Alla conquista della Cyber-fiducia

Hacker ed attacchi informatici possono compromettere la continuità aziendale, mettere l'azienda in difficoltà a livello finanziario e anche a livello di immagine e affidabilità percepita dal mercato. La gestione del rischio è vitale nel mondo del cyberspazio e i cyber-rischi possono essere mitigati dall’applicazione di standard internazionali. Scopriamo quali. 

La minaccia digitale

Tutte le organizzazioni necessitano di "protezione”, ovvero di sistemi completi ed integrati per proteggersi di qualsiasi attacco, sia esso reale o semplicemente percepito, ed essere in grado di farlo nel minor tempo possibile. Per progettare e implementare con successo un sistema di protezione da minacce esterne, è necessario porre l'accento sulle intenzioni e le capacità degli hacker: cosa cercano, perché lo cercano e quali tecnologie hanno a loro disposizione. Ma le organizzazioni devono cautelarsi anche dalle minacce interne: l'uso incauto di dati sensibili può esporre le aziende a problemi legali, economici e reputazionali. Le organizzazioni possono avere i migliori firewall del mondo, ma questi non significano nulla quando si trovano di fronte a un insider con alti livelli di accesso.

Gestire il rischio, prevenire il disastro

Ma come possiamo proteggerci da questo tipo di minacce?  Il comitato tecnico ISO / TC 262, Gestione del rischio di ISO (Organizzazione Internazionale per la Normazione), tra i numerosi standard pubblicati, ha prodotto la ISO 31000, “Gestione del Rischio – Principi e Linee Guida”, che definisce un quadro di principi per la gestione del rischio in generale. Quando si affrontano i cyber-rischi, la certificazione in accordo alla norma ISO 31000 dovrebbe essere implementata anche in combinazione con le norme della serie ISO/IEC 27000 sui Sistemi di Gestione della Sicurezza delle Informazioni, che permette di bilanciare l'attenzione alla tecnologia con i “fattori umani". L'obiettivo della certificazione ISO/IEC 27001 è proprio quello di inquadrare l’insieme delle problematiche che la singola organizzazione deve considerare per sviluppare un sistema di gestione per la sicurezza delle informazioni capace di un’efficace protezione dei dati e delle informazioni. Infine, se la sicurezza informatica deve essere anche considerata in termini di Business Continuity è lo standard ISO 22301, la norma in accordo alla quale una certificazione può essere un plus in ambito di continuità operativa. Questo grazie all’implementazione di un sistema di gestione per un ripristino tempestivo delle attività, per minimizzare perdite economiche e reputazionali.

Kiwa e l’impegno verso la sicurezza informatica

Kiwa Italia è estremamente attenta ai temi della Cyber-security, ponendo particolare attenzione verso la sicurezza informatica. Nell’estate 2018 Kiwa ha ottenuto l’accreditamento per la Certificazione del Data Protection Officer, figura professionale responsabile della protezione dei dati personali, in conformità alla norma UNI 11697. Inoltre, tra i vari servizi offerti, propone anche la Certificazione in accordo allo standard ISO/IEC 27001 – Sistema di Gestione per la Sicurezza delle Informazioni. 

Ultima, ma non meno importante, la nuova Certificazione del Sistema di Gestione dei Dati Personali in ambito ICT secondo il GDPR utile a dimostrare il rispetto degli obblighi sia del titolare sia del responsabile del trattamento (art. 24 c. 3 e 28 c. 5 GDPR), e in particolare degli obblighi di adozione di misure di sicurezza adeguate (art. 32 c. 3) nel trattamento “informatico” dei dati sensibili.

Kiwa Idea, società interamente dedicata alla formazione, propone diversi corsi in materia di sicurezza informatica, reperibili sul Catalogo Corsi online e organizza in diverse città italiane il Master per Data Protection Officer, con rilascio di attestato valido come requisito ai fini dell'iscrizione all'esame di certificazione per tale figura professionale.