Sicurezza Informatica

Gli standard di sicurezza informatica sono metodologie che permettono alle organizzazioni di attuare tecniche di sicurezza finalizzate a minimizzare la quantità e la pericolosità delle minacce alla sicurezza informatica. Le guide contenute nei documenti che descrivono questi standard offrono indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla. Tra i vantaggi derivanti dal possesso di una certificazione si può ricordare la maggiore facilità nell’ottenimento di una assicurazione sulla sicurezza informatica.

Lo standard ISO 27002 stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità. È stato emesso nel 2007, al termine di un lungo percorso di evoluzione iniziato con lo standard britannico BS7799 nel 1995, anche attraverso l’ISO/IEC 17799, ritirato in concomitanza con l’emissione del nuovo documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni.

Il documento è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica:

• politiche di sicurezza (Security Policy):
  • forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.

• sicurezza organizzativa (Security Organization):
  • controllo della sicurezza delle informazioni in seno all’azienda;
  • mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti;
  • monitorare la sicurezza delle informazioni quando la responsabilità dell’elaborazione dell’informazione è stata conferita in outsource.

• controllo e classificazione dei beni (Asset Classification and Control):
  • mantenere la protezione dell’assetto organizzativo e garantire che l’assetto delle informazioni riceva un appropriato livello di protezione.

• sicurezza del personale (Personnel Security):
  • Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
  • accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;
  • per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.

• sicurezza fisica e ambientale (Physical and Environmental Security):
  • impedire l’accesso, il danneggiamento e l’interferenza dei non autorizzati all’interno del flusso delle informazioni del business;
  • impedire perdita, danni o l’assetto del sistema e la interruzione delle attività economiche;
  • impedire la manomissione o il furto delle informazioni.

• gestione di comunicazioni e operazioni (Communications and Operations Management):
  • accertarsi del corretto funzionamento e facilità di elaborazione dell’informazione;
  • minimizzare il rischio di guasti dei sistemi;
  • proteggere l’integrità dei software e delle informazioni;
  • mantenere l’integrità e la validità dei processi di elaborazione dell’informazione e della comunicazione;
  • garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;
  • prevenire danni ai beni e le interruzioni alle attività economiche;
  • impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.

• controllo di accesso (Access Control):
  • per controllare l’accesso alle informazioni;
  • per impedire l’accesso non autorizzato ai sistemi d’informazione;
  • per accertare la protezione dei servizi in rete;
  • per impedire l’accesso non autorizzato nel calcolatore;
  • per rilevare le attività non autorizzate;
  • per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.

• sviluppo e manutenzione di sistemi (System Development and Maintenance):
  • accertare che la sicurezza sia stata costruita all’interno delle operazioni di sistema;
  • per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell’utente all’interno dei sistemi di applicazione;
  • per proteggere riservatezza, autenticità e l’integrità delle informazioni;
  • per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema.

• gestione continuità operativa (Business Continuity Management):
  • neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.

• adeguatezza (Compliance):
  • evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
  • per elevare l’efficacia e minimizzare l’interferenza da/per il processo di verifica del sistema. </p>