Vai al contenuto
ISO 27001

ISO 27001: cos’è, a cosa serve e perché è importante

·
12 minuti di lettura
HR da una parte, IT dall’altra?
Gestisci dispositivi, licenze e sicurezza da un unico posto. Sincronizzato con le assunzioni e le uscite del tuo team. Scopri Factorial IT
Scritto da

La sicurezza delle informazioni non è più una questione che riguarda solo il reparto IT. Gli attacchi ransomware, le fughe di dati e gli incidenti lungo la catena di approvvigionamento colpiscono aziende di qualunque dimensione, e il costo medio di ogni incidente continua a crescere anno dopo anno. In parallelo, il quadro normativo è diventato sensibilmente più stringente. Con l’entrata in vigore del D.Lgs. 138/2024 che recepisce la direttiva NIS2, il rafforzamento del ruolo dell’ACN (Agenzia per la Cybersicurezza Nazionale) e la crescente pressione di clienti e partner a lavorare solo con fornitori certificati, sempre più aziende italiane valutano di ottenere la certificazione ISO 27001.

In questo articolo ti spieghiamo cos’è esattamente questa norma, a cosa serve, com’è strutturata e perché è diventata lo standard di riferimento per gestire la sicurezza delle informazioni in qualunque organizzazione, indipendentemente da dimensione o settore.

Cos'è la norma ISO 27001?

La ISO 27001, formalmente ISO/IEC 27001, è la norma internazionale che stabilisce i requisiti per implementare, mantenere e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) all’interno di un’azienda. In altre parole, definisce come organizzare tutto ciò che la tua azienda fa per proteggere le proprie informazioni: da chi può accedere a quali documenti, a come si gestiscono le password, fino a cosa succede se un dipendente smarrisce il portatile aziendale. La doppia sigla deriva dal fatto che la norma è sviluppata congiuntamente dall’Organizzazione Internazionale per la Standardizzazione (ISO) e dalla Commissione Elettrotecnica Internazionale (IEC).

Nella pratica, l’obiettivo è proteggere i tre pilastri dell’informazione da minacce interne ed esterne:

  • Riservatezza: ai dati accedono solo le persone autorizzate.
  • Integrità: le informazioni non vengono alterate o cancellate senza permesso.
  • Disponibilità: sono accessibili nel momento in cui servono.

Per arrivarci, la norma non si limita a raccomandare misure tecniche come antivirus o backup. Propone un quadro di gestione completo che abbraccia policy, processi, persone e tecnologia, in modo che la sicurezza smetta di dipendere dallo sforzo puntuale di una singola persona e venga integrata nella quotidianità aziendale.

Sebbene sia volontaria, in settori come quello tecnologico, finanziario o sanitario — e in particolare quando si lavora con la Pubblica Amministrazione — disporre della certificazione è ormai un requisito di fatto irrinunciabile.

Origine ed evoluzione della ISO 27001

La ISO 27001 non è nata dal nulla. Le sue radici affondano nella BS 7799, una norma britannica pubblicata dal BSI nel 1995 che raccoglieva le buone pratiche in materia di sicurezza delle informazioni. Nel 2005 l’ISO ha adottato quella base e ha pubblicato la prima versione ufficiale della norma. Da allora ha attraversato due aggiornamenti importanti:

  • ISO 27001:2005: prima versione internazionale.
  • ISO 27001:2013: riorganizzazione completa della struttura e dei controlli.
  • ISO 27001:2022: versione attualmente in vigore, adattata ai nuovi rischi digitali come cloud, smart working, catena di approvvigionamento o intelligenza artificiale.

Ogni revisione riflette l’evoluzione del panorama della cybersecurity. La versione 2022, ad esempio, introduce controlli specifici per gli ambienti cloud, il monitoraggio continuo e la gestione delle minacce lungo la catena di approvvigionamento: scenari che nel 2013 erano ancora ai loro albori.

