qualitaet-header-blog-dqs-bunte bausteine

La sicurezza delle informazioni incontra la gestione della qualità

Gert Krueger

Esperto DQS per la sicurezza delle informazioni e la protezione dei dati
ott 25 , 2022
# Digitalizzazione nella gestione della qualità

Nell'era della digitalizzazione, sono soprattutto le informazioni preziose a dover essere conservate o protette. Per le aziende, ciò significa che, oltre alla protezione dei dati, la sicurezza delle informazioni è un must assoluto. La buona notizia è che le aziende che dispongono di un sistema di gestione della qualità certificato secondo la norma ISO 9001 hanno già creato una buona base per l'introduzione graduale di una sicurezza informatica completa.

CONTENUTO

Il tema della sicurezza delle informazioni non è nuovo. I pericoli che minacciano il vasto panorama informativo delle organizzazioni sono noti da tempo. Secondo la "Cyber Security Survey" di aprile 2019 di BSI, il 43% delle grandi aziende ha dichiarato di essere stato colpito da incidenti di sicurezza informatica nel 2018.

Per le piccole e medie imprese, la percentuale è stata del 26%. E secondo il "Rapporto sulla situazione della sicurezza informatica in Germania 2021" dell'Ufficio federale tedesco per la sicurezza informatica (BSI), i casi di criminalità informatica sono nuovamente aumentati in modo significativo. Nel periodo di riferimento che va dal 1° giugno 2020 al 31 maggio 2021, non solo si è registrato un aumento di ben il 22% delle nuove varianti di malware (circa 144 milioni), ma anche la qualità degli attacchi ha continuato ad aumentare notevolmente. Nel processo, molti autori hanno sfruttato il disagio di Corona di molte aziende e persone.

Tuttavia, la sicurezza delle informazioni aziendali riservate è ancora trascurata. Spesso mancano cautela e lungimiranza nell'elaborazione e nell'archiviazione delle informazioni. Anche la consapevolezza delle conseguenze del furto di dati e simili è tutt'altro che sufficientemente sviluppata. In alcuni luoghi, le aziende sono anche riluttanti a investire il tempo e gli sforzi necessari per proteggere efficacemente le loro informazioni sensibili.

Passo dopo passo verso una maggiore sicurezza delle informazioni

Ma l'impegno richiesto per la sicurezza dei dati non deve essere necessariamente così grande. La buona notizia è che molte aziende non devono implementare un sistema completo di gestione della sicurezza delle informazioni in un colpo solo. Per le infrastrutture critiche (CRITIS), invece, ciò è richiesto dalla legge tedesca sulla sicurezza informatica.

È possibile anche un approccio graduale. Ciò significa che il primo passo, almeno nelle aziende che hanno un sistema di gestione della qualità (QM) conforme alla norma ISO 9001, può essere l'aggiornamento dell'approccio basato sul rischio richiesto, ma già in vista dei corrispondenti requisiti dell'importante norma sulla sicurezza delle informazioni ISO 27001.

Sicurezza delle informazioni e gestione della qualità

ISO 27001 vs. ISO 9001: dove sono i collegamenti? In primo luogo, va notato che lo standard di gestione della qualità ISO 9001 richiede un approccio basato sul rischio in tutti i suoi aspetti. Tuttavia, l'implementazione di questo requisito del sistema di gestione dipende in larga misura dall'organizzazione. Ad esempio, la gestione della qualità non richiede un processo separato per la valutazione del rischio, ma questo è indubbiamente troppo poco per quanto riguarda la sicurezza delle informazioni. Ciononostante:

La valutazione del rischio per le questioni di gestione della qualità può essere facilmente estesa per includere la sicurezza delle informazioni.

A tal fine, è utile esaminare i requisiti per l'identificazione e la gestione dei rischi per la sicurezza della norma ISO 27001 per un sistema di gestione della sicurezza delle informazioni (ISMS). La maggior parte degli aspetti può essere implementata dagli utenti di un sistema di gestione della qualità con uno sforzo ragionevole, come primo passo verso una sicurezza delle informazioni olistica.

Sicurezza delle informazioni: rischi e opportunità

Entrambe le norme internazionali, la ISO 27001 per la sicurezza delle informazioni e la ISO 9001 per la gestione della qualità, trattano gli argomenti pertinenti nel capitolo 6.1 "Misure per affrontare rischi e opportunità". In sostanza, l'obiettivo è garantire tre aspetti essenziali del sistema di gestione:

  • Raggiungere i risultati previsti dall'organizzazione
  • Prevenire o ridurre gli effetti indesiderati
  • Ottenere un miglioramento continuo attraverso la conformità a determinati standard.

Per quanto riguarda la sicurezza delle informazioni, questi sono principalmente i tre obiettivi di protezione essenziali:

  • Perdita di riservatezza
  • Integrità delle informazioni
  • Disponibilità delle informazioni

Lo standard ISMS ISO 27001 specifica i seguenti requisiti (sezione 6.1.1):

  • Determinazione dei rischi e delle opportunità
  • Pianificare le misure per affrontare i rischi e le opportunità identificati.
  • Pianificare il modo in cui le misure saranno integrate nei processi aziendali e implementate.

Identificazione e gestione dei rischi

Il successivo sottocapitolo (6.1.2) della ISO 27001 richiede l'istituzione e l'applicazione di un processo di valutazione del rischio per la sicurezza delle informazioni. Questo processo deve stabilire e mantenere i criteri di rischio per la sicurezza delle informazioni. Ciò include, in particolare, i criteri per l'accettazione del rischio e l'esecuzione delle valutazioni del rischio per la sicurezza delle informazioni.

