Uno dei maggiori problemi nel business moderno per quanto riguarda la sicurezza delle informazioni è come giudicare se i tuoi fornitori stanno facendo la loro parte per ridurre il rischio di minacce come ransomware e furto di dati. Questa è spesso una domanda ad alta priorità quando i tuoi clienti stanno valutando se vogliono fare affari con la tua organizzazione; come fanno a sapere che stai prendendo sul serio la sicurezza delle informazioni? Un modo per dirlo è che pongano molte domande approfondite sui controlli che hai messo in atto. Forse un modo migliore è che la tua organizzazione diventi certificata secondo lo standard ISO27001 perché ciò significa che qualcuno indipendente ha esaminato in dettaglio le misure di sicurezza delle informazioni che utilizzi e le ha trovate sufficienti. Ciò consente a tutti di risparmiare un sacco di tempo e fornisce un maggiore grado di sicurezza.
Ma ottenere la certificazione secondo lo standard ISO27001 ha un costo ad esso associato, sia in termini di implementazione iniziale che in termini di continuazione. E prima di iniziare quella strada, il tuo senior management vorrà alcune cifre. Quindi in questo blog esamineremo la domanda “quanto costa la certificazione ISO27001?”.
Quali sono le componenti principali del costo?
Nel fare un calcolo per i costi totali per arrivare al punto in cui hai un certificato sul muro, ci sono un certo numero di aree principali in cui i costi sono abbastanza sicuri e molte altre aree in cui potresti dover spendere alcuni soldi a seconda di dove stai partendo.
Se hai dei dubbi non esitare a contattare dei consulenti iso 9001 per aiutarti anche per questa norma
Organismo di certificazione
La certezza principale è ovviamente il costo dell’organismo di certificazione per eseguire la valutazione. La certificazione è un processo in due fasi (denominato utilmente “Stage One” (revisione del documento) e “Stage Two” (audit di certificazione)) e ha un prezzo in base al numero di giorni di audit richiesti. La maggior parte degli organismi di certificazione ha una formula che utilizza per calcolare i giorni di audit e questo di solito dipende da fattori quali il numero di dipendenti, il numero di siti e il livello di rischio coinvolto. Quest’ultimo fattore può avere una grande influenza in quanto vorranno guardare molto più da vicino un’organizzazione che fornisce servizi mission-critical a un’industria della vita e della morte come quella medica, piuttosto che un’azienda che fornisce servizi opzionali a un settore con minore importanza . Ciò significa che dovrai fare attenzione con le tue risposte alle domande che pongono, per non dare una falsa impressione di rischio. Quello che riceverai da un tipico ente di certificazione sarà un preventivo per un determinato numero di giorni di audit, a una tariffa giornaliera specificata. Si noti che le tariffe giornaliere per l’audit ISO27001 possono essere significativamente superiori a quelle per altri standard come ISO9001, a causa della scarsità delle risorse e delle competenze tecniche richieste. Alcuni organismi di certificazione addebitano anche spese amministrative e supplementi per mezze giornate. A titolo indicativo (prezzi 2022 nel Regno Unito) potresti pagare tra GBP 1000 e GBP 1500 al giorno per un ente di certificazione accreditato UKAS per eseguire i tuoi audit, possibilmente con una commissione di gestione annuale oltre a GBP 300 a GBP 500. Come con qualsiasi cosa, potresti voler guardarti intorno per ottenere il miglior affare,
Audit interno
Un altro costo della certificazione ISO27001 è l’audit interno. Per ottenere la certificazione è necessario aver eseguito un audit interno di tutte le aree dello standard prima che l’auditor dell’organismo di certificazione arrivi per la fase due. Se disponi di un dipartimento di audit interno esistente, sarebbe logico utilizzare le sue risorse, ma tieni presente che potrebbe essere necessaria una formazione in ISO27001. L’altra opzione consiste nell’utilizzare una terza parte esterna già qualificata e ciò avrà un costo, sia prima della certificazione che come programma di audit interno in corso in seguito. Le tariffe giornaliere guida per tali servizi potrebbero essere comprese tra GBP 500 e GBP 1000 se si utilizza una società più piccola, forse molto di più se si utilizza una di quelle grandi.
.
