ISO UNI EN 27001 - Sicurezza Sistemi Informativi
La Sicurezza delle Informazioni
In passato l’importanza della sicurezza delle Informazioni era riconosciuta limitatamente alla protezione dei dati contabili e finanziari. Oggi, la globalizzazione dei mercati e il libero commercio hanno aumentato la sensibilità rispetto alla sicurezza delle Informazioni, anche da parte delle legislazioni nazionali.
Particolari stimoli alla gestione delle Informazioni come “beni da proteggere” sono derivati, inoltre, da fattori quali la responsabilità legale, la pirateria industriale, la salvaguardia dell’immagine e, non ultimo, lo sviluppo delle tecnologie informatiche. Il numero di virus, attacchi e intrusioni cui si deve far fronte quotidianamente testimonia l’importanza di salvaguardare anche le Informazioni gestite dai propri Sistemi Informativi.
Ma l’Informazione non è solo quanto risiede nei computer; l’Informazione puòessere su carta, su disco e nelle menti ed azioni di coloro che operano perl’Organizzazione. L’Informazione diviene parte del patrimonio aziendale e in quanto tale va preservata lungo il suo intero ciclo di vita
Soluzione
Le Organizzazioni possono proteggersi da potenziali minacce alla sicurezza delle informazioni da esse gestite sviluppando un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS: Information Security Management System), conformemente a quanto definito dalla ISO 27001 e richiedendo una verifica di certificazione indipendente.
Dalla perdita di dati agli accessi non autorizzati, dagli attacchi virus al commercio elettronico, dalla pirateria informatica al disaster recovery, la ISO 27001 consente di valutare attentamente tutti i rischi per il business e le diverse tipologie di informazioni gestite, evidenziando le aree in cui è necessario un miglioramento. La protezione delle Informazioni consiste nell’assicurare, attraverso la gestione controllata dei processi aziendali, i desiderati livelli di:
• Riservatezza – proteggere le informazioni da accessi non autorizzati
• Integrità – salvaguardare l’accuratezza e la completezza delle Informazioni
• Accessibilità – assicurarsi che i dati e le informazioni siano accessibili quando richiesto.
Lo Standard ISO 27001, prevede un completo riesame di tutti gli aspetti concernenti la sicurezza dei Sistemi Informativi.
L'informazione è un asset di primaria importanza in qualsiasi organizzazione aziendale. La protezione e la sicurezza delle informazioni devono quindi essere garantite in ogni realtà di business. Non dobbiamo pensare solamente alla sicurezza informatica e alle organizzazioni che memorizzano dati sensibili: le informazioni da proteggere sono tutte quelle che concorrono al funzionamento dell'azienda e che ne descrivono i processi, il know-how, l'organizzazione aziendale.
Salvaguardare la riservatezza significa assicurare che quella determinata informazione sia accessibile solamente a chi ne ha il diritto di accesso. Salvaguardarne l'integrità significa porre l'attenzione sull'accuratezza, la completezza sia dell'informazione che dei metodi per processarla. Controllarne la disponibilità significa garantire il corretto accesso agli utenti autorizzati e garantire che gli asset atti a gestire quell'informazione siano altrettanto disponibili.
Non occorre quindi intendere il termine "sicurezza" come protezione dalla minaccia esterna, ma come una linea che copre l'intero ciclo di vita delle informazioni scritte, informatiche, telefoniche, verbali. La "sicurezza" è un processo di alto livello indipendente dalla tecnologia e integrato nell'organizzazione aziendale.
