CHE COSA SONO
Con la diffusione del Cybercrime sono aumentate, sia per i provider dei servizi che per i clienti utilizzatori, le preoccupazioni in merito alla disponibilità, integrità e riservatezza delle informazioni.Per rispondere a questa criticità ISO e IEC, basandosi sulla ISO/IEC 27002, hanno sviluppato le linee guida ISO/IEC 270XX:20Y, volte a garantire il rispetto dei principi della sicurezza delle informazioni, che trovano applicazione in ambiti verticali e per questo fortemente specifici, dal cloud computing, alla sicurezza applicativa, alla gestione degli incidenti, alla gestione della privacy, etc.
PERCHÉ
Il mercato è caratterizzato da cambiamenti continui dovuti alla rapidissima evoluzione in ambito tecnologico, e in questo contesto assistiamo sempre più frequentemente al susseguirsi di reati informatici.Il pericolo di diventare vittima di una violazione dei dati è ormai per tutte le aziende una realtà concreta, caratterizzata da nuove cyber minacce che emergono ogni giorno.
COME SI PUÒ PREVENIRE
La possibilità dell'avverarsi di questi eventi sta portando le aziende a porre una particolare attenzione sul “trattare le informazioni in modo sicuro” nell’ambito dell’operatività delle organizzazioni in tutti i settori di mercato. Questo approccio evita la perdita di clienti e il danno di immagine, garantendo che i rischi siano ridotti al minimo.
PUNTI CHIAVE
- Qualità
- sicurezza
- resilienza dei processi aziendali
Sono state sviluppate per contribuire a garantire il rispetto dei principi della sicurezza delle informazioni da parte dei fornitori di servizi che se ne dotano.
LA RISPOSTA DI CSQA
CSQA è tra i primi enti di certificazione ad aver esteso l’accreditamento ISO/IEC 27001, allo scopo flessibile, con integrazione delle linee guida ISO/IEC 270XX:20YY “Information Technology, Security techniques”.
La norma ISO/IEC 27001 per i Sistemi di gestione della sicurezza delle informazioni include oltre cinquanta linee guida che caratterizzano settori specifici o sono definite per ambiti specifici (quali il cloud computing, la gestione degli incidenti, la privacy, la cybersecurity..)Accredia, per questo tipo di standard, accredita gli Organismi di Certificazione con uno “scopo flessibile”, che consente di ampliare l’applicabilità della ISO/IEC 27001 a linee guida specifiche, in base alle esigenze del mercato.
Tra le linee guida ISO/IEC 270XX alcune in particolare si stanno rivelando un valido strumento al quale adeguarsi per rendere i servizi erogati più sicuri per gli utilizzatori e, dall’altro, garantire una maggior tutela per le organizzazioni stesse.
Parliamo di:
ISO/IEC 27017
Lo standard ISO/IEC 27017 fornisce una linea guida che prevede controlli avanzati sia per i fornitori che per i clienti di servizi cloud.
Il suo obiettivo: chiarire ruoli e responsabilità dei diversi attori in ambito cloud garantendo che i dati siano adeguatamente protetti.
ISO/IEC 27018
Lo standard ISO/IEC 27018 fornisce una linea guida per Service Provider che erogano servizi nel “public cloud”.
Il suo obiettivo: offrire una modalità strutturata per rispettare gli obblighi applicabili quando lo stesso provider agisce come responsabile del trattamento dei dati personali.
ISO/IEC 27037
Lo standard ISO/IEC 27037 fornisce una linea guida per le attività specifiche legate al trattamento delle prove digitali attraverso le fasi della loro identificazione, raccolta, acquisizione e conservazione.
Il suo obiettivo: definire regole tecniche omogenee tra diversi paesi per mantenere l’integrità delle prove digitali affinché siano ammissibili in fase di giudizio.
ISO/IEC 27701
Lo standard ISO/IEC 27701 fornisce una linea guida per le organizzazioni che desiderano implementare un sistema di gestione delle informazioni personali in conformità a quanto stabilito dal GDPR.
Il suo obiettivo: dimostrare a clienti e gli stakeholder che l’organizzazione utilizza sistemi efficaci per ridurre i rischi legati alla violazione della privacy.
ISO/IEC 27034
Lo standard ISO/IEC 27034 fornisce una linea guida a coloro che progettano, programmano, implementano e utilizzano i sistemi applicativi.
Il suo obiettivo: rafforzare le fasi di definizione delle specifiche, progettazione, sviluppo e test di sicurezza del software al fine di abbattere il rischio generato dalle vulnerabilità.
ISO/IEC 27035
Lo standard ISO/IEC 27035 fornisce una linea guida a copertura dei processi per una gestione efficace degli incidenti, delle vulnerabilità e degli eventi di sicurezza. Il pericolo di diventare vittima di una violazione dei dati è ormai per tutte le aziende una realtà concreta caratterizzata da nuove cyber minacce che emergono ogni giorno.
Il suo obiettivo: consentire di dotarsi di processi efficaci che prevedano misure preventive e correttive in risposta a qualsiasi tipo di attacco informatico.
Qualità, sicurezza e resilienza dei processi aziendali, clienti più soddisfatti e garanzia di conformità.
È la capacità di sostenere questi obiettivi a qualificarci come player di riferimento nel mercato italiano ed internazionale delle certificazioni e della formazione in ambito Cybersecurity, Information Management & Privacy, Business Continuity.