Sicurezza delle informazioni certificata: il percorso che ci ha portati a ISO/IEC 27001, 27017 e 27018

Dare i propri dati in mano a qualcuno è un atto di fiducia. O dovrebbe esserlo.

Ogni volta che un'organizzazione affida a un fornitore esterno un progetto digitale, gli sta consegnando qualcosa di più: i dati dei suoi utenti, dei suoi cittadini, dei suoi collaboratori. Dati che non appartengono a lei, e che lei ha la responsabilità di proteggere anche quando li gestisce qualcun altro per suo conto.

Non è un tema che riguarda solo le grandi aziende o le pubbliche amministrazioni strutturate. Riguarda chiunque scelga un fornitore di servizi digitali e debba rispondere, davanti ai propri utenti o davanti a un'ispezione del Garante Privacy, di come quella scelta è stata fatta e su quali basi.

Il percorso

Abbiamo ottenuto la certificazione ISO/IEC 27001:2022 con le estensioni ISO/IEC 27017:2015 e ISO/IEC 27018:2025, rilasciata da ICIM SpA. È stato un processo di revisione interna che ha richiesto tempo, scelte concrete e la volontà di guardare con onestà a quello che già funzionava e a quello che andava migliorato. Abbiamo formalizzato ruoli e responsabilità sulla sicurezza, rivisto la gestione degli accessi privilegiati, documentato le procedure operative per la risposta agli incidenti, definito i piani di continuità operativa. In alcune aree abbiamo trovato margini di miglioramento che non avevamo ancora affrontato con la sistematicità necessaria. Li abbiamo affrontati.

Il risultato è un sistema di gestione della sicurezza delle informazioni (SGSI) che copre l'intera organizzazione, verificato senza non conformità, e che sarà sottoposto a verifiche periodiche ogni anno.

Cosa certificano queste norme

La ISO/IEC 27001:2022 è lo standard internazionale di riferimento per i sistemi di gestione della sicurezza delle informazioni. Certifica che un'organizzazione ha implementato processi strutturati, documentati e verificabili per proteggere riservatezza, integrità e disponibilità dei dati su tutti i processi aziendali, non solo su alcuni. È la norma che aziende e pubbliche amministrazioni in tutto il mondo utilizzano come criterio per valutare l'affidabilità di un fornitore digitale in materia di sicurezza.

La ISO/IEC 27017:2015 aggiunge controlli specifici per chi eroga servizi cloud. Riguarda in particolare la gestione degli accessi privilegiati all'infrastruttura e la corretta applicazione del modello di responsabilità condivisa con i provider, definendo con precisione cosa compete al fornitore di servizi e cosa resta in capo al cliente.

La ISO/IEC 27018:2025 riguarda la protezione dei dati personali identificabili trattati nel cloud quando il fornitore agisce da responsabile del trattamento. Stabilisce requisiti precisi su conservazione, cancellazione, notifica delle violazioni e vieta di utilizzare i dati dei clienti per finalità proprie del fornitore. La versione 2025, alla quale abbiamo allineato i controlli nel corso del percorso di certificazione, introduce requisiti più stringenti sulla gestione dei sub-processori e sulla trasparenza verso gli interessati.

Per la pubblica amministrazione

Per gli enti pubblici la questione è sempre più concreta. Le linee guida ACN e i requisiti AgID stanno rendendo la capacità di documentare le misure tecniche e organizzative adottate dai fornitori parte integrante della valutazione in fase di gara. Il GDPR, il Codice dell'Amministrazione Digitale e le misure minime di sicurezza ICT per la PA chiedono alle amministrazioni di scegliere fornitori in grado di garantire standard verificabili, non solo dichiarati.

Una certificazione ISO/IEC 27001 con le estensioni cloud è la risposta documentata e verificabile da organismo terzo accreditato alla domanda su come vengono trattati i dati dei cittadini, chi ne è responsabile, cosa succede in caso di incidente e come il fornitore dimostra nel tempo di mantenere gli standard dichiarati. Per un ente che deve motivare le proprie scelte di approvvigionamento, è un elemento che riduce il rischio contrattuale e semplifica la posizione in sede di audit.

Offline Agency lavora con enti pubblici su tutto il territorio nazionale e questa certificazione si inserisce in un percorso orientato a rispondere con precisione ai requisiti normativi della pubblica amministrazione digitale italiana.

Per le aziende private

Scegliere un responsabile del trattamento certificato ISO/IEC 27001 significa poter dimostrare, in caso di ispezione del Garante o di audit di terze parti, che le misure tecniche e organizzative adottate non si basano su autodichiarazioni, ma su un sistema verificato da un organismo accreditato. Significa anche scegliere un fornitore che ha procedure documentate per gestire le situazioni critiche: dalla violazione dei dati alla continuità del servizio, dalla gestione degli accessi alla cancellazione sicura dei dati al termine del rapporto.

Per le aziende che trattano dati personali di clienti o dipendenti su piattaforme digitali gestite da fornitori esterni, la certificazione del responsabile del trattamento è oggi uno degli elementi più concreti di una strategia di compliance GDPR solida.

Un tassello, non un punto di arrivo

Questa certificazione si inserisce in un percorso più ampio. Qualche tempo fa avevamo raccontato cosa ha significato per noi ottenere la ISO 9001: un lavoro sulla qualità dei processi, sulla tracciabilità del lavoro e sulla riduzione della dipendenza dal singolo. La ISO/IEC 27001 aggiunge un livello dedicato specificamente alla sicurezza delle informazioni e alla protezione dei dati. Sono due facce dello stesso impegno: costruire un'organizzazione che lavora in modo strutturato, misurabile e migliorabile nel tempo.

Non lo diciamo per fare annunci. Lo diciamo perché chi sceglie un partner digitale ha il diritto di sapere su cosa si basa quella scelta, e noi preferiamo che si basi su fatti verificabili.