Tra i tanti danni che un’azienda può subire e dai quali deve difendersi attuando dei sistemi di prevenzione il cybercrime è oggi uno dei più temuti considerato il fatto che la maggior parte delle informazioni aziendali sono custodite su supporti informatici. Il cybercrime risulta essere la prima causa di attacchi gravi ai sistemi informatici. Per le aziende e le organizzazioni garantire la sicurezza delle informazioni è pertanto un impegno primario. Un’impresa che voglia proteggere le informazioni non può pensare alla sicurezza informatica come un’attività isolata ma come un insieme di attività periodiche e continuative che tengano conto dell’identificazione delle aree critiche, della gestione dei rischi, dei sistemi e della rete, degli incidenti, del controllo degli accessi, della gestione della privacy e della compliance ecc. In questo contesto è necessario proteggere le informazioni da una possibile perdita, dalla possibile violazione della loro riservatezza e dal possibile venir meno della loro integrità. Sulla base di questi possibili rischi, un sistema informativo è considerato sicuro quando è in grado di proteggere le informazioni garantendone riservatezza, integrità e disponibilità. Il processo di gestione dei rischi relativo alla sicurezza delle informazioni è il fulcro della ISO 27001

La norma UNI EN ISO 27001 è una norma a carattere volontario contenente le linee guida per l’applicazione di sistemi di gestione per la sicurezza delle informazioni (SGSI). Le caratteristiche di questa norma (così come tutte le norme della famiglia ISO) sono la sua riconoscibilità a livello internazionale e la sua applicabilità a tutte le organizzazioni di qualsiasi dimensione e di qualsiasi settore.

Le caratteristiche della sicurezza informatica sono essenzialmente tre: Riservatezza, integrità e disponibilità delle informazioni.

• – Riservatezza informatica al fine di mitigare i rischi connessi all’accesso o all’uso non autorizzato delle informazioni.

• – Integrità dei dati, garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori, di azioni volontarie o di malfunzionamento dei sistemi tecnologici.

• – Disponibilità delle informazioni, ossia salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati.

Grazie all’applicazione della norma le aziende e le organizzazioni possono creare una infrastruttura in grado di garantire la sicurezza delle informazioni.

Applicando un Sistema di Gestione della Sicurezza Informatica (SGSI) secondo la norma ISO 27001 le aziende adotteranno un modello di gestione per processi secondo il principio PDCA (Plan – Do – Check – Action). Tale modello oltre a consentire una gestione efficiente ed efficace del SGSI garantisce il costante aggiornamento delle tecnologie impiagate, agli standard di sicurezza che per loro natura sono sempre in evoluzione.