Inoltre, il processo deve garantire che "ripetute valutazioni del rischio per la sicurezza delle informazioni producano risultati coerenti, validi e comparabili", come afferma lo standard ISMS. Le seguenti sottovoci potrebbero essere significative in vista di un primo passo:

  • Identificare i rischi per la sicurezza delle informazioni
  • Analizzare i rischi per la sicurezza delle informazioni
  • Valutare i rischi per la sicurezza delle informazioni

I requisiti di cui al punto 6.1.3 richiedono la definizione e l'applicazione di un processo per affrontare il rischio per la sicurezza delle informazioni al fine di ottenere quanto segue:

  • Selezionare le opzioni appropriate per affrontare il rischio per la sicurezza, in relazione ai risultati della valutazione del rischio.
  • determinare tutte le azioni necessarie per implementare le opzioni selezionate per affrontare il rischio di sicurezza
  • Confrontare le misure definite con i controlli specificati nell'allegato A della norma ISO 27001 (azioni mirate).
  • Preparare una dichiarazione di applicabilità per quanto riguarda le ragioni per (non) includere i controlli dell'Allegato A
  • Formulare un piano per la gestione dei rischi per la sicurezza.
  • Ottenere l'approvazione e l'accettazione di questo piano da parte dei proprietari dei rischi.
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft

Certificazione secondo la norma ISO 27001

Quale impegno dovete aspettarvi per ottenere la certificazione del vostro sistema di gestione della sicurezza delle informazioni secondo la norma ISO 27001? Scopritelo.

Non vediamo l'ora di entrare in contatto con voi!

L'allegato A della norma ISO 27001 offre una guida

L'allegato A della nota norma sui sistemi di gestione ISO/IEC 27001 ha un carattere normativo esplicito. Può essere inteso come una sorta di lista di controllo contenente obiettivi (controlli) e misure. È possibile utilizzare questa guida per assicurarsi che non siano stati trascurati i punti essenziali per affrontare i rischi per la sicurezza. Tuttavia, non ha la pretesa di essere esaustiva.

Sicurezza delle informazioni e gestione della qualità: qual è l'approccio migliore?

La ISO 27001 richiede quindi due processi distinti per valutare e gestire i rischi per la sicurezza delle informazioni. Per la prima fase, tuttavia, questi potrebbero essere combinati in un unico processo che amplia in modo specifico la valutazione dei rischi della gestione della qualità secondo i requisiti citati, includendo l'aspetto della sicurezza delle informazioni. I due standard forniscono quindi una buona base per l'implementazione di misure protettive per la protezione dei dati e la sicurezza informatica.

ISO/IEC 27001:2013 - Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti.

ISO 9001:2015 - Sistemi di gestione della qualità - Requisiti.

Entrambe le norme sono disponibili sul sito web dell'ISO.

ISO 27001 vs. ISO 9001: il grado di approfondimento di ciascun requisito del processo sopra descritto dipende direttamente dalla complessità del panorama informativo dell'organizzazione e dai dati da proteggere. In ogni caso, è consigliabile verificarne l'efficacia con un audit esterno. Questo è consigliabile, ad esempio, nel corso di un audit di certificazione del vostro sistema di gestione della qualità secondo la norma ISO 9001, che è comunque previsto.

La sicurezza delle informazioni incontra la gestione della qualità: quali sono i vantaggi?

  • Un processo che esamini in modo approfondito i rischi per la sicurezza delle informazioni può costituire un primo importante passo verso un sistema di gestione olistico per la sicurezza delle informazioni in conformità alla norma ISO/IEC 27001.
  • Implementando tale processo, il top management rafforza la consapevolezza della sicurezza delle informazioni e dei dati (protezione dei dati) a tutti i livelli.
  • Con l'esame mirato dei rischi per la sicurezza delle informazioni, un'azienda ha l'opportunità di scoprire la necessità di agire e di adottare misure adeguate (orientato alla ISO 27001, Appendice A).
  • La valutazione dei rischi estesa alla sicurezza delle informazioni, ad esempio nell'ambito della gestione della qualità, rafforza l'approccio globale dell'azienda basato sui rischi.
  • Le risorse finanziarie e umane necessarie per l'implementazione e la verifica dell'efficacia sono gestibili.

DQS: Sfruttare semplicemente la qualità

Nell'equilibrio tra dinamica e stabilità, i sistemi di gestione certificati stanno diventando sempre più importanti: uno sviluppo che DQS percepisce in modo positivo. Perché le aziende e le organizzazioni di successo utilizzano i risultati dei nostri audit per migliorare continuamente i loro risultati. E utilizzano i nostri certificati, riconosciuti a livello mondiale, come prova oggettiva della loro capacità qualitativa. Questo crea fiducia, sia all'interno che all'esterno della vostra organizzazione.

DQS ha rilasciato il primo certificato di gestione della qualità in Germania nel 1986. Il primo audit, nell'agosto 1986, si è basato su una bozza dello standard. Nel 1991, DQS ha ricevuto il primo accreditamento per ISO 9001/2/3 dall'allora TGA Trägergemeinschaft für Akkreditierung GmbH (oggi: DAkkS). L'accreditamento per la certificazione della sicurezza delle informazioni secondo lo standard britannico BS 7799-2 è seguito nel 2000.

Oltre tre decenni di know-how

I nostri testi e opuscoli sono redatti esclusivamente dai nostri esperti di standard o auditor con molti anni di esperienza. Se avete domande da porre all'autore sui contenuti o sui nostri servizi, non esitate a contattarci.

Autore
Gert Krueger

Esperto e responsabile di progetto per la sicurezza delle informazioni, per BSI-KritisV e la protezione dei dati presso DQS. Inoltre, auditor storico per la gestione della qualità e dell'ambiente.

Hai delle domande?

Siamo qui per te.
Contattaci