Sicurezza Informatica
Gli standard di sicurezza informatica sono metodologie che permettono alle organizzazioni di attuare tecniche di sicurezza finalizzate a minimizzare la quantità e la pericolosità delle minacce alla sicurezza informatica. Le guide contenute nei documenti che descrivono questi standard offrono indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla. Tra i vantaggi derivanti dal possesso di una certificazione si può ricordare la maggiore facilità nell’ottenimento di una assicurazione sulla sicurezza informatica.
Lo standard ISO 27002 stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità. È stato emesso nel 2007, al termine di un lungo percorso di evoluzione iniziato con lo standard britannico BS7799 nel 1995, anche attraverso l’ISO/IEC 17799, ritirato in concomitanza con l’emissione del nuovo documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni.
Il documento è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica:
- politiche di sicurezza (Security Policy):
- forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
- sicurezza organizzativa (Security Organization):
- controllo della sicurezza delle informazioni in seno all’azienda;
- mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti;
- monitorare la sicurezza delle informazioni quando la responsabilità dell’elaborazione dell’informazione è stata conferita in outsource.
- controllo e classificazione dei beni (Asset Classification and Control):
- mantenere la protezione dell’assetto organizzativo e garantire che l’assetto delle informazioni riceva un appropriato livello di protezione.
- sicurezza del personale (Personnel Security):
- Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
- accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;
- per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
- sicurezza fisica e ambientale (Physical and Environmental Security):
- impedire l’accesso, il danneggiamento e l’interferenza dei non autorizzati all’interno del flusso delle informazioni del business;
- impedire perdita, danni o l’assetto del sistema e la interruzione delle attività economiche;
- impedire la manomissione o il furto delle informazioni.
- gestione di comunicazioni e operazioni (Communications and Operations Management):
- accertarsi del corretto funzionamento e facilità di elaborazione dell’informazione;
- minimizzare il rischio di guasti dei sistemi;
- proteggere l’integrità dei software e delle informazioni;
- mantenere l’integrità e la validità dei processi di elaborazione dell’informazione e della comunicazione;
- garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;
- prevenire danni ai beni e le interruzioni alle attività economiche;
- impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
- controllo di accesso (Access Control):
- per controllare l’accesso alle informazioni;
- per impedire l’accesso non autorizzato ai sistemi d’informazione;
- per accertare la protezione dei servizi in rete;
- per impedire l’accesso non autorizzato nel calcolatore;
- per rilevare le attività non autorizzate;
- per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.
- sviluppo e manutenzione di sistemi (System Development and Maintenance):
- accertare che la sicurezza sia stata costruita all’interno delle operazioni di sistema;
- per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell’utente all’interno dei sistemi di applicazione;
- per proteggere riservatezza, autenticità e l’integrità delle informazioni;
- per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema.
- gestione continuità operativa (Business Continuity Management):
- neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.
- adeguatezza (Compliance):
- evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
- per elevare l’efficacia e minimizzare l’interferenza da/per il processo di verifica del sistema. </p>