ISMS: cos’è, quali vantaggi offre e come strutturarlo

L’Information Security Management System (ISMS), noto anche come ISO/IEC 27001, è una norma volontaria internazionale dedicata alla gestione della sicurezza dei dati e dei sistemi informatici. È applicabile a organizzazioni di qualsiasi dimensione e settore, rappresentando uno strumento essenziale per elaborare un piano di sicurezza aziendale completo ed efficace. Riconosciuto come uno degli standard più rigorosi, l’ISMS si distingue per la presenza di numerose indicazioni e controlli accuratamente selezionati.

L’ISMS permette di gestire in modo integrato tutte le informazioni, le risorse e le persone che ruotano intorno a un’organizzazione, con un focus particolare sui processi IT coinvolti nelle attività aziendali. Basandosi sulle migliori best practice disponibili, offre un framework per individuare le misure tecnologiche necessarie a proteggere gli asset informativi da rischi e minacce di ogni tipo.

Attraverso l’implementazione di un Information Security Management System è possibile:

• Analizzare i processi aziendali per valutarne l’efficacia.
• Identificare i processi obsoleti da rinnovare.
• Verificare che i processi vengano effettivamente applicati.
• Individuare modifiche più ampie da apportare per migliorare il sistema.

Un ulteriore punto di forza dell’ISMS è la sua capacità di adattarsi all’evoluzione dei rischi che minacciano l’organizzazione. Questo lo rende un sistema dinamico, in grado non solo di rispondere alle nuove sfide, ma anche di stabilire le priorità di intervento, garantendo così una protezione sempre aggiornata e mirata.

‍

Vantaggi di un ISMS

I principali vantaggi di un modello di ISMS possono essere così riassunti: ‍

• ‍Visione complessiva e centralizzata della sicurezza aziendale: consente di andare oltre i confini della sicurezza IT, includendo anche persone e processi attraverso un approccio olistico. ‍
• Adattabilità alle evoluzioni delle minacce: si tratta di un modello flessibile che si adegua ai rapidi cambiamenti tipici dei moderni sistemi informativi, garantendo una protezione costantemente aggiornata. ‍
• Ottimizzazione della gestione del budget: offre una visione chiara e corretta dello stato della sicurezza aziendale, permettendo di allocare le risorse finanziarie verso iniziative che garantiscono il massimo ritorno in termini di riduzione del rischio. ‍
• Conformità normativa: l’implementazione del modello consente, in molti casi, di rispondere ai requisiti normativi esterni, i quali spesso richiedono misure che rappresentano un sottoinsieme dei controlli previsti dal framework. ‍
• Gestione centralizzata di dati e informazioni: grazie a un’unica struttura centralizzata, è possibile contrastare con maggiore efficacia gli attacchi informatici.

L’applicazione dei controlli previsti dall’ISMS rappresenta, di fatto, uno strumento efficace per la gestione della sicurezza aziendale. L’ISO/IEC 27001, in particolare, si distingue come uno degli standard più completi, offrendo un’ampia raccolta di indicazioni e controlli. Questi devono essere selezionati con attenzione e adattati alle esigenze specifiche dell’organizzazione, garantendo l’adozione di misure realmente rilevanti e attuabili.

‍

Standard ISO 27001: quali requisiti stabilisce

L’Annex A dell’ISO/IEC 27001 definisce gli obiettivi e i controlli, cioè le aree tematiche da considerare e i relativi controlli da applicare. Queste aree tematiche, suddivise in 14 sezioni, sono ulteriormente dettagliate in controlli di livello più specifico nella norma ISO/IEC 27002. Le 14 aree tematiche dell’ISO/IEC 27001 sono:

• A.5: Information Security Policy
• A.6: Organization of Information Security
• A.7: Human Resource Security
• A.8: Assett Management
• A.9: Access Control
• A.10: Cryptography
• A.11: Physical and Environmental Security
• A.12: Operation Security
• A.13: Communications Security
• A.14: System Acquisition, Developement and Maintenance
• A.15: Supplier Relationships
• A.16: Information Security Incident Management
• A.17: Information Security Aspects of Business Continuity Management
• A.18: Compliance

Ciascuna di queste sezioni include sotto-aree che forniscono linee guida generali, senza tuttavia prescrivere misure di sicurezza stringenti. Tali misure devono essere scelte e adattate in base alle specifiche esigenze dell’organizzazione.

