Sicurezza delle informazioni
Riservatezza, integrità e disponibilità sono requisiti indispensabili quando si parla di informazioni.
La norma ISO 27001
Sempre di più le imprese sono consapevoli dell’importanza delle informazioni. Il furto di dati riservati e il danneggiamento di documenti importanti sono eventi di difficile gestione che possono avere rilevanti impatti economici e reputazionali.
La norma ISO 27001 è stata emanata allo scopo di aiutare le organizzazioni a migliorare la fiducia degli stakeholders in riferimento alla gestione efficace e sicura dei dati. L’obiettivo è proteggere i dati aziendali garantendone riservatezza, integrità e disponibilità.
Il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) è quindi uno strumento che permette di controllare in modo sistematico e continuativo i processi che riguardano la sicurezza del patrimonio informativo aziendale, non solo dal punto di vista informatico ma soprattutto dal punto di vista gestionale ed organizzativo definendo ruoli, responsabilità e procedure formali per l’operatività dell’azienda stessa.
Elementi del SGSI
Il SGSI conforme alla norma ISO 27001, si basa sul modello “Plan-Do-Check-Act”; un ciclo continuo delle seguenti attività:
– Plan: Stabilire le politiche, gli obiettivi, individuare le strutture e definire i processi coinvolti nel trattamento delle informazioni, nonché valutare i rischi per la sicurezza e stabilire gli interventi per la loro gestione.
– Do: Attuare e rendere operativa la politica e le procedure aziendali, implementando le decisioni prese e le soluzioni delineate nella fase di pianificazione
– Check: verificare (anche con audit periodici) e misurare le prestazioni dei processi ed il raggiungimento degli obiettivi, prevedendo anche periodici riesami della direzione aziendale.
– Act: Intraprendere azioni per il miglioramento continuo del SGSI e coerenti con le politiche e le strategie aziendali.
Controlli
Per contenere i rischi per la sicurezza delle informazioni occorre attivare specifiche attività di controllo.
La ISO 27001 riporta, nell’appendice A, una lista di obiettivi e di controlli per assicurare che non siano trascurati degli elementi necessari per garantire la sicurezza dei dati. Nello specifico i controlli riguardano i seguenti temi:
- Politiche di sicurezza
- Organizzazione della sicurezza
- Sicurezza delle risorse umane
- Gestione degli asset
- Controllo degli accessi
- Crittografia
- Sicurezza fisica e ambientale
- Sicurezza delle attività operative
- Sicurezza delle comunicazioni
- Acquisizione, sviluppo e manutenzione dei sistemi
- Relazione con i fornitori
- Gestione degli incidenti relativi alla sicurezza delle informazioni
- Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa
- Conformità alla normativa
Vantaggi del SGSI
Implementare un SGSI vuol dire quindi adottare procedure e controlli a garanzia dell’affidabilità e della sicurezza dei sistemi informativi aziendali, così da:
- monitorare i costi di gestione;
- garantire adeguati livelli di servizio;
- monitorare e ridurre i rischi di possibili disservizi;
- ridurre i rischi di interruzione del servizio.