18 gennaio 2024 - Generale
La certificazione ISO27001 è un distintivo d'onore che dimostra quanto la vostra organizzazione tenga alla gestione e alla protezione delle informazioni sensibili.
Lo standard delinea un quadro di riferimento per la gestione della sicurezza, compreso l'impegno per la sensibilizzazione e la formazione dei dipendenti.
Ma capire esattamente cosa ci si aspetta dalla vostra organizzazione può essere difficile. La direttiva ISO27001 è composta da molto testo. E anche dopo averla letta un paio di volte, è possibile che rimangano delle domande.
In questo articolo spiegheremo cosa afferma la ISO27001 su security awareness e come potete implementare la formazione ISO27001 security awareness all'interno della vostra organizzazione.
In breve: cos'è la ISO27001?
ISO27001 è uno standard per i sistemi di gestione della sicurezza delle informazioni (spesso indicato come ISMS). L'obiettivo di questo standard è fornire un approccio per la gestione e la protezione delle informazioni sensibili.
I componenti chiave della ISO27001 sono:
- Valutazione del rischio
- Sviluppo della politica
- Ruoli e responsabilità chiari
- Formazione di sensibilizzazione
Le organizzazioni che scelgono di aderire a questo standard sono spesso agenzie governative, organizzazioni sanitarie, istituzioni finanziarie e qualsiasi altra organizzazione che gestisce informazioni sensibili.
Ottenere la certificazione non è una passeggiata. Comporta un rigoroso processo di audit per verificare la conformità dell'organizzazione allo standard.
Cosa dice lo standard ISO27001 su security awareness?
Lo standard ISO27001 menziona l'importanza di security awareness in diverse clausole.
- Clausola 7.2 - Competenza: Lo standard richiede alle organizzazioni di determinare la competenza necessaria dei dipendenti coinvolti nella sicurezza delle informazioni.
- Clausola 7.3 - Consapevolezza: Le organizzazioni devono garantire che i dipendenti siano consapevoli della politica di sicurezza delle informazioni, dei relativi obiettivi e dei loro ruoli e responsabilità nel raggiungimento di tali obiettivi.
- Clausola 8.2 - Comunicazione: La ISO 27001 sottolinea l'importanza della comunicazione interna relativa al sistema di gestione della sicurezza delle informazioni, compresa la promozione della consapevolezza della sicurezza delle informazioni.
- Clausola 8.2.2 - Informazioni Security Awareness, istruzione e formazione: Le organizzazioni devono garantire che il personale sia a conoscenza della politica di sicurezza delle informazioni e sia competente nelle aree del proprio lavoro che riguardano la sicurezza delle informazioni.
Come implementare la formazione ISO27001 security awareness
La norma ISO27001 fornisce un quadro chiaro per aiutare le organizzazioni a gestire la sicurezza delle informazioni. Tuttavia, non indica esplicitamente come implementare i programmi di security awareness all'interno dell'organizzazione.
Come si fa a sapere se il proprio programma di formazione ISO27001 security awareness è all'altezza?
Per prima cosa, possiamo dare un'occhiata a ciò che esaminano gli auditor ISO27001. Durante gli audit, viene valutata la conformità dell'organizzazione ai requisiti ISO27001, compresi quelli relativi a security awareness.
I revisori cercano spesso quanto segue:
- Documentazione: Avete documentato la vostra politica di sicurezza, gli obiettivi, i ruoli e i requisiti specifici relativi alla consapevolezza e alla formazione?
- Comunicazione: Potete dimostrare che i vostri dipendenti sono a conoscenza della vostra politica di sicurezza, degli obiettivi e dei loro ruoli specifici per raggiungerli?
- Programmi di formazione: Potete dimostrare che la vostra organizzazione ha implementato programmi di formazione?
- Monitoraggio e misurazione: Potete dimostrare che state monitorando e misurando l'efficacia dei vostri programmi security awareness ?
Si può decidere di impostare un proprio programma di formazione o di utilizzare una piattaforma di formazione security awareness , come ad esempio Guardey.