‍

Come strutturare un sistema di gestione della sicurezza delle informazioni

Come già evidenziato, l'ISMS (Sistema di Gestione della Sicurezza delle Informazioni) ha un impatto trasversale e capillare su tutta l'organizzazione. Pertanto, il supporto del top management rappresenta un prerequisito imprescindibile per avviare il progetto.  

Fatta questa premessa, è possibile suddividere il progetto in diverse fasi, che analizzeremo nel dettaglio.

Definizione dell’obiettivo e stima del progetto

Il primo step del progetto consiste nello stimare l'ambito (scope) e nel calcolare i costi di realizzazione e maintenance. In questa fase, la dimensione e il livello di maturità dell’azienda giocano un ruolo determinante nell’individuare l’approccio più adeguato: si può infatti optare per un perimetro che coinvolga l’intera organizzazione o per uno scope più limitato, ad esempio concentrandosi inizialmente sui sistemi a maggior rischio, per poi espandersi progressivamente con successive ondate progettuali.

Tra le variabili da considerare rientra anche il supporto delle diverse strutture e funzioni aziendali, che non si limita agli uffici preposti alla sicurezza. La lista dei controlli previsti dallo standard, infatti, include anche aspetti legati a persone e processi, coinvolgendo molteplici aree aziendali, come le risorse umane, il legale, gli acquisti e altre.

Il commitment da parte di tutti gli attori coinvolti, insieme al sostegno del management, sarà cruciale per garantire il successo del progetto.

Un altro aspetto riguarda le modalità di miglioramento continuo che non sono direttamente esplicitate nello standard: si potrà adottare una delle metodologie iterative disponibili, tra cui il ciclo PDCA (Plan-Do-Check-Act), una delle più utilizzate per garantire una gestione strutturata ed efficace.

Il PDCA consiste in un’attuazione continuativa orientata al miglioramento continuo, finalizzata a garantire una gestione efficace e adattabile che possa seguire l’evoluzione del sistema informativo. Le quattro fasi del PDCA sono le seguenti:

• ‍Plan: definire il piano dell’ISMS, stabilendo perimetro e obiettivi. In questa fase si esegue il risk assessment e si definiscono il piano e le procedure per il trattamento dei rischi. ‍
• Do: implementare il piano dell’ISMS, rendendo operative le procedure previste. ‍
• Check: monitorare e verificare il piano dell’ISMS tramite audit interni, riportando i risultati all’alta direzione per le necessarie valutazioni. ‍
• Act: mantenere e migliorare il piano attraverso l’implementazione di azioni correttive basate sui risultati del monitoraggio.

Adottare questo ciclo è fondamentale poiché riflette la natura dinamica delle minacce, che richiedono una rivalutazione e un adattamento costante.

È inoltre importante sottolineare l’approccio basato sul rischio, che costituisce il fulcro della valutazione. L’obiettivo principale della sicurezza in un’organizzazione è garantire un contenimento del rischio che sia inferiore alla soglia stabilita dal board. Tale soglia può variare in funzione del risk appetite dell’azienda, ovvero il livello di rischio che l’organizzazione è disposta ad accettare.

Creazione del team

In questa fase del progetto, una volta stimato l’effort necessario, si procede alla costituzione del team responsabile della gestione.  

La realizzazione di un ISMS richiede competenze approfondite e una solida esperienza nel framework, motivo per cui può essere utile coinvolgere professionisti esterni con un background consolidato in progetti simili. Parallelamente, è indispensabile includere senior manager con un livello di autorità adeguato a coordinare efficacemente le risorse e le strutture coinvolte, garantendo un approccio integrato e sinergico.

