Approfondiamo

-A +A
  • Sistema di gestione per la sicurezza delle informazioni (SGSI) o nuove tecnologie? Rischi e vantaggi per il business aziendale

    La sicurezza delle informazioni è: «Conservazione della riservatezza, dell'integrità e della disponibilità delle informazioni; inoltre, possono essere coinvolte altre proprietà quali l'autenticità, la responsabilità, il non ripudio e l'affidabilità.» (ISO IEC 27001:20051).
    Le informazioni custodite sono parte del patrimonio aziendale e come tale è necessario porsi il dubbio se le odierne tecnologie avanzate siano sufficienti per preservare questi beni aziendali da minacce interne e esterne oppure se non sia più proprio pervenire alla consapevolezza che la sicurezza delle informazioni è una precisa responsabilità gestionale che, come tale e per la propria parte, entra a pieno titolo nel modello organizzativo aziendale con il nome di Sistema di gestione per la sicurezza delle informazioni (SGSI).
    Le informazioni di cui stiamo parlando sono quelle sensibili, critiche o comunque aventi un valore per l'azienda e per i suoi stakeholder (clienti, fornitori, personale, azionisti, comunità ecc…); in qualsiasi forma esse siano: cartacea, elettronica, su dispositivo fisso o mobile; con qualsiasi mezzo siano arrivate in azienda: servizio postale, telefax cartaceo o elettronico, posta elettronica, web, ecc… 
    Alcuni esempi di rischi che devono essere governati, con riferimento ai tre elementi dichiarati nella definizione della norma 27001, sono:

    • Rischi per la riservatezza: controllo degli accessi carente, malfunzionamento dei sistemi di riconoscimento, negligenze del personale, difetti di protezione;
    • Rischi per l'integrità: atti vandalici, accesso fisico ai computer;
    • Rischi per la disponibilità: distruzione fisica (anche come conseguenza della distruzione di edifici o contenitori), furto, distruzione degli apparati, furto dei dispositivi, guasti.

    Parlando di rischi non si può non richiamare il fatto che negli ultimi anni il legislatore ha posto particolare attenzione e sensibilità alla sicurezza delle informazioni: D. Lgs. 196/2003 Codice Privacy; L. 48/2008 di ratifica della Convenzione del Consiglio d'Europa sulla criminalità informatica che ha introdotto i reati informatici nel D. Lgs. 231/01, modificato il già citato Codice Privacy, il Codice penale e il Codice di procedura penale sempre in tema di reati informatici.
    E proprio la conformità alle prescrizioni legali è uno dei requisiti maggiormente richiamati dalla norma 27001: nella definizione della politica del SGSI, nella definizione della valutazione del rischio, nella scelta degli obiettivi di controllo, nel controllo delle registrazioni, nella messa a disposizione delle risorse, negli audit interni, nel riesame della direzione.
    Circa le peculiarità della norma, proponiamo alcuni concetti che ci sembrano di particolare interesse e impatto in rapporto ad altri modelli normativi:

    1. il "business" che nella norma è inteso come «le attività istituzionali e gli affari» dell'azienda. È il business a venire compromesso al verificarsi di un incidente al sistema delle informazioni; è il business il motore trainante nella definizione del SGSI;
    2. il "bene": ciò che ha valore per l'azienda. I beni sono oggetto di valutazione, analisi  e ponderazione del rischio; sono altresì oggetto di inventario e assegnazione di responsabilità;
    3. gli "aspetti economico-finanziari" che sono da considerare nel piano di trattamento dei rischi per il raggiungimento degli obiettivi di controllo;
    4. la "Dichiarazione di applicabilità": documento formale dell'azienda nel quale sono descritti gli obiettivi di controllo e i controlli individuati.

    Di fondamentale importanza è l'Appendice A della ISO IEC 27001 "Obiettivi di controllo e controlli", di taglio pratico-operativo e con una struttura logica. È organizzata in 11 macrocategorie: politica, organizzazione della sicurezza, gestione dei beni, sicurezza delle risorse umane, sicurezza fisica e ambientale, comunicazioni e operatività, controllo degli accessi, gestione dei sistemi informativi, gestione degli incidenti, continuità operativa, conformità. Dalle macrocategorie discendono 39 obiettivi suddivisi in 133 controlli. La Dichiarazione di applicabilità deve includere le eventuali esclusioni di obiettivi e controlli e le relative motivazioni (ad es.: esclusione dei "Servizi di commercio elettronico" perché l'azienda non ha il servizio).
    L'adozione di un SGSI diventa quindi una scelta strategica dell'azienda che avrebbe di ritorno sicuri vantaggi:

    • integrazione con altri standard, quali 9001 e 14001 (anche la norma 27001 è basata sull'approccio per processi e come gli altri standard prevede requisiti trasversali per: gestione, attuazione, verifica, riesame e miglioramento del Sistema), nell'ottica del 'Modello organizzativo' unico e completo;
    • integrazione con le prescrizioni di cui al D. Lgs. 196/2003 Privacy e D. Lgs. 231/01 sulla responsabilità amministrativa degli enti;
    • continuità operativa dei propri processi di business;
    • conoscenza della propria sicurezza aziendale sia per le attività stanziali sia per quelle mobili/distaccate (filiali, cantieri temporanei, telelavoro, dispositivi portatili);
    • sensibilizzazione delle proprie risorse umane verso la gestione delle informazioni e le relative responsabilità;
    • protezione dell'immagine dell'azienda (la reputazione è un valore economico);
    • prevenzione/riduzione di incidenti che potrebbero comportare responsabilità legali e contrattuali;
    • assicurazione della protezione del know how aziendale a clienti, fornitori, azionisti, partner, parti interessate in generale;
    • potenziali riduzioni dei costi di assicurazione.

    La tecnologia è quindi funzionale all'efficace ed efficiente organizzazione delle informazioni aziendali, che rappresentano capitale intellettuale.
    La norma ISO IEC 27001 è una norma per la certificazione che oggi non vanta ancora grandi numeri: secondo i dati ACCREDIA, i certificati emessi al 31 dicembre 2010 erano 168 e al 31 dicembre 2011 erano 192 (fonte: www.accredia.it).
    Tuttavia l'approccio per processi, la conformità legislativa, la diseconomia nella gestione di più sistemi gestionali (volontari o cogenti che siano), la sempre più crescente delocalizzazione delle attività lavorative-professionali rispetto alla tradizionale sede di lavoro, l'internazionalità e universalità della norma ISO IEC 27001 (applicabile a tutte le aziende e di qualunque dimensione), la dematerializzazione cartacea, la crescente e sempre più articolata informatizzazione delle aziende e delle relazioni tra aziende e parti interessate (inclusi i fornitori di servizi IT), la garanzia data da un organismo terzo circa la conformità ai requisiti, la richiesta nei bandi di gara della certificazione di conformità alla norma ISO IEC 27001, sono tutti elementi che verosimilmente porteranno i modelli SGSI tra i prossimi ad essere certificati.

    1 "Tecnologia delle informazioni. Tecniche di sicurezza. Sistemi di gestione della sicurezza delle informazioni - Requisiti"

    Paola Degiorgis
    Direttore operativo ANCIS Srl

Pagine