L’approccio all’Information Technology sta cambiando, supportato anche da un profilo normativo sempre in evoluzione. Se fino ad alcuni anni fa le sole capacità di realizzazione e implementazione potevano essere sufficienti, oggi in un numero sempre maggiore di contesti risulta necessario anche operare secondo modalità professionali precise e il più possibile standardizzate. In alcuni casi, in particolare per le aziende che devono rispondere di compliance specifiche, si tratta di una vera e propria esigenza, anche normativa. In queste circostanze, risulta necessaria per un System Integrator la certificazione ISO 27001:2013.
Una certificazione riconosciuta globalmente
La certificazione ISO 27001:2013 stabilisce i requisiti per istituire, implementare, mantenere e migliorare in modo continuativo un sistema per la sicurezza delle informazioni all’interno dell’organizzazione. Attualmente è, a livello globale, il secondo tipo di certificazione più diffusa, a dimostrazione della sua validità.
Alla base del successo di questa norma c’è un approccio estremamente pragmatico. A differenza di alcune altre normative, che spesso tendono ad avere una forte componente di astrazione, ISO 27001 è pensata per supportare le aziende nell’approfondimento e nella comprensione dell’uso dei dati. Per questo motivo, per esempio, il suo campo di azione si estende dalla progettazione dei sistemi al miglioramento continuo della protezione attraverso revisioni annuali.
ISO 27001:2013 e il “miglioramento continuo”
Fra gli aspetti più interessanti della norma ISO 27001:2013, c’è senza dubbio l’idea di miglioramento continuo dei sistemi, delle policy e, in generale, delle soluzioni per la sicurezza. Non si tratta di una norma statica, il cui raggiungimento costituisce in qualche modo un traguardo: può essere vista come una scelta strategica a lungo termine, che si rivela premiante anche nell’applicazione pratica.
Le specifiche fornite dalla norma, infatti, corrispondono nella maggior parte dei casi alle buone pratiche di sicurezza e protezione che normalmente sono suggerite dagli esperti del settore.
Tra queste, prima di tutto, è necessario tenere conto che, nella creazione di un sistema sicuro, è fondamentale agire su due fronti: uno tecnico/applicativo e uno di change management. Infatti, se costruire processi e sistemi in grado di rispondere alle esigenze è importante, è altrettanto fondamentale dare vita ai comportamenti che permetteranno alle persone di fruirne in modo agevole.
La fase iniziale di questo percorso è l’analisi che permette di progettare i livelli di classificazione delle informazioni da proteggere dalla divulgazione impropria. Questo avviene implementando un sistema di protezione dei dati sulla base di privilegi.
Il tema fondamentale, nella realizzazione pratica di un sistema certificato ISO 27001:2013, infatti, è analizzare i rischi realizzando un sistema per minimizzarli, da migliorare attraverso un progetto di crescita continua.
Qintesi e l’approccio alla certificazione 27001:2013
Proprio per la sua natura, questa norma si presta anche a un approccio pratico e pragmatico, con ricadute concrete e fattive sulle policy aziendali, favorendo anche un miglioramento della cultura del dato all’interno delle organizzazioni.
La scelta di Qintesi di seguire un percorso di certificazione mostra da questo punto di vista un’esperienza interessante: diversamente da molti luoghi comuni, infatti, è sempre crescente il numero di interlocutori che richiedono di operare in un contesto di certificazione. Un fenomeno che si piega nel fatto che le realtà aziendali hanno finalmente compreso a pieno l’esigenza di proteggere e tutelare i propri dati non solo da un punto di vista di mera compliance dell’azienda, ma di vera difesa e conservazione del patrimonio strategico, disponibile sotto forma di informazioni.
In quest’ottica, Qintesi, forte di una comprovata esperienza consulenziale, ha scelto di inserirsi in sistemi e filiere certificati, per poter fornire in questo modo prodotti e servizi compatibili con le certificazioni e offrire ai propri clienti un servizio adeguato alla domanda.
