Sistemi di Gestione per la Sicurezza delle Informazioni ISO 27001

https://unsplash.com/photos/_X-f0s20tcMOggigiorno tutti i processi aziendali si basano sui sistemi informativi. La sicurezza delle informazioni è diventato un requisito fondamentale.
Mentre le grandi industrie si sono adeguate da tempo, il panorama produttivo italiano è ancora restio a "prendere in carico l'ennisimo balzello burocratico".
Purtroppo, o per fortuna, la burocrazia non c'entra. Chi non si adegua, chi pensa che "tanto non succede nulla", viene attaccato e messo in ginocchio.
Quanto costa una mancata giornata (o settimana) di produzione? Quando valgono le informazioni rubate?

Dal 2017 mi occupo di sicurezza informatica e cybersecurity, a dicembre 2019 ho frequentato il corso di specializzazione come Auditor di Sistemi di Gestione per la Sicurezza delle Informazioni (SGSI) secondo la norma ISO/IEC 27001.

Il piano operativo per un'azienda standard è così composto:

  • analisi preliminare in azienda al fine di definire lo stato di partenza.
  • Confronto dei risultati ottenuti con i punti della norma (ISO/IEC 27001 e 27002).
  • Stesura della relazione tecnica con i risultati dell’analisi delle differenze (gap analysis).
  • Realizzazione del Sistema di Gestione per la Sicurezza delle informazioni secondo la norma ISO 27001.
  • Presa in carico del 114 controlli di sicurezza come indicato nella norma ISO 27002.
  • Modifiche tecniche alla infrastruttura e al sistema informativo.
  • Audit di sicurezza (effettuato da una terza parte indipendente).

Dal 2018 ho prestato la mia consulenza per:

  • aggiornare un SGSI per un'azienda di produzione contatori d’acqua;
  • creare un SGSI e integrarlo nel SGQ (Sistema di Gestione per la Qualità) per un'azienda di produzione calibri di controllo settore automotive. L’audit, durato tre giorni, è avvenuto in lingua inglese con auditor tedeschi ed ha permesso di acquisire la certificazione TISAX.