Potresti valutare a riguardo di leggere anche la certificazione sa 8000
Formazione e qualifiche
Oltre alla formazione sulla stessa ISO27001, potrebbero essere necessari corsi o altri metodi che coprano concetti generali sulla sicurezza delle informazioni o nel software utilizzato per implementare i controlli, come Microsoft Endpoint Manager o una piattaforma anti-malware. Vale la pena considerare alcune delle qualifiche disponibili in quanto forniscono una certa attenzione alla formazione e spesso hanno requisiti di formazione professionale continua (CPE) per mantenere le competenze aggiornate. Tali qualifiche sono disponibili presso enti come ISACA, ISC2 e i principali fornitori di cloud come AWS e Microsoft. Dal punto di vista dei costi, ciò richiederà budget per esami, abbonamenti professionali e formazione continua (sebbene gran parte di questo sia gratuito). A titolo indicativo, potresti pagare tra GBP 1500 e GBP 2500 per un corso di 5 giorni per Lead Auditor ISO27001.
Aiuto con l’implementazione
Potresti decidere di fare tutto il lavoro da solo o potresti aver bisogno di un aiuto esterno per mettere in atto il tuo ISMS (sistema di gestione della sicurezza delle informazioni). Un toolkit ISO27001 fai da te come quello piuttosto eccellente di CertiKit costerà circa 700 GBP e la consulenza viene generalmente addebitata a ore oa giornata, spesso a seconda che sia remota o in loco. Il numero di ore o giorni che utilizzi dipende davvero da te e le tariffe sono generalmente simili a quelle per l’audit interno.
Potresti voler eseguire una valutazione del divario rispetto allo standard ISO27001 per identificare quanto lavoro sarà necessario per arrivare alla certificazione, e questi in genere richiedono 2 o 3 giorni per essere eseguiti. Altre aree comuni per l’aiuto sono l’ambito, la valutazione del rischio, la dichiarazione di applicabilità e le revisioni della direzione e la quantità di aiuto richiesta (ad esempio un’ora di guida a distanza attraverso diversi giorni di assistenza approfondita) determinerà il costo coinvolto.
Hardware e software
A seconda di dove stai iniziando, potresti dover investire in software o servizi cloud aggiuntivi per mettere in atto il tuo ISMS e i controlli associati. Le aree comuni sono antimalware, test e formazione sul phishing, monitoraggio delle minacce, gestione della configurazione della sicurezza e backup. Questi saranno tutti dotati di una gamma di funzionalità e prezzi, quindi dovrai prendere alcune decisioni difficili sul livello di protezione che ritieni necessario e su quanto vuoi spendere.
Non esitare poi a porre qualsiasi domanda ad un consulente qualità, siamo certi ti risponderà volentieri.
Standard e altra documentazione
Non dimenticare di preventivare una copia dello standard ISO27001 stesso (attualmente CHF 118 (che sono franchi svizzeri) dal sito Web ISO) e qualsiasi altro standard correlato che ritieni possa essere utile: considera ISO27002 (maggiori dettagli sui controlli), ISO27005 (valutazione del rischio) e ISO27017 (sicurezza del cloud), ad esempio. Potresti anche voler acquistare il libro dispari in una copia cartacea vecchio stile o in formato elettronico.
Risorse interne
Abbiamo affrontato alcuni dei costi esterni che potresti dover considerare, ma non sottovalutare il costo delle risorse interne che dovrai mettere a frutto per arrivare alla certificazione. Le persone non sono libere e la quantità di tempo necessaria al team di progetto per mettere a punto le cose deve essere considerata attentamente. La necessità di esprimere queste risorse interne in termini di denaro prezioso dipenderà in gran parte dall’atteggiamento della tua organizzazione nei confronti del budget. Se qualcuno del tuo team è un appaltatore, è probabile che il loro costo debba essere incluso.
Ne vale la pena?
Quando si cerca di rispondere alla domanda “quanto costa la certificazione ISO27001?” è importante mantenere una certa concentrazione sui vantaggi del raggiungimento dell’obiettivo. Questi dipenderanno principalmente dalle ragioni per farlo in primo luogo. Ad esempio, se è probabile che la certificazione aiuti a guadagnare più affari, questo potrebbe essere un vantaggio quantificabile, sulla base di alcune ipotesi ragionevoli. Allo stesso modo, rimanere semplicemente al livello della concorrenza in un settore in cui la certificazione ISO27001 è diventata la norma ha i suoi vantaggi in termini di sopravvivenza aziendale. Anche prendere alcuni dei costi pubblicati degli attacchi informatici (ad esempio titoli come “Il sondaggio afferma che il costo medio del ripristino dal ransomware è di $ 1 milione”) può aggiungere peso all’argomento della certificazione.
In sintesi
Ci sono sicuramente dei costi associati alla certificazione secondo lo standard ISO27001 e solo la tua stessa organizzazione può decidere se questi costi sono giustificati dai benefici previsti. Ma essere chiari su questi costi (e ovviamente anche sui vantaggi) fin dall’inizio aiuterà a ottenere l’impegno della direzione verso l’obiettivo e ad agevolare il percorso verso la certificazione.
