Il drammatico aumento degli attacchi informatici alle imprese, indipendentemente dalle dimensioni, ha spinto il panorama della sicurezza e della privacy a diventare sempre più regolamentato. Le informazioni di base e la privacy dei dati sono al centro delle stringenti normative di sicurezza.
Lo testimoniano le leggi sulla privacy introdotte negli ultimi anni, come il GDPR, il DPA (Data Protection Act) del Regno Unito 2018 e il CCPA (California Consumer Privacy Act). Non da meno, le ammende che ricevono le organizzazioni non conformi a questi requisiti legali e che subiscono un data breach.
Nell’agosto 2019, l’International Organization for Standardization (ISO) e la International Electrotechnical Commission (IEC) hanno pubblicato un nuovo standard di privacy per aiutare le organizzazioni che raccolgono ed elaborano informazioni personali o personally identifiable information (PII) a rispettare le leggi internazionali sulla privacy, come il regolamento generale sulla protezione dei dati (GDPR).
ISO/IEC 27701:2019 funge da estensione della privacy allo standard di gestione riconosciuto a livello internazionale per la sicurezza delle informazioni, ISO/IEC 27001, che già gode di tassi di adozione globali significativi.
Due standard che supportano la conformità al GDPR
ISO 27701 fornisce un framework che stabilisce le disposizioni per implementare, mantenere e migliorare costantemente un sistema di gestione delle informazioni sulla privacy (o privacy information management system, PIMS), ampliando i requisiti e gli orientamenti forniti dallo standard ISO 27001.
Infatti, ISO 27001 è progettato per aiutare le organizzazioni a gestire i sistemi di sicurezza delle informazioni (information security management systems, ISMS) in linea con le migliori pratiche internazionali, ottimizzando al contempo i costi. Le specifiche riguardano modalità di lavoro, politiche, procedure e altri controlli che coinvolgono persone, processi e tecnologie per aiutare le organizzazioni a proteggere e gestire i loro dati.
In combinazione con ISO 27001, ISO 27701 può supportare le organizzazioni nella dimostrazione della conformità delle disposizioni di gestione alle leggi sulla privacy garantendo così riduzione dei rischi e protezione dei dati personali. Un vantaggio fondamentale quando un’autorità di vigilanza cerca prove di solide pratiche sulla privacy dei dati in seguito ad una violazione.
Mentre il GDPR non menziona specificamente l’adozione di ISO 27001 (o ISO 27701) come un percorso per sostenere la conformità, molte organizzazioni riconoscono già ISO 27001 come punto di riferimento globale per la gestione della sicurezza delle informazioni. Secondo l’indagine “ISO 2018”, ci sono circa 32.000 organizzazioni con un certificato ISMS conforme allo standard ISO/IEC 27001 in tutto il mondo e il numero è in aumento.
ISO 27001: i benefici che derivano dalla Information Security
Se un’organizzazione ha implementato ISO 27001, può utilizzare ISO 27701 per estendere i propri sforzi in materia di sicurezza e coprire i requisiti di privacy. Le organizzazioni che non hanno implementato un ISMS possono implementare ISO 27001 e ISO 27701 insieme come un unico progetto di implementazione, ma ISO 27701 non può essere implementato come standard autonomo. Questo perchè un ISMS conforme a ISO 27001 è il kernel su cui le aggiunte ISO 27701 supportano la privacy.
La certificazione a standard come ISO 27001 offre una vasta gamma di vantaggi al di là della semplice certificazione. Secondo il “Global Report 2018 ISO 27001″, l’81% delle organizzazioni che implementa un ISMS soddisfa le crescenti richieste dei clienti di una maggiore sicurezza dei dati; il 62% ha riferito una migliore consapevolezza del personale sulla sicurezza delle informazioni come uno dei principali vantaggi dell’implementazione di un ISMS.
ISO 27701: la data privacy è assicurata
Un PIMS conforme all’ISO 27701 è utile a qualsiasi organizzazione con obblighi di protezione dei dati, ma di particolare interesse per le organizzazioni che operano a livello internazionale, collaborano con clienti di altre giurisdizioni o operano in catene di approvvigionamento internazionali. Queste organizzazioni sono spesso tenute a rispettare una varietà di norme e leggi sulla privacy, e questo nuovo standard può rendere la sfida più accessibile.
Implementando un PIMS come estensione di un ISMS conforme allo standard ISO 27001 esistente, un’organizzazione può raccogliere ed elaborare i dati, inclusi i dati personali, in modo sistematico, gestire i rischi legati alla riservatezza, all’integrità e alla disponibilità delle informazioni e rispondere all’evoluzione delle minacce e dei rischi per tali dati e la privacy.
Un sistema di gestione delle informazioni sulla privacy consente inoltre alle organizzazioni di ridurre i costi associati alla privacy e alla sicurezza delle informazioni adattandosi costantemente ai cambiamenti sia nell’ambiente che all’interno dell’organizzazione, aumentando la resilienza agli attacchi informatici.