Le principali differenze tra la 27001:2013 e la 27001:2022

La versione 2022 mantiene la struttura generale della norma, ma rivede in profondità l’Allegato A, ovvero l’elenco ufficiale delle misure di sicurezza concrete che la norma propone per proteggere le informazioni. Ognuna di queste misure si chiama “controllo” (per esempio, richiedere password robuste o cifrare i dischi rigidi dei portatili). Questi sono i cambiamenti più rilevanti:

  • Il numero totale di controlli si riduce: da 114 si passa a 93, ma il livello di rigore non cala. Molti sono stati fusi o riscritti e ne sono stati aggiunti 11 nuovi per coprire minacce che prima non esistevano.
  • Cambia il modo di raggrupparli: i 14 gruppi tematici precedenti (i cosiddetti “domini”) vengono riorganizzati in 4 categorie più chiare: controlli organizzativi (policy, procedure, ruoli), relativi alle persone (formazione, responsabilità, gestione dei collaboratori), fisici (accesso agli uffici, protezione degli apparati) e tecnologici (cifratura, backup, gestione degli accessi).
  • Compaiono controlli moderni: threat intelligence (raccolta e analisi di informazioni su attacchi in corso), sicurezza del cloud, prevenzione delle fughe di dati o sviluppo sicuro del software sono tra i più significativi.
  • Ogni controllo è etichettato con attributi: è un sistema nuovo che permette di filtrare i controlli in base al tipo di misura (preventivi, di rilevamento o correttivi), all’ambito di applicazione o alla proprietà che proteggono (riservatezza, integrità o disponibilità). Nella pratica, aiuta a capire quali controlli applicare in ogni situazione.

Il periodo di transizione dalla versione 2013 si è concluso il 31 ottobre 2025. Da quella data i certificati emessi sotto la versione precedente non sono più validi e tutte le aziende certificate devono essere allineate alla 27001:2022.

A cosa serve la ISO 27001?

Le aziende che si certificano lo fanno per un mix di pressione esterna e opportunità interna. Queste sono le motivazioni più ricorrenti:

  • Accesso a clienti e gare d’appalto: sempre più grandi aziende e Pubbliche Amministrazioni richiedono la ISO 27001 come prerequisito per contrattualizzare, soprattutto nei settori finanziario, sanitario e tecnologico. Senza certificato, si resta fuori dal processo commerciale ancora prima del primo incontro.
  • Differenziazione dai concorrenti: in categorie in cui praticamente tutti dichiarano di “prendere sul serio la sicurezza”, il certificato trasforma una promessa in un fatto verificato da un ente esterno.
  • Conformità a normative che vi si appoggiano: NIS2, GDPR e le linee guida AgID condividono una parte importante dei requisiti della 27001. Avere la norma già implementata accorcia la strada verso le altre, invece di duplicare il lavoro.
  • Espansione sui mercati internazionali: in Regno Unito, Germania, Paesi Bassi o presso i grandi clienti corporate statunitensi, la certificazione viene data per scontata quando si valutano i fornitori. Non averla chiude porte che nemmeno vengono menzionate nella conversazione.
  • Analisi del rischio reale: il percorso obbliga a inventariare gli asset, valutare le minacce e dare priorità ai controlli. Molte aziende scoprono vulnerabilità importanti che non avevano mai quantificato, semplicemente perché fino a quel momento nessuno aveva il compito di esaminarle.
  • Risposta agli incidenti documentata: quando qualcosa va storto, le procedure sono scritte, i responsabili individuati e i tempi definiti. Questo riduce l’impatto economico e operativo di ogni incidente e, inoltre, semplifica la trattativa con le assicurazioni cyber, che premiano le aziende certificate con premi e coperture migliori.

A quali aziende si applica la ISO 27001?

La ISO 27001 è una norma volontaria pensata come standard universale. Si applica a qualunque azienda che gestisce informazioni sensibili, indipendentemente da dimensione e settore. Anche se nessuna legge obbliga a certificarsi, ci sono contesti in cui è passata dall’essere una buona pratica a diventare un requisito di fatto.

Qualunque dimensione e qualunque settore

La norma non impone una dimensione minima dell’azienda né esclude alcun settore. Tanto una startup di cinque persone quanto una multinazionale possono certificarsi, perché ogni organizzazione definisce il perimetro del proprio SGSI in funzione della propria dimensione, dei propri rischi e delle proprie risorse. Una PMI non implementa gli stessi controlli, né con lo stesso livello di dettaglio, di un’azienda con migliaia di dipendenti, ma entrambe possono essere conformi alla norma.