Con Guardey, i vostri dipendenti affrontano sfide settimanali su cyber security che richiedono fino a tre minuti per essere completate. Le sfide coprono tutti gli argomenti più importanti, come spear phishing, frodi CEO, sicurezza delle password e altro ancora. Imparando piccole informazioni ogni settimana, i dipendenti accumulano lentamente conoscenze e security awareness picchi.
Nella sezione di reportistica, è possibile monitorare le prestazioni dei dipendenti e quali argomenti di sicurezza necessitano di maggiore attenzione. Questo rende Guardey la soluzione perfetta per la formazione security awareness conforme allo standard ISO27001.
→ Pianificate una dimostrazione con uno degli specialisti di cyber security di Guardey.
Come introdurre la formazione ISO27001 security awareness ai vostri dipendenti
Una volta scelta la soluzione formativa ISO27001 security awareness , è il momento di presentarla ai vostri dipendenti. Questo non è sempre un compito facile. Non tutti possono comprendere immediatamente l'importanza della formazione su security awareness , per cui il semplice invio del login potrebbe non essere sufficiente.
Ecco perché è necessaria un'introduzione forte. Di seguito, abbiamo aggiunto due esempi.
EyeOn ha organizzato una settimana cyber security per dare il via al processo di certificazione ISO27001. Durante questa settimana, hanno iniziato ogni giorno con un'intervista di 15 minuti, che hanno chiamato "safety catch-up". Ogni giorno aveva un tema specifico cyber security e durante le sfide (sia in Guardey che nella vita reale), i dipendenti potevano ottenere punti. Alla fine della settimana, i dipendenti che hanno ottenuto i risultati migliori sono stati premiati con un trofeo e un piccolo regalo.
Delta Wines ha innanzitutto organizzato una simulazione di phishing . Durante questa simulazione, i dipendenti hanno ricevuto un'e-mail phishing per verificare se avrebbero cliccato sul link e lasciato informazioni personali. Ed è emerso che molti dipendenti hanno fatto proprio questo. Il responsabile IT ha condiviso i risultati finali del test phishing durante una riunione trimestrale, scioccando non pochi colleghi. Questo ha reso molto più semplice l'introduzione di Guardey come soluzione di formazione per security awareness .
Come Fendix ottiene la certificazione ISO27001 delle organizzazioni con l'aiuto di Guardey
Fendix aiuta le aziende a ottenere la certificazione ISO27001. Killian Houthuijzen, consulente per la sicurezza informatica di Fendix, spiega il ruolo della soluzione security awareness di Guardey in questo processo: "Una parte importante dell'ottenimento della certificazione ISO27001 è l'investimento in security awareness dei propri dipendenti. Qualche tempo fa, stavamo cercando di creare la nostra versione di un corso di formazione security awareness per prepararci a questo obiettivo. Ma la creazione di tutti quei nuovi contenuti ci avrebbe portato via almeno 8 ore ogni singolo mese. Non è una cosa efficiente".
E prosegue: "Con Guardey, la formazione su security awareness diventa accessibile e non è necessario investire tempo nella sua creazione. Tutto quello che dovete fare è monitorare le prestazioni del vostro team, il che è facile grazie al sistema di gestione dell'apprendimento di Guardey. Ecco perché spesso consigliamo ai nostri clienti di usare semplicemente Guardey invece di fare tutto il lavoro pesante di impostare la propria formazione".
Provate la soluzione di formazione ISO27001 security awareness di Guardey
Security awareness svolge un ruolo significativo nella protezione dell'organizzazione dagli attacchi informatici e nella conformità alla norma ISO27001. Se siete alla ricerca di una soluzione di formazione da implementare in poche ore, prendete in considerazione Guardey.
Con il processo di apprendimento gamificato di Guardey, i vostri dipendenti riceveranno micro-apprendimenti di 3 minuti ogni settimana. Nel corso del tempo, impareranno a riconoscere le minacce informatiche e ad agire di conseguenza.