Sviluppo del Progetto e Selezione dei Controlli

Il primo passo consiste nell’identificare i controlli, i processi e le procedure già esistenti che regolano l’ambito in cui si intende implementare la ISO 27001, insieme a tutti gli asset e gli attori coinvolti, come clienti, dati, partner, uffici, e così via.

Una volta mappate queste entità, sarà necessario selezionare i controlli da applicare e definire le metriche utili al monitoraggio continuo. La scelta e l’adattamento dei controlli non possono essere standardizzati, poiché dipendono da molteplici fattori, quali il settore di attività dell’azienda, le sue dimensioni, le tecnologie adottate e le risorse disponibili per l’implementazione e la gestione di tali controlli.

È fondamentale prestare attenzione al numero e alla complessità dei controlli introdotti, per evitare di compromettere la “psychological acceptability” degli utenti o di sovraccaricare i processi operativi. Inoltre, il ciclo retroattivo del PDCA descritto in precedenza deve essere utilizzato per perfezionare i controlli, valutandone l’efficacia e, se necessario, eliminando quelli che col tempo risultino obsoleti o non più significativi.

Sviluppo del progetto e impianto documentale

Dopo aver definito l’ambito e selezionato i controlli, è necessario integrare la gestione dell’ISMS nei processi aziendali, adattando il ciclo di gestione della qualità PDCA alle specificità dell’organizzazione. Questo richiede la formalizzazione di un impianto documentale strutturato ma snello, che comprenda almeno una policy, uno standard, una guida operativa.

Sviluppo del Progetto e Analisi dei Rischi

Il cuore dell’ISMS è rappresentato dal processo di analisi e valutazione dei rischi, il quale consente di identificare le minacce, valutarne la rischiosità e definire le contromisure adeguate. È consigliabile adottare un approccio già consolidato in azienda, qualora disponibile, o svilupparne uno nuovo, semplice e gestibile, per evitare di complicare inutilmente il progetto.

L’identificazione accurata delle minacce rilevanti e la loro corretta valutazione richiedono un coordinamento efficace tra figure specialistiche in ambito sicurezza. A livello macro, le fasi principali dell’analisi dei rischi comprendono:

• ‍Identificazione del rischio: fase in cui vengono individuati i potenziali rischi che, qualora si materializzassero, comprometterebbero l’integrità, la riservatezza o la disponibilità dei dati. ‍
• Misurazione del rischio: i rischi individuati vengono valutati in base al loro impatto sull’organizzazione, che può essere sia quantificabile in termini monetari (ad esempio per perdite materiali) sia immateriale, come nel caso di danni reputazionali. ‍
• Ponderazione del rischio: i risultati della valutazione vengono confrontati con i criteri di rischio stabiliti dall’organizzazione per definire le priorità e le modalità di trattamento del rischio.

Successivamente, si stabilisce come intervenire sul rischio identificato, scegliendo una delle seguenti opzioni: ‍

• ‍Accettare il rischio, se ritenuto trascurabile rispetto al rischio complessivo; ‍
• Trasferire il rischio, ove possibile, ad esempio tramite assicurazioni o accordi con terze parti; ‍
• Eliminare il rischio, eventualmente dismettendo un servizio o processo qualora i costi di mitigazione superino i benefici; ‍
• Mitigare il rischio, implementando controlli per ridurre il rischio a un livello accettabile.

‍

Assessment e Monitoraggio

È fondamentale pianificare periodiche fasi di revisione e monitoraggio dell’ISMS per verificarne l’efficacia e l’adeguatezza rispetto al contesto delle minacce, che può evolversi nel tempo. La qualità dell’audit e la scelta di metriche oggettive e significative sono elementi cruciali per una valutazione precisa del progetto. Metriche ben definite rendono più veritiera e semplice l’analisi dei controlli.

‍

‍

In conclusione, un ISMS rappresenta un benchmark per l’implementazione di un framework di sicurezza aziendale, ponendosi come uno dei pilastri fondamentali per un approccio strutturato, continuo e orientato al rischio. La definizione accurata del perimetro di applicabilità, l’allocazione delle risorse e delle competenze necessarie, insieme al forte supporto del senior management, sono gli elementi chiave per il successo dell’ISMS.