top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

ISO/IEC 27001 – 2013 l’anno della rivincita


Nell’autunno 2014, l’International Organization for Standardization (ISO), ha rilasciato il Survey annuale, riferito al 2013, contenente l’andamento nel mercato di alcuni principali standard, tra i quali ISO 9001, ISO 14001, ISO 50001, ISO 27001, ISO 22000, ISO/TS 16949 e ISO 13485.

 

In questa breve analisi, relativa allo studio condotto da ISO, si andrà a trattare principalmente ISO/IEC 27001 quale riferimento per il settore dell’Information Security anche se, per completezza, è corretto spendere alcune parole anche per qualcuno degli altri standard.

 

In particolare:

ISO 50001:2011   

Definisce i requisiti per i Sistemi di Gestione dell’Energia, indirizzando un modello di gestione e razionalizzazione dell’utilizzo energetico. Un tema sensibile per il quale già il legislatore, con la Legge 10/91, aveva peraltro reso obbligatorie una serie di regole, come l’adozione di un Energy Manager, per i soggetti industriali e non industriali con consumi dai 1.000 ai 10.000 tep (tonnellate equivalenti di petrolio, ndr). In 78 paesi, lo standard ISO 50001 nel 2013 ha fatto quindi segnare un incremento del 116% ( 2.590 certificati, nel 2012 l’incremento era già stato del 332%), con l’Italia al terzo posto, per numero di certificati e crescita, dopo Germania e UK.

 

ISO 13485:2003

E’ lo schema che definisce i requisiti per un Sistema di Gestione della qualità per i fabbricanti e i distributori di dispositivi medici in riferimento alla normativa 93/42/CEE e 2007/47/CE. Interessante notare come anche questo standard segni un incremento del 15% in 95 paesi ( 3.349 certificati). USA e Germania hanno il primato per numero di certificati, con l’Italia al terzo posto.

 

ISO/IEC 27001:2013

 

Certificazioni ISO/IEC 27001 per paese

 

Figura 1 - Certificazioni ISO/IEC 27001 per paese (Fonte ISO.org)

Lo scorso anno pubblicammo un articolo sul survey di ISO relativo al 2012 che si chiudeva dicendo “La fase di crescita dello standard non è quindi ancora terminata”. E in effetti l’intuizione non era sbagliata, soprattutto alla luce dei dati che emergono dal survey 2014. Analizzando infatti alcuni primi dati (vedi Fig. 1), è possibile rilevare come l’Italia nell’arco di un solo anno sia passata, a livello globale, dalle ultime posizioni al 5° posto per numero di certificati attivi. Una crescita molto interessante, in effetti ipotizzabile visto il numero delle imprese che avevano già adottato le best practice di ISO/IEC 27002 ma che ancora non avevano intrapreso il percorso di certificazione del Sistema.

 

 

 

Seppur a livello globale lo standard abbia ottenuto un incremento del “solo” 14%, segnando complessivamente un incremento di 2.673 certificati, nel nostro paese l’incremento è stato di gran lunga superiore, passando dai circa 500 certificati attivi nel 2012 ai 900 certificati del 2013, cioè l’equivalente di un tasso di crescita rispetto all’anno precedente del 80% (!!).  

 

Numero dei certificati in Italia nel periodo 2006-2013

 

Figura 2 - Numero dei certificati in Italia nel periodo 2006-2013 (Fonte ISO.org)

 

Anche se in taluni casi in forma un po’ distorta, bisogna riconoscere che buona parte della sensibilizzazione è stata svolta dai media. In questo periodo infatti la sicurezza delle informazioni è, più che mai, di grande attualità: prima le “rivelazioni” di Assange e Snowden, poi le continue notizie relative ad effrazioni perpetrate da paesi emergenti in cerca di innovazione e brevetti, al furto continuo e massivo di carte di credito, alla violazione praticamente quotidiana di numerosi sistemi, alle continue discussioni in materia di privacy, ecc. L’elenco è lungo. 

 

Inoltre il legislatore ha recentemente introdotto anche alcuni obblighi. Come ad esempio nel caso dell’Agenda Digitale Italiana (ADI), in particolare con la circolare n. 65 del 2014, in riferimento alle modalità di accreditamento e vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione e archiviazione sostitutiva di documenti. In tale ambito il legislatore, poiché debbono sussistere garanzie di validità legale nel tempo, l’autenticità e l’integrità, la riservatezza e la disponibilità, dispone che, per conseguire l’accreditamento, il richiedente debba possedere i seguenti requisiti di qualità e sicurezza:

 

  • Conformità allo standard ISO/IEC 27001:2013;
  • Adozione dello standard UNI 11386:2010 – Standard SInCRO (Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali);
  • Adozione dello standard ISO 14721:2002 OAIS (Sistema informativo aperto per l’archiviazione).

