Con la sua crescente diffusione a livello globale, la ISO/IEC 27001 (disponibile anche in italiano come UNI CEI EN ISO/IEC 27001) è diventata lo standard più utilizzato nel campo dei sistemi di gestione della sicurezza informatica.
Come sostiene l'UNI, quanto la sicurezza delle informazioni sia un elemento determinante a tutti i livelli, è testimoniato dalla frequenza - e dalla risonanza - degli attacchi informatici che diventano quasi una costante della nostra cronaca quotidiana. Ovviamente, la corretta gestione dei rischi inerenti attacchi informatici, hack, fughe di dati o furti non può che essere frutto di un accurato utilizzo di politiche, procedure e processi che trovano nello standard ISO il suo compendio più efficace.
Sono già tantissime le aziende che ne fanno uso. Qualche esempio? Microsoft, Apple, Google, Intel e IBM, colossi dell’informatica mondiale che sfruttano la ISO/IEC 27001 per i loro sistemi di gestione informatici.
I cosiddetti cyberattacchi sono aumentati negli ultimi tempi e più di altri sono un emblema delle sfide che attendono le società moderne. L’attacco informatico è un’arma 4.0 che non distrugge edifici, ma si insinua nell’etere per colpire istituzioni e governi dall’interno.
L'importanza degli standard per la sicurezza informatica
A questo proposito ISO, in occasione del Safer Internet Day (celebrato il 7 febbraio scorso), ha ricordato l’importanza degli standard per la sicurezza informatica. La continua evoluzione di forme e tipologie di cyberattacchi genera la necessità di sviluppare sempre nuovi modi per difendersi dalle vulnerabilità digitali: per questo tutte le organizzazioni sono chiamate ad adottare una mentalità che potremmo definire "cyber-resiliente".
La resilienza informatica deve iniziare ad essere parte integrante della cultura organizzativa e delle strategie aziendali. Una consapevolezza che comincia a farsi strada nel management.
ISO riporta alcuni interessanti dati del Global Security Outlook 2023 del World Economic Forum (WEF), secondo i quali il 91% degli intervistati ha ammesso che un evento informatico catastrofico o di vasta portata sia "in qualche modo probabile nei prossimi due anni".
Resilienza informatica
Al di là di ogni genere di previsione, si tratta di comprendere che cosa si intenda quindi per resilienza informatica. ISO la definisce “la capacità di un'organizzazione di operare di fronte a un attacco o ad altri incidenti informatici, mettendo in atto delle misure tecniche e organizzative atte a rilevare, rispondere e riprendersi da tali incidenti, nonché la capacità di adattarsi e imparare da essi per migliorare la capacità di resilienza futura”.
Andreas Wolf, che guida il gruppo ISO/IEC che si occupa degli standard di sicurezza IT, afferma che «la resilienza informatica è ciò che deve intervenire quando le misure di prevenzione della sicurezza vacillano. Nell'economia digitale, la capacità di fronteggiare ed evitare la cosiddetta cyber-disruption è quell’elemento che fa la differenza sul mercato. Le organizzazioni che trasformano la vulnerabilità in forza avranno anche la fiducia necessaria per assumersi rischi e mantenere continuità operativa».
In breve, saper rispondere agli attacchi, difendersi, ma anche sapersi riprendere e adattare, imparando dagli errori sono tutte capacità che un’organizzazione deve possedere.
Ovviamente, prosegue l'UNI, il concetto di resilienza non può riguardare solo l’organizzazione interna, ma deve riverberarsi all’esterno, applicandosi a tutte le partnership eventualmente in essere e lungo tutta la catena di fornitura di un’azienda.
Il Cyber Resilience Index (CRI): Advancing Organizational Cyber Resilience, anch'esso pubblicato dal World Economic Forum, fornisce un quadro di riferimento per dare evidenza alle pratiche di resilienza informatica. Non solo: fornisce tanto al settore pubblico quanto a quello privato un quadro comune di best practice per una autentica resilienza informatica, uno strumento per misurare le prestazioni organizzative e un linguaggio chiaro per comunicarne valore.
Secondo i principi del CRI, le pratiche utili per attuare una efficace resilienza informatica all’interno di un’organizzazione sono l'uso di un framework di sicurezza e… gli standard di settore, come la ISO/IEC 27001.
Sicurezza informatica nel nostro Paese
In ambito nazionale, il tema della sicurezza informatica - così come tutti i temi inerenti le tecnologie dell'informazione e il mondo digital - viene gestito da UNINFO (Tecnologie Informatiche e loro applicazioni), Ente federato all'UNI.
In particolare, quando si parla di cybersecurity, il riferimento è l'UNI/CT 510 - che interfaccia i lavori del comitato ISO/IEC JTC1/SC 27 "Information security, cybersecurity and privacy protection" - presieduto da Fabio Guasconi, uno degli esperti italiani più attivi in questo ambito sia per la scrittura e manutenzione della ISO/IEC 27001 che delle numerose norme da essa derivate (27002, 27006, 27701). Un figura eminente nel suo campo, a cui non a caso è stato assegnato nel 2022 il Premio Paolo Scolari, il riconoscimento assegnato a coloro che hanno contribuito al consolidamento della normazione tecnica e alla diffusione dei suoi valori.
 è lo standard più utilizzato nel campo dei sistemi di gestione della sicurezza informatica.){kind=link}