Questo spiega perché la certificazione si sia diffusa in settori molto eterogenei. Qualunque azienda che dipende dalle proprie informazioni — dati dei clienti, proprietà intellettuale, codice sorgente, contratti, cartelle cliniche — ha buone ragioni per implementarla. E dato che oggi praticamente tutte le aziende dipendono dalle informazioni digitali, il bacino potenziale è enorme.

I settori in cui è praticamente obbligatoria

Ci sono settori in cui operare senza la certificazione è sempre più difficile:

  • Tecnologico: aziende SaaS, hosting provider, fornitori di servizi di cybersecurity, MSP o software house si trovano di fronte clienti che esigono la ISO 27001 prima di firmare.
  • Finanza e assicurazioni: banche, fintech e compagnie assicurative gestiscono dati critici e operano sotto la vigilanza di organismi come Banca d’Italia, CONSOB o IVASS.
  • Sanità: ospedali, cliniche, laboratori e piattaforme di sanità digitale lavorano con cartelle cliniche soggette al GDPR e a normative di settore specifiche.
  • Pubblica Amministrazione e suoi fornitori: le linee guida AgID e le misure minime di sicurezza ICT per la PA richiedono presidi in molti casi equivalenti a quelli coperti dalla 27001, e la certificazione viene valorizzata (o direttamente richiesta) negli appalti pubblici.
  • Infrastrutture critiche e telecomunicazioni: aziende del settore energetico, dei trasporti, idrico o delle telecomunicazioni rientrano nel perimetro della NIS2 e devono dimostrare un alto livello di maturità in materia di sicurezza.

Oltre a questi settori, è altrettanto frequente che aziende che lavorano con grandi clienti internazionali considerino la certificazione un requisito commerciale. Qualunque attività con clienti negli Stati Uniti, in Germania o nel Regno Unito prima o poi si sente porre la domanda: “Siete certificati ISO 27001?”.

I vantaggi dell'implementazione della ISO 27001

Implementare la ISO 27001 genera vantaggi che vanno ben oltre l’avere un certificato appeso al muro. Alcuni sono immediati, come l’accesso a determinati processi commerciali. Altri si percepiscono nel medio periodo, sotto forma di meno incidenti, meno audit paralleli e un’organizzazione più matura nel modo di gestire le informazioni.

  • Rafforza la fiducia di clienti, partner e dipendenti: il certificato funziona da garanzia oggettiva su come l’azienda gestisce le informazioni sensibili, senza bisogno di spiegare nel dettaglio ogni singolo controllo.
  • Apre le porte ad appalti pubblici, grandi clienti e mercati internazionali: sempre più aziende e amministrazioni esigono la ISO 27001 come requisito di qualifica, soprattutto nei settori regolamentati e quando si trattano clienti negli Stati Uniti, in Germania o nel Regno Unito.
  • Riduce la probabilità e l’impatto degli incidenti di sicurezza: i controlli preventivi fermano attacchi che in altre circostanze andrebbero a segno, e i piani di risposta e continuità accorciano i tempi di recupero quando qualcosa va storto.
  • Accelera la conformità a NIS2, AgID e GDPR: la 27001 copre buona parte dei requisiti di queste normative, quindi i team legal e di sicurezza riutilizzano policy, evidenze e controlli invece di duplicarli.
  • Crea una cultura della sicurezza trasversale in azienda: la formazione obbligatoria del personale e l’attribuzione chiara delle responsabilità fanno sì che la sicurezza smetta di essere “una questione del reparto IT” e diventi parte della quotidianità di tutti i dipartimenti.
  • Facilita l’integrazione con altri sistemi di gestione: la 27001 condivide la stessa struttura di altre norme ISO molto diffuse come la 9001 (qualità) o la 22301 (continuità operativa), il che aiuta a unificare policy, audit e documentazione se l’azienda ha già altre certificazioni.
  • Può ridurre i premi delle polizze cyber: sempre più compagnie assicurative tengono conto della certificazione nel calcolo dei premi o delle condizioni di copertura, perché indica un alto livello di maturità nella gestione del rischio.

