Riassunto analitico
Con l’evoluzione della trasformazione digitale l’interconnessione tra persone e dispositivi ha portato alla produzione, alla trasmissione e alla conservazione di una quantità sempre più vasta di dati. Per le aziende di ogni settore, queste informazioni costituiscono un asset strategico di primaria importanza, in grado di favorire l'innovazione e migliorare la competitività. Tuttavia, la gestione di grandi volumi di dati impone la necessità di adottare misure adeguate per proteggerli da minacce come, ad esempio, attacchi informatici, perdite involontarie di dati, sottrazioni illecite o errori umani.
Secondo il Rapporto Clusit 2024 nei primi sei mesi del 2024, si è registrato un incremento del 23% degli attacchi informatici a livello globale rispetto al semestre precedente, con una media di 9 attacchi gravi al giorno; l’Italia è stato bersaglio del 7,6% di questi incidenti.
Queste violazioni di dati possono andare a compromettere la riservatezza, l’integrità e la disponibilità delle informazioni causando non solo perdite economiche, ma anche danni alla reputazione aziendale e alla fiducia dei clienti.
Dal punto di vista normativo, il rafforzamento della sicurezza delle informazioni ha portato all’introduzione di diverse regolamentazioni internazionali, tra cui il General Data Protection Regulation (GDPR) e la Network and Information Systems Directive (NIS Directive), che impongono alle organizzazioni l'implementazione di misure di protezione avanzate per tutelare le informazioni sensibili.
In questo scenario, la ISO/IEC 27001 si afferma come uno degli standard più riconosciuti per la gestione della sicurezza delle informazioni; essa fornisce un framework strutturato per identificare, valutare e mitigare i rischi e consente alle aziende di adottare un approccio sistematico e continuativo alla protezione dei dati. Implementare un ISMS conforme a questa norma non solo riduce il rischio di incidenti informatici, ma favorisce anche una maggiore consapevolezza aziendale sulla sicurezza, promuovendo una cultura aziendale orientata alla protezione delle informazioni.
Questa ricerca si basa sull’esperienza maturata durante il mio tirocinio in Deloitte, che, nel settore della sicurezza delle informazioni, fornisce supporto alle aziende per l’implementazione di Sistemi di Gestione della Sicurezza delle Informazioni (ISMS) conformi alla norma ISO/IEC 27001.
Nel corso del tirocinio, ho avuto l’opportunità di partecipare a un progetto di implementazione della norma ISO 27001 e del Sistema di Gestione della Sicurezza delle Informazioni (ISMS) presso un’azienda cliente, leader nella produzione di compound e resine plastiche. Questa esperienza mi ha consentito di osservare direttamente le sfide e i benefici connessi all’adozione di un ISMS, raccogliendo dati concreti sull’impatto organizzativo della certificazione.
Questa tesi si articola quindi in diverse sezioni: inizialmente viene fornita una panoramica sulla sicurezza delle informazioni e sull’importanza degli standard internazionali. Successivamente, sono esaminati i principi e i requisiti della norma ISO/IEC 27001, seguiti da un’analisi del ruolo dell’ISMS all'interno della governance aziendale. Infine, viene presentato il caso di studio relativo all'implementazione della norma presso l’azienda cliente.
|
