SICUREZZA DELLE INFORMAZIONI E ISO27001

Servizi di consulenza per la messa in sicurezza di asset informativi e per la relativa certificazione ISO27001.

I principi base della sicurezza delle informazioni

La distruzione e o la divulgazione illegittima di un’informazione di business produce sempre e comunque un danno all’azienda, si tratta solo di valutarne l’entità.

Da qui quindi l’importanza di identificare per prima cosa i beni da proteggere (tipologie di informazioni), il loro valore, le minacce e le vulnerabilità a cui sono sottoposte per poi, successivamente, definire le azioni da intraprendere.

A tal fine, ed in via preliminare, Net Studio cerca sempre di definire ed inquadrare il contesto di riferimento in cui si trova e gli elementi sopra descritti eseguendo una ben precisa attività di assessment utile per la valutazione di tutte le successive scelte progettuali.

Consolidato il contesto di riferimento, prima di intraprendere un progetto finalizzato alla protezione delle informazioni, siano esse informatiche, cartacee o anche verbali Net Studio ricorda sempre di tenere alcuni principi cardine che regolamentano un progetto di sicurezza:

  • Non esiste sicurezza al 100%
  • Solo misure di sicurezza uniformi
  • Costi e benefici vanno bilanciati
  • Sicurezza e disagi vanno bilanciati

La sicurezza assoluta non esiste, tanto meno quella delle informazioni e in special modo se trattate con strumenti informatici.

La complessità delle attuali tecnologie, la carenza di procedure organizzative e operative e l’assenza di regole comportamentali lasciano comunque e sempre delle vie di accesso all’informazione.

Spesso le aziende investono quantità di denaro rilevanti per proteggersi da tutti i possibili “attacchi” alle proprie informazioni dimenticando che se i punti di protezione sono migliaia, è sufficiente un unico punto debole lasciato incustodito per consentire alla sfortuna o ad un hacker un facile accesso.

Un punto debole nella struttura esiste sempre e quindi è impossibile pensare che la nostra organizzazione sia assolutamente sicura. E’ per questo motivo che Net Studio consiglia sempre di orientarsi verso l’adozione di azioni e contromisure uniformi e bilanciate che garantiscano un livello di protezione ragionevole contro i reali rischi identificati.

L’applicazione delle misure di sicurezza può essere quindi equiparata alla classica catena dove la resistenza alle sollecitazioni è determinata sempre dall’anello più debole.

 

Il modello R.I.D.C

Quando si tratta l’argomento sicurezza non si può fare a meno di tenere in seria considerazione i requisiti che devono essere rispettati per rendere sicura ogni informazione. Di conseguenza occorre che le informazioni che costituiscono parte del patrimonio dell’azienda siano sottoposte a delle garanzie ben precise.

I requisiti principali per garantire la sicurezza di una informazione si basano sul classico modello R.I.D (Riservatezza, Integrità e Disponibilità) a cui Net Studio ha aggiunto un ulteriore elemento : la “C” di Compliance legale.

Riservatezza

Le informazioni devono essere accessibili direttamente e indirettamente solo alle persone che ne hanno diritto e che sono espressamente autorizzate a conoscerle.

Tutelare la riservatezza significa ridurre ad un livello accettabile il rischio che persone non autorizzate possano accedere alle informazioni

In questo contesto Net Studio inserisce le leggi e le normative sulla Privacy delle Informazioni di seguito descritte.

Integrità

Le informazioni devono essere protette da alterazioni, quali modifiche danneggiamenti o cancellazioni improprie, anche accidentali

Tutelare l’integrità significa ridurre ad un livello accettabile il rischio che le informazioni vengano alterate da persone non autorizzate.

Disponibilità

Le informazioni devono essere sempre accessibili agli utilizzatori che ne hanno diritto nei tempi e nei modi previsti. La disponibilità delle informazioni va assicurata in base a un livello di servizio concordato

Tutelare la disponibilità significa ridurre ad un livello accettabile il rischio di non poter accedere alle informazioni da parte di persone autorizzate.