 

 

Classifica dei paesi per tasso di crescita di 27001

Figura 3 - Classifica dei paesi per tasso di crescita di 27001

Fattori quelli indicati che, tra gli altri, hanno sicuramente stimolato il “tardivo” mercato italiano, portandolo globalmente al primo posto per tasso di crescita dei sistemi certificati. All’interno dell’Europa, si rileva una crescita interessante in Germania e Olanda, con la Spagna che mantiene la propria posizione (quasi 800 certificati attivi), e la Francia che segna invece il passo con soli 94 certificati.

 

Anche gli USA, solitamente un po’ refrattari agli standard di origine europea, si posizionano al 5° posto seppur con soli 151 nuovi certificati nel 2013.

 

 

 

 

IL FUTURO

Come possiamo quindi concludere questa breve analisi dello studio condotto da ISO ?

 

Sicuramente dicendo che, come emerge dalla statistica, l’Italia pare proprio si stia indirizzando verso una maggiore standardizzazione e verso il miglioramento continuo dei processi produttivi. Questo è senz’altro un segnale molto positivo perché rivela l’interesse dell’impresa italiana a raggiungere una maggiore competitività, quantomeno con il resto dell’Europa.

 

Inoltre, con l’intuizione dell’anno precedente suffragata dai risultati del survey, ci si può sbilanciare nuovamente, dicendo che l’apice di ISO/IEC 27001 non è ancora stato raggiunto e che i prossimi due o tre anni saranno di decisiva crescita e consentiranno allo standard di giungere a completa maturazione.

 

Va anche detto che seppur siano sicuramente innumerevoli le aziende che oggi percepiscono l’esigenza di avere maggiore governo della propria sicurezza e vorrebbero quindi avvicinarsi a questo Sistema di Gestione, sono ancora presenti dubbi ed incertezze. Ad esempio, alcune delle voci più ricorrenti che spesso si raccolgono tendono a sostenere che ISO/IEC 27001 sia complicata, onerosa e concorra ad aumentare la burocrazia, in pratica poco convincente in un’analisi costi-benefici.

 

Per chi fosse quindi ancora dubbioso ed indeciso, è bene sottolineare che lo standard, se supportati da esperti in materia:

 

  1. può essere applicato in modo intelligente, senza ridondanze, in tempi e con costi accettabili, rispettando la filosofia di gestione, la cultura e la tradizione aziendali;
  2. può apportare benefici che spaziano dalla primaria messa in sicurezza delle informazioni aziendali, al più semplicistico riordino degli asset, alla riduzione dei costi (in particolare per l’IT), al miglioramento dell’immagine aziendale;
  3. può consentire l’accesso a business diversi, quali ad esempio quelli legati alla conservazione, elaborazione e trasmissione di informazioni, dove la conformità a ISO/IEC 27001 è quasi sempre un pre-requisito;
  4. apporta benefici nel rapporto con le imprese assicuratrici, grazie ad una gestione più organizzata della sicurezza e in particolare degli incidenti;
  5. migliora e consolida la consapevolezza del personale in materia di sicurezza, affinché questo diventi l’anello forte della catena per la tutela del patrimonio informativo, cioè della ricchezza aziendale.

 

@ Mediaservice.net S.r.l., con l’esperienza maturata sul campo e con le attività svolte in qualità di contributore per lo sviluppo di ISO/IEC 27001, è in grado si supportare con successo il Cliente attraverso tutto il processo di somministrazione dello standard: dall’iniziale avvicinamento, alla sua completa integrazione nell’organizzazione aziendale finalizzata al raggiungimento della Certificazione.

 

In particolare, mediante un adeguato affiancamento finalizzato alla continua condivisione dei passaggi chiave, il Cliente può svolgere con successo il percorso certificativo, attraverso l’erogazione delle seguenti principali attività:

 

  1. l’analisi dello stato del Cliente per determinarne il grado di scostamento dai requisiti richiesti dallo standard e la definizione del piano di rientro per colmare eventuali lacunosità;
  2. l’erogazione di un’attività di Risk Assessment che si compone di metodologie, modelli e strumenti riconosciuti dal settore, ma al contempo finemente personalizzata sulle necessità del Cliente;
  3. la definizione di una base documentale che integri la tradizione e la cultura di gestione aziendale;
  4. il supporto continuo e l’affiancamento affinché il Cliente veda superata la difficoltà di diffondere, rendere comprensibile e funzionale il Sistema di Gestione, anche mediante eventi finalizzati alla creazione di consapevolezza in materia di security;
  5. l’accompagnamento alla Certificazione, svolgendo un ruolo di intermediatore tra le peculiarità operative del Cliente e le necessità degli Enti accreditati che dovranno validarne e confermarne la conformità.

 

Per approfondimenti:

- www.iso.org

- Ministero dello Sviluppo Economico – Agenda Digitale Italiana

- Agenzia per l’Italia Digitale

15/11/2014 - Angelo Chiarot, Security Advisory Team @ Mediaservice.net