Certificazione ISO 27001: cos’è e perché è indispensabile

Cos’è esattamente la certificazione che abbiamo ottenuto e come siamo riusciti ad ottenerla.

Certificazione ISO 27001: perché una compagnia che lavora con le informazioni dei clienti ne ha bisogno e cosa serve per ottenerla.

Di recente, l’organismo indipendente TÜV AUSTRIA ha confermato che il sistema di gestione della sicurezza delle informazioni che impieghiamo con l’infrastruttura Kaspersky Security Network (KSN) è in linea con lo standard  ISO/IEC 27001:2013 per l’invio di file dannosi e sospetti. TÜV ha anche confermato che l’immagazzinamento e l’accesso a questi file in Kaspersky Lab Distributed File System (KLDFS) è sicuro. Ecco di cosa si occupa la certificazione ISO/IEC 27001:2013.

ISO 27001: cos’è?

ISO 27001 è uno standard internazionale con determinati requisiti per la creazione, la manutenzione e lo sviluppo dei sistemi di gestione della sicurezza delle informazioni. In sostanza, si tratta di un insieme di best practices inerenti alle misure di gestione della sicurezza, con lo scopo di proteggere le informazioni e garantire la protezione dei dati dei clienti.

Per la procedura di certificazione, un’entità indipendente (nel nostro caso, TÜV AUSTRIA), invia degli auditor il cui obiettivo principale è quello di verificare in che modo le procedure che garantiscono la cybersecurity rispettino le best practices indicate. Durante l’audit, vengono valutate le procedure di varie sezioni dell’azienda (tra cui Risorse Umane, IT, Sviluppo e Ricerca, Sicurezza) e si redige un report esaustivo che verrà poi analizzato da esperti indipendenti per confermare l’imparzialità degli auditor. Infine, l’organismo indipendente emette un certificato, che nel nostro caso conferma il rispetto delle best practices da parte del nostro sistema di gestione della sicurezza informatica.

Cosa vuol dire la dicitura “certified”?

Ai nostri clienti importa sapere  soprattutto se forniamo il maggior livello di sicurezza possibile nelle procedure di invio di oggetti (file) dannosi o sospetti per un’analisi aggiuntiva automatica e manuale da parte dei nostri esperti, e poi dove custodiamo questi oggetti. Si tratta di un’area fondamentale per un’azienda antivirus. Abbiamo ottenuto la certificazione per i meccanismo di invio di file dannosi e sospetti mediante l’infrastruttura Kaspersky Security Network e il loro immagazzinamento sicuro in Kaspersky Lab Distributed File System. In ogni caso, l’audit non si è fermato solo a quest’area, molti servizi della compagnia sono organizzati in modo simile.

Ci sono molti fattori che possono influire sulla sicurezza di qualsiasi processo; i sistemi di gestione della sicurezza delle informazioni possono aiutare a definire tali fattori e a offrire una protezione tempestiva dagli attacchi online. Esistono molteplici questioni fondamentali nella gestione della cybersecurity. Chi ha accesso ai sistemi di informazione e ai dati critici? Come si svolge il processo per fare domanda per un posto di lavoro? In che modo i dipendenti lavorano con i documenti e i sistemi delle informazioni? In che modo il team di sicurezza gestisce la revoca delle autorizzazioni di accesso quando un dipendente non lavora più in azienda? In che misura i dipendenti sono coscienti delle possibili minacce informatiche e dei mezzi di protezione per evitarle? Come lavorano gli amministratori che hanno a che fare con sistemi su cui si svolgono operazioni critiche?

Il sistema di protezione, inoltre, tiene in considerazione nuovi tipi di minacce e di contromisure (ad esempio protezione da attacchi APT), tenendo a mente i possibili rischi nell’uso di nuove tecnologie, tra cui gli algoritmi di apprendimento automatico.

Alla luce di tutto ciò, gli auditor hanno analizzato la documentazione, hanno parlato con i dipendenti di varie sezioni e hanno esaminato aspetti tecnici e organizzativi della protezione dei dati, come le procedure di recruiting, licenziamento e formazione. Hanno analizzato anche come il servizio IT si occupa della manutenzione della rete aziendale e hanno visitato i nostri data center. Hanno visto come lavorano i nostri dipendenti, verificato se lasciano documenti stampati e dispositivi rimovibili in giro per l’ufficio, se bloccano i computer quando si allontanano, cosa mostrano i loro schermi e le dashboard e quali programmi usano per lavorare. Insomma, hanno analizzato la condotta aziendale in termini di cybersecurity, prestando particolare attenzione alla verifica dei processi di sistema per la gestione della sicurezza informatica: analisi della sicurezza di gestione, gestione dei rischi, gestione degli incidenti, azioni correttive, audit, miglioramento della consapevolezza dei dipendenti in tematiche di cybersecurity, continuità delle attività aziendali.

E ora?

I clienti interessati possono prendere dimestichezza con la certificazione, che rappresenta il punto di vista di esperti indipendenti. Dubbi e domande sulla certificazione ISO 27001 possono sorgere di frequente, soprattutto quando un’azienda deve scegliere il proprio fornitore dei servizi di sicurezza, dal momento che i servizi certificati sono coinvolti nella maggior parte delle nostre soluzioni.

Il lavoro non finisce qui. Ogni tre anni rinnoviamo il processo di certificazione, il che vuol dire altri audit per confermare la certificazione. Inoltre, gli auditor effettuano verifiche intermedie ogni anno.

Per maggiori informazioni sulla certificazione vi invitiamo a leggere: https://www.kaspersky.com/about/iso-27001. Qui invece troverete maggiori informazioni sulle soluzioni di sicurezza Kaspersky.

Consigli