La struttura della norma ISO 27001

La ISO 27001 si articola attorno a un corpo normativo di undici clausole (dalla 0 alla 10) e a un Allegato A con 93 controlli di sicurezza concreti che l’azienda può applicare. Le prime quattro sono introduttive e l’audit si concentra sulle sette successive (dalla 4 alla 10), in cui si raccolgono i requisiti obbligatori dell’SGSI:

  • 0: Introduzione. Presenta l’obiettivo della norma, il suo approccio basato sul rischio e la sua compatibilità con altri sistemi di gestione.
  • 1: Scopo e campo di applicazione. Spiega a cosa serve la norma e a quale tipo di organizzazioni si rivolge.
  • 2: Riferimenti normativi. Elenca i documenti da consultare insieme alla 27001, principalmente la ISO/IEC 27000.
  • 3: Termini e definizioni. Glossario ufficiale dei concetti che compaiono nella norma.
  • 4: Contesto dell’organizzazione. Impone di capire cosa fa l’azienda, chi sono i suoi stakeholder (clienti, dipendenti, fornitori, autorità di vigilanza) e quali informazioni protegge. Qui si definisce il perimetro dell’SGSI.
  • 5: Leadership. La direzione deve impegnarsi sulla sicurezza, assegnare i ruoli e approvare la politica di sicurezza. Senza questo impegno, la 27001 non funziona.
  • 6: Pianificazione. È la fase in cui si fa l’analisi del rischio, si definiscono gli obiettivi di sicurezza e si pianificano i cambiamenti.
  • 7: Supporto. Copre le risorse (persone, budget, infrastrutture), la formazione, la comunicazione e la documentazione dell’SGSI.
  • 8: Attività operative. È la quotidianità. Applicare i controlli definiti, gestire i rischi individuati e trattare gli incidenti che si presentano.
  • 9: Valutazione delle performance. Audit interni, indicatori e riesame della direzione. Serve a verificare che l’SGSI funzioni come previsto.
  • 10: Miglioramento. Gestire le non conformità, applicare azioni correttive e attuare un miglioramento continuo.

Le sette clausole obbligatorie seguono la logica del ciclo PDCA (Plan, Do, Check, Act), che è la base di tutte le norme di gestione moderne ed è ciò che permette all’SGSI di evolvere insieme all’azienda. I 93 controlli dell’Allegato A, che vedremo in dettaglio nella prossima sezione, sono quelli che l’azienda sceglie di applicare in funzione dei rischi individuati durante la clausola 6.

L'Allegato A della ISO 27001

L’Allegato A della ISO 27001 è la sezione della norma che raccoglie l’elenco ufficiale dei controlli di sicurezza che un’azienda può applicare per proteggere le proprie informazioni. Nella versione 2022 sono 93 controlli, raggruppati in quattro grandi categorie in base al tipo di misura che coprono. Non è necessario implementarli tutti: ogni azienda seleziona quelli che corrispondono ai rischi individuati durante la pianificazione dell’SGSI e motiva le esclusioni in un documento chiamato Dichiarazione di Applicabilità (DoA, o SoA in inglese).

  • Controlli organizzativi (37 controlli): è il gruppo più ampio. Copre tutto ciò che riguarda policy, processi, ruoli e relazioni con i terzi. Vi rientrano la politica generale di sicurezza, la classificazione delle informazioni, la gestione dei fornitori, la risposta agli incidenti, la threat intelligence o la continuità operativa.
  • Controlli relativi alle persone (8 controlli): si occupano del fattore umano, ovvero di come si selezionano, formano e gestiscono i collaboratori con accesso a informazioni sensibili. Comprendono le verifiche pre-assunzione, le clausole di riservatezza, la formazione sulla sicurezza, le responsabilità al termine del rapporto di lavoro o le azioni disciplinari in caso di inadempienza.
  • Controlli fisici (14 controlli): proteggono gli asset materiali e l’ambiente in cui vengono trattate le informazioni. Coprono il controllo degli accessi a uffici e data center, le misure contro furti o eventi naturali avversi, la sicurezza del cablaggio, la manutenzione delle apparecchiature o la gestione dei supporti rimovibili.
  • Controlli tecnologici (34 controlli): sono i controlli tecnici applicati a sistemi, reti e dispositivi. Qui troviamo la gestione degli accessi, la cifratura, l’autenticazione, i backup, la prevenzione delle fughe di dati (DLP), il filtraggio web, il monitoraggio dell’attività o lo sviluppo sicuro del software.

