Tra i vari problemi che sono scaturiti nel “villaggio globale”, cioè l’insieme dell’umanità così come denominato nel XX secolo dal sociologo canadese Marshall McLuhan, è sempre più insistente il problema che va sotto il nome di “Gestione della Sicurezza delle Informazioni”.
Non solo perché possedere informazioni è un asset strategico di business, ma perché è necessario mettere in atto tutte le precauzioni affinchè non vadano perse o distrutte oppure cadano in mano di chi opera nello stesso business facendo così perdere eventuali vantaggi competitivi. Per questo motivo nell’ambito della ISO e delle norme scaturite dalla norma madre ISO 9000 relative all’applicazione dei sistemi di gestione della qualità, è stata redatta una norma specifica per gestire la sicurezza delle informazioni.
Si tratta dello Standard UNI CEI ISO/IEC 27001:2006 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti)[1] è una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall’inglese Information Security Management System).
E’ una norma ad ampio respiro che include anche aspetti relativi alla sicurezza logica, fisica ed organizzativa. Infatti l’obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
Pertanto, dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.
La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.
L’impostazione dello standard ISO/IEC 27001, oltre alla norma sui Sistemi di Gestione per la Qualità ISO 9001:2000, è coerente anche con quella del Risk management; l’obiettivo principale è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT.
In sintesi lo standard prevede:
- Pianificazione e Progettazione;
- Implementazione;
- Monitoraggio;
- Mantenimento e il miglioramento
analogamente, cioè, a quanto previsto dai sistemi per la gestione della qualità. Nella fase di progettazione lo standard richiede però lo svolgimento di un risk assessment schematizzabile in:
- Identificazione dei rischi;
- Analisi e valutazione;
- Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
- Assunzione del rischio residuo da parte del management;
- Definizione dello Statement of Applicability[2].
Molto importante è il cosiddetto Annex A “Control objectives and controls” che contiene i 133 “controlli” a cui, l’organizzazione che intende applicare la norma, deve attenersi.
Questi controlli interessano sia la politica e l’organizzazione per la sicurezza sia la gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).
Tuttavia la conformità alla ISO 27001, pur certificata da un organismo di certificazione, magari accreditato, non solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy; il controllo A.15.1.4 richiede infatti che “La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali”.
La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione. In linea generale possiamo dire che, comunque, il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001.
[1] Ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio
[2] Questo punto specifica gli obiettivi di controllo adottati e i controlli implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma.
© 2la.it - Riproduzione riservata.
