Sicurezza delle informazioni

Riservatezza, integrità e disponibilità sono requisiti indispensabili quando si parla di informazioni.

La norma ISO 27001

Sempre di più le imprese sono consapevoli dell’importanza delle informazioni. Il furto di dati riservati e il danneggiamento di documenti importanti sono eventi di difficile gestione che possono avere rilevanti impatti economici e reputazionali.

La norma ISO 27001   è stata emanata allo scopo di aiutare le organizzazioni a migliorare la fiducia degli stakeholders in riferimento alla gestione efficace e sicura dei dati. L’obiettivo è proteggere i dati aziendali garantendone riservatezza, integrità e disponibilità.

Il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) è quindi uno strumento che permette di controllare in modo sistematico e continuativo i processi che riguardano la sicurezza del patrimonio informativo aziendale, non solo dal punto di vista informatico ma soprattutto dal punto di vista gestionale ed organizzativo definendo ruoli, responsabilità e procedure formali per l’operatività dell’azienda stessa.

Elementi del SGSI

Il SGSI conforme alla norma ISO 27001, si basa sul modello “Plan-Do-Check-Act”; un ciclo continuo delle seguenti attività:

– Plan: Stabilire le politiche, gli obiettivi, individuare le strutture e definire i processi coinvolti nel trattamento delle informazioni, nonché valutare i rischi per la sicurezza e stabilire gli interventi per la loro gestione.

– Do: Attuare e rendere operativa la politica e le procedure aziendali, implementando le decisioni prese e le soluzioni delineate nella fase di pianificazione

– Check: verificare (anche con audit periodici) e misurare le prestazioni dei processi ed il raggiungimento degli obiettivi, prevedendo anche periodici riesami della direzione aziendale.

– Act: Intraprendere azioni per il miglioramento continuo del SGSI e coerenti con le politiche e le strategie aziendali.

Controlli

Per contenere i rischi per la sicurezza delle informazioni occorre attivare specifiche attività di controllo.

La ISO 27001 riporta, nell’appendice A, una lista di obiettivi e di controlli per assicurare che non siano trascurati degli elementi necessari per garantire la sicurezza dei dati. Nello specifico i controlli riguardano i seguenti temi:

  • Politiche di sicurezza
  • Organizzazione della sicurezza
  • Sicurezza delle risorse umane
  • Gestione degli asset
  • Controllo degli accessi
  • Crittografia
  • Sicurezza fisica e ambientale
  • Sicurezza delle attività operative
  • Sicurezza delle comunicazioni
  • Acquisizione, sviluppo e manutenzione dei sistemi
  • Relazione con i fornitori
  • Gestione degli incidenti relativi alla sicurezza delle informazioni
  • Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa
  • Conformità alla normativa

Vantaggi del SGSI

Implementare un SGSI vuol dire quindi adottare procedure e controlli a garanzia dell’affidabilità e della sicurezza dei sistemi informativi aziendali, così da:

  • monitorare i costi di gestione;
  • garantire adeguati livelli di servizio;
  • monitorare e ridurre i rischi di possibili disservizi;
  • ridurre i rischi di interruzione del servizio.