Come implementare la ISO 27001 passo dopo passo

Implementare un SGSI conforme alla ISO 27001 richiede tra i sei mesi e i due anni, a seconda della dimensione dell’azienda, del perimetro definito e della maturità in materia di sicurezza già raggiunta. L’intero percorso si può suddividere in sei step.

1. Commitment della direzione e definizione del perimetro

Senza il sostegno esplicito della direzione, non c’è SGSI che regga. L’alta direzione deve approvare il progetto, stanziare un budget e nominare un referente interno (di norma un CISO, un responsabile della sicurezza o un coordinatore dell’SGSI).

Allo stesso tempo, bisogna delimitare il perimetro. Ovvero, su quali parti dell’azienda si applicherà la norma. Alcune opzioni ricorrenti:

  • L’intera organizzazione.
  • Una specifica business unit.
  • Un prodotto o un servizio (per esempio, solo la piattaforma SaaS dell’azienda).
  • Una sede o una filiale specifica.

Più ampio è il perimetro, più impegnativa diventa l’implementazione e più alto il costo dell’audit.

2. Inventariare e classificare gli asset informativi

Prima di proteggere qualcosa, bisogna sapere cosa si sta proteggendo. In questa fase si redige un inventario dettagliato di tutti gli asset informativi dell’azienda e si assegna a ciascuno un livello di criticità. Gli asset possono essere:

  • Dati: database clienti, proprietà intellettuale, contratti, codice sorgente.
  • Software: applicazioni, sistemi operativi, strumenti SaaS.
  • Hardware: server, portatili, mobile, apparati di rete.
  • Servizi: cloud, hosting, connettività.
  • Persone: dipendenti con accessi privilegiati, system administrator.

Ogni asset viene normalmente classificato in tre o quattro livelli (pubblico, interno, riservato, ristretto) in base all’impatto che avrebbe la sua perdita o divulgazione.

3. Analizzare e valutare i rischi

È probabilmente lo step più tecnico. Per ogni asset individuato, occorre studiare a quali minacce è esposto (un attacco, un errore umano, un guasto), quali vulnerabilità possono essere sfruttate e quale impatto avrebbe un incidente sull’azienda. La combinazione di probabilità e impatto restituisce il livello di rischio.

A partire da questo livello, l’azienda decide come trattare ogni rischio. Le opzioni sono quattro: mitigarlo applicando controlli, trasferirlo (per esempio, sottoscrivendo una polizza cyber), accettarlo se rientra nella soglia di tolleranza o evitarlo eliminando l’attività che lo genera. La decisione viene documentata nel piano di trattamento dei rischi.

4. Selezionare e implementare i controlli

Con il piano di trattamento sul tavolo, è il momento di scegliere i controlli dell’Allegato A da applicare. Ogni controllo selezionato deve essere giustificato e collegato a uno o più rischi individuati nello step precedente. Anche le esclusioni.

Il risultato si concretizza nella Dichiarazione di Applicabilità (DoA), un documento che, per ciascuno dei 93 controlli, indica se viene applicato, come è stato implementato e, in caso di esclusione, perché. È uno dei documenti più analizzati durante l’audit esterno.

Una volta approvata la DoA, la teoria si traduce in pratica. Si redigono le policy di sicurezza, si configurano i controlli tecnici (cifratura dei dischi, MFA, gestione degli accessi, monitoraggio), si firmano accordi di riservatezza con dipendenti e fornitori e si avviano i processi operativi dell’SGSI.

5. Formare e sensibilizzare il personale

La maggior parte delle violazioni di sicurezza parte da un clic, ecco perché la formazione non è opzionale ma un tassello obbligatorio dell’SGSI. Ogni dipendente deve capire quali informazioni gestisce, come proteggerle e a chi rivolgersi se nota qualcosa di anomalo. Le sessioni includono di solito buone pratiche sulle password, riconoscimento del phishing, uso responsabile dei dispositivi aziendali e procedura di risposta agli incidenti.

