricostruire la storia dei flussi di informazioni atti a verificare che le politiche introdotte stiano funzionando nel modo atteso. La definizione delle politiche in base al rischio delle informazioni trattate, con la loro attuazione ed il loro processo migliorativo nel tempo, sono quindi le basi su cui si fonda questa normativa molto importante per le aziende che trattano dati di ogni genere e che possono minare la sicurezza di organizzazioni e persone fisiche.
Inoltre Con l’utilizzo sempre più diffuso del Cloud, è stato necessario creare un insieme di normative per soddisfare le esigenze più specifiche in questo ambito. Per questo le aziende possono estendere la certificazione ISO/IEC 27001 con due norme aggiuntive: ISO/IEC 27017 e ISO/IEC 27018 che sono dei codici di condotta specifici per quelle aziende che fanno uso del Cloud. Queste norme aggiungono quindi alla ISO/IEC 27001 una serie di regole, processi e pratiche per la gestione della sicurezza delle informazioni nel Cloud, intese sia per i fornitori dei servizi Cloud che per i clienti del servizio Cloud.
In particolare:
La ISO/IEC 27017 nel suo insieme di normative sulla sicurezza dei dati nel Cloud, definisce i requisiti di sicurezza da adottare per garantire la protezione dei dati personali che vengono memorizzati o elaborati in ambienti Cloud sotto forma di controlli da effettuare. Questa si basa infatti sui controlli presenti nella normativa ISO/IEC 27002 estendendo le indicazioni sulle modalità di implementazione dei controlli per essere attuati nel Cloud e definendone dei nuovi.
La ISO/IEC 27018, invece, è una norma specifica per la protezione delle informazioni di identificazione personale (PII) sul Cloud e offre un insieme di linee guida per la gestione e le misure atte a proteggere questi dati nel Cloud. La norma, anche in questo caso specifica le sue normative basandosi sulla ISO/IEC 27002, ovvero dai controlli necessari per garantire un adeguato livello di sicurezza, di riservatezza, di integrità e di disponibilità dei dati.
Le estensioni ISO/IEC 27017 e ISO/IEC 27018 forniscono un set di regole e di pratiche che aiutano le organizzazioni a gestire e proteggere i dati nel Cloud. Le aziende possono quindi utilizzare la norma ISO/IEC 27001 come base per la loro strategia di sicurezza, estendendola con le norme ISO/IEC 27017 e ISO/IEC 27018 per una maggiore protezione dei dati.
In conclusione, l’adozione di queste tre norme ISO/IEC per la gestione della sicurezza delle informazioni rappresenta un passo importante per le organizzazioni per garantire la sicurezza dei dati e delle informazioni da loro trattati.