Sistemi di gestione per la sicurezza delle informazioni ( ISO 27001)

La progettazione e l’attuazione di un Sistema di Gestione per la Sicurezza dell’Informazione (SGSI) consente di identificare ed analizzare i fattori di rischio legati al Sistema Informativo aziendale e di mettere in atto i provvedimenti necessari a minimizzare i loro effetti negativi, garantendo il patrimonio intellettuale e, con esso, lo sviluppo dell’azienda.

Il principale standard internazionale per la realizzazione di un SGSI è la norma ISO 27001, che viene anche utilizzata, con un approccio simile a quello della norma ISO 9001 per la certificazione di qualità, come riferimento per la certificazione di un’organizzazione rispetto alla sua capacità di garantire la sicurezza del patrimonio informativo proprio o di quello che altri le hanno affidato in gestione.

L’obiettivo principale di un SGSI conforme alla ISO 27001 consiste, pertanto, nella protezione delle informazioni (indipendentemente dalla natura e supporto)  dalla perdita di riservatezza, integrità e disponibilità, garantendo sia la salvaguardia delle conoscenze aziendali sia l’ottemperanza alle disposizioni di Legge.

Per la protezione del know-how: nell’attuale situazione, i Sistemi Informativi, con le applicazioni basate sul web e sulle comunicazioni in rete, stanno diventando sempre più aperti verso l’esterno, favorendo la creazione di nuove opportunità di business e la crescita delle imprese che però, al contempo, vengono ad essere esposte a minacce che prima non esistevano o erano limitate a comportamenti scorretti di loro collaboratori interni.

Si tratta di un problema che, con lo sviluppo di organizzazioni sempre più basate sulla gestione delle conoscenze e delle informazioni, può rappresentare un fattore di rischio tale da mettere a repentaglio non solo la soddisfazione del cliente, nel caso non si riesca a garantire il corretto e continuo svolgimento dei processi, ma anche il know-how posseduto dall’azienda.

L’insieme di tutte le conoscenze disponibili in azienda, costituite da informazioni, dati e sistemi che supportano il business, è, infatti, un patrimonio intangibile di vitale importanza e necessita di un’adeguata protezione, che non può essere lasciata al caso, ma che deve essere appropriata e bilanciata sul valore del proprio contenuto.

Per la protezione dei dati sensibili (privacy) : le conseguenze della vulnerabilità del Sistema Informativo sono aggravate dalla possibilità di divulgazione non autorizzata di informazioni personali, in particolare di quelle sensibili, relative a persone fisiche e giuridiche, contenute in banche dati. A fronte delle numerose violazioni occorse e delle minacce sempre più pressanti e specializzate, sono state emanate diverse disposizioni legislative, volte a definire dei criteri di gestione e tutela tali da creare delle ragionevoli garanzie per l’utente, e culminate nel D.Lgs. 196 del luglio 2003. Questo decreto, chiamato anche Testo Unico della Privacy, raccoglie in modo organico gli elementi salienti del corpus giuridico precedente, inserisce delle importanti novità, specie negli aspetti di prevenzione e nelle relative responsabilità di gestione, e prevede,  per gli inadempienti, sanzioni amministrative fino a 50.000 euro e penali con l’arresto fino a due anni.

Come in tutte le norme sistemiche si applica il PDCA ed è necessaria una specifica formazione oltre che l’esecuzione di audit sulla conformità del sistema.

A seguito della analisi dei rischi che viene eseguita il Management può decidere responsabilmente se ridurli, accettarli, evitarli o trasferirli ; il Sistema di gestione mette in grado di padroneggiare con approccio preventivo le situazioni di rischio e documentare le precauzioni prese in caso di eventuali contestazioni per incidenti comunque occorsi.

Particolare importanza ha il Sistema di Gestione per assicurare la continuità del Business in caso di eventi disastrosi (incendi, alluvioni, crolli, ecc.).   

INQAS Srl  è in grado di strutturare il Sistema di gestione (eventualmente integrandolo ad altri esistenti) , seguirne l’attuazione e svolgere attività di supporto e formazione per il personale delegato dalla Direzione ad amministrarlo.