Compliance

Per Net Studio la Complicance Normativa è un elemento imprescindibile nella gestione della sicurezza delle informazioni. Esistono già diverse leggi nazionali ed internazionali (L.196, L.231, SOX, ecc) che implicitamente od esplicitamente fanno diretto richiamo ad una gestione in sicurezza dell’informazione. Gli elementi di rispetto legislativo devono quindi entrare come requisiti cogenti nella progettazione della sicurezza dei dati, integrandosi e rinforzando le Politiche di sicurezza dell’azienda e supportando le necessità di business della stessa.

 

ISO 27001

Il problema della “sicurezza” informatica è stato affrontato a livello internazionale fin dal 1995 con la norma BS 7799, poi sfociata nel 2000 in ISO 17799, per poi approdare all’ attuale UNI CEI ISO/IEC 27001:2006 che descrive i criteri da adottare per perseguire la sicurezza dei sistemi informativi.

L’oggetto della norma ISO 27001 è l’informazione, sotto qualsiasi forma, per la quale, come già trattato nel paragrafo precedente, devono essere garantiti gli aspetti di Riservatezza, Integrità e Disponibilità.

Tale norma introduce il concetto di “Sistema di Gestione”: uno strumento che permette di tenere sotto controllo in modo sistematico e continuativo tutti i processi legati alla sicurezza delle informazioni tramite la definizione di ruoli, responsabilità e procedure formali sia per l’operatività aziendale, che per la gestione delle emergenze.

Lo standard ISO 27001 prevede due macro fasi distinte:

  1. La prima parte prevede l’analisi del rischio, che ha come scopo quello di fornire una serie di raccomandazioni riguardanti la gestione della sicurezza dell’informazione (ISMS-Information Security Management System) per garantire la possibilità di organizzare tale gestione su una base comune e soprattutto la più possibile oggettiva e condivisa. In sintesi in questa parte Net Studio definisce dei modelli per l’associazione del rischio a ciascuna classe di informazioni
  2. La seconda parte descrive dettagliatamente il processo di costruzione di un sistema per la gestione del rischio, mettendo a disposizione le specifiche per progettare, attuare, gestire, monitorare, revisionare ed aggiornare un ISMS correttamente documentato e orientato ai rischi di Business dell’azienda.

Sempre in sintesi Net Studio identifica le decisioni che l’azienda deve intraprendere in funzione del rispetto dei requisiti della sicurezza (R.I.D.C)

Anche nel caso in cui un azienda non intenda certificarsi immediatamente, ma in prima battuta miri esclusivamente ad una protezione informativa, l’approccio di Net Studio è comunque quello di sviluppare un piano di progetto e le successive fasi realizzative basandosi sulla norma ISO 27001.

Tale scelta non deriva solo dalla volontà di adottare una metodologia e norme internazionali, ma principalmente dalla possibilità di impostare un sistema di sicurezza che su specifiche necessità di mercato e/o legislative, o su richiesta della Direzione, sia certificabile con minimi interventi.

 

ISO27001 e Privacy

Nella prima metà del 2003 è stata varata la normativa sulla privacy, denominata per semplicità “Testo Unico sulla Privacy” o T.U. In esso viene condensato tutto quanto legiferato in precedenza sul tema privacy e con un intero capitolo (“titolo”) dedicato alle raccomandazioni “minime” sulla sicurezza informatica. Il Testo Unico, entrato in vigore il 1 gennaio 2004, descrive in maniera molto dettagliata le linee guida e i requisiti che le aziende nei vari settori, dal pubblico al privato, devono rispettare al fine di utilizzare in maniera corretta i dati personali in loro possesso e conseguentemente garantire che questi dati siano trattati ed accessibili solo dal personale autorizzato.