6. Auditarsi internamente e ottenere la certificazione

Prima di presentarsi alla certificazione, l’azienda deve auditarsi al proprio interno. L’audit interno viene svolto da personale qualificato (interno o esterno, ma indipendente dall’SGSI) e verifica che:

  • La documentazione sia completa e aggiornata.
  • I controlli funzionino così come sono descritti.
  • Le evidenze siano tracciabili e verificabili.
  • Le non conformità rilevate siano state gestite.

A seguire, la direzione esamina lo stato complessivo dell’SGSI, valuta gli indicatori e approva le azioni di miglioramento.

Poi arriva l’audit esterno, condotto da un ente di certificazione accreditato indipendente (in Italia, accreditato da ACCREDIA: i più diffusi sono Bureau Veritas, DNV, RINA, TÜV Italia, SGS Italia o LRQA, tra gli altri). Si articola in due fasi. Nella fase 1, l’auditor esamina la documentazione dell’SGSI, verifica che il perimetro sia ben definito e prepara l’audit sul campo. Nella fase 2, valuta l’implementazione effettiva dei controlli attraverso interviste, esame delle evidenze e test sui sistemi.

Se tutto è in ordine, viene emesso il certificato, che ha una validità di tre anni. Durante questo periodo si svolgono audit di sorveglianza annuali e, allo scadere dei tre anni, un audit di rinnovo completo.

Gli errori più frequenti nell'implementazione della ISO 27001

La maggior parte delle implementazioni che si arenano lo fa per errori di impostazione. Questi sono i sei errori che si ripresentano più spesso.

  • Trattare la norma come un progetto una tantum: la ISO 27001 non si supera come un esame, si mantiene. Le aziende che rallentano dopo essersi certificate arrivano all’audit successivo con metà dell’SGSI disallineato.
  • Definire un perimetro troppo ristretto: ridurre il perimetro al reparto più preparato abbassa il costo dell’audit, ma il certificato riflette solo quella parte. Qualunque cliente attento se ne accorge alla prima lettura.
  • Documentare per l’auditor invece che per l’operatività: una policy che nessuno usa nel quotidiano serve solo a superare l’audit. Quando arriverà il prossimo incidente, quella policy non aiuterà nessuno.
  • Sottovalutare la gestione della flotta di dispositivi: senza un inventario aggiornato e controlli uniformi su portatili e mobile, diversi controlli dell’Allegato A cadono insieme durante l’audit. Un endpoint non gestito è una delle vie d’accesso più semplici per un attaccante.
  • Esternalizzare tutto a una società di consulenza: una società di consulenza affianca, non sostituisce il team interno. Se il know-how resta fuori, alla prima uscita del fornitore l’azienda si trova al buio.
  • Considerare la formazione una formalità: un corso di 30 minuti l’anno non sensibilizza nessuno. Servono percorsi formativi per profilo, refresh periodici e simulazioni reali (phishing, risposta agli incidenti).

Come Factorial IT ti aiuta a ottenere la ISO 27001

Factorial IT copre da un’unica piattaforma i fronti tecnici più analizzati durante un audit ISO 27001 (identità, dispositivi, accessi SaaS, antivirus e dipendenti), in modo che le evidenze richieste dall’auditor si generino da sole con l’operatività quotidiana, senza dover ricostruire nulla nel giorno dell’audit. Questi sono i sei blocchi che automatizza:

piattaforma factorial it

  • Inventario degli asset IT: catalogo automatico di dispositivi, software e accessi aziendali, sempre aggiornato ed esportabile per l’audit.
  • Controllo degli accessi: gestione centralizzata degli accessi agli strumenti SaaS, con permessi assegnati e revocati in automatico in base al ruolo del dipendente.
  • Sicurezza dei dispositivi: cifratura, password e blocco applicati automaticamente su ogni device. Compatibile con Mac, iOS, Windows e Linux.
  • Offboarding sicuro: quando si registra una cessazione nell’HRIS, tutti gli accessi del dipendente vengono chiusi senza intervento manuale e senza account residui.
  • Protezione contro il malware: antivirus avanzato distribuito su ogni dispositivo, con rilevamento di malware, ransomware e minacce zero-day.
  • Evidenze per l’audit: registri e report di compliance generati automaticamente, pronti da esportare e presentare all’auditor in qualunque momento.