Vediamo quindi che anche la legge sulla privacy non è un tema avulso dalla sicurezza delle informazioni ma anzi si va ad inserire, come un tassello ben progettato, all’interno del modello R.I.D.C precedentemente descritto coprendo, in modo particolare, il tema della Riservatezza e in parte della stessa Compliance.

Il testo unico sulla Privacy comunque tratta in parte anche i temi della integrità e disponibilità delle informazioni, almeno per quello che riguarda il dominio delle informazioni personali. Infatti, al titolare del trattamento non solo viene richiesto che le informazioni siano divulgate in modo “controllato” ma viene anche richiesto che queste siano salvaguardate con sistemi di backup e quant’altro possa proteggere il loro contenuto.

Da queste considerazioni deriva l’approccio integrato di Net Studio al tema della Privacy, considerata quale parte integrante del tema ben più ampio della sicurezza delle informazioni.

E’ per questo motivo che Net Studio consiglia sempre che il responsabile della sicurezza delle Informazioni debba essere anche il responsabile, almeno organizzativamente, della Privacy.

 

Sicurezza delle Informazioni e Legge 231

Il Decreto Legislativo 231/01 ha introdotto nell’ordinamento italiano la responsabilità delle società per i reati commessi da amministratori, manager, dipendenti, partner o collaboratori.

La responsabilità, definita amministrativa, ma sostanzialmente riferibile alla sfera penale, è prevista a carico delle società ogni volta che un reato sia commesso da propri collaboratori nell’interesse o vantaggio della stessa.

La società è ritenuta direttamente responsabile per “colpa in organizzazione”, cioè per non aver predisposto efficaci misure di natura organizzativa dirette ad evitare la commissione dei reati richiamati dal D.Lgs. 231/01.

In questo scenario risulta assai chiaro quanto sia importante una gestione “integra e veritiera” delle informazioni, che consente, attraverso la loro elaborazione e memorizzazione, la creazione di un elemento importante del modello di gestione e controllo dell’azienda.

Quanto più si è certi che l’informazione analitica è conforme al modello R.I.D.C tanto più si è in grado di fornire al management e all’Organismo di Vigilanza un’importante strumento di controllo della gestione aziendale.

Esiste poi un’altra interazione importante fra la L.231 ed il mondo della sicurezza delle informazioni che è rappresentata dai reati informatici; la legge infatti mappa in modo ben preciso alcuni reati informatici, già normati dal codice penale, che implicano, qualora commessi, responsabilità anche in ambito 231 qualora l’azienda non si sia premurata di prevenirli attraverso una opportuna gestione (analisi dei rischi, controlli e modello organizzativo).

I reati informativi che rientrato in ambito L231 si possono sommariamente classificare in 3 principali gruppi :

  • il primo gruppo di reati ha come caratteristica comune quella di punire il danneggiamento di hardware, di software e di dati: viene punito l’accesso abusivo ad un sistema e l’intercettazione o l’interruzione di dati compiute attraverso l’installazione di appositi software o hardware e viene punita come aggravante la commissione degli stessi reati in sistemi informatici di pubblica utilità;
  • il secondo gruppo punisce la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui al precedente punto;
  • il terzo gruppo punisce la violazione dell’integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale.

 

Sistema di Gestione della Sicurezza delle Informazioni (SGSI)

Lo Standard ISO27001 propone un modello noto come ISMS (Information Security Management System) che tradotto in italiano diventa SGSI: Sistema di Gestione della Sicurezza delle Informazioni.

Il’SGSI è quella parte del sistema di gestione aziendale globale che Net Studio consiglia sempre di adottare (a prescindere dalla ISO27001) per ottenere un approccio basato sul rischio e per definire, realizzare, esercitare, monitorare, mantenere e migliorare il processo di sicurezza delle informazioni. In sintesi è ciò che consente il vero governo della sicurezza di un sistema informativo.