Formazione & consulenza

Net Studio mette a disposizione la propria esperienza e personale qualificato per offrire servizi di consulenza per la messa in sicurezza di asset informativi e per la relativa certificazione ISO27001.

Quando si tratta l’argomento sicurezza non si può fare a meno di tenere in seria considerazione i requisiti che devono essere rispettati per rendere sicura ogni informazione. Di conseguenza occorre che le informazioni che costituiscono parte del patrimonio dell’azienda siano sottoposte a delle garanzie ben precise.I requisiti principali per garantire la sicurezza di una informazione si basano sul classico modello R.I.D (Riservatezza, Integrità e Disponibilità) a cui Net Studio ha aggiunto un ulteriore elemento : la “C” di Compliance legale.

Riservatezza

Le informazioni devono essere accessibili direttamente e indirettamente solo alle persone che ne hanno diritto e che sono espressamente autorizzate a conoscerle. Tutelare la riservatezza significa ridurre ad un livello accettabile il rischio che persone non autorizzate possano accedere alle informazioni. In questo contesto Net Studio inserisce le leggi e le normative sulla Privacy delle Informazioni di seguito descritte.

Integrità

Le informazioni devono essere protette da alterazioni, quali modifiche danneggiamenti o cancellazioni improprie, anche accidentali. Tutelare l’integrità significa ridurre ad un livello accettabile il rischio che le informazioni vengano alterate da persone non autorizzate.

Disponibilità

Le informazioni devono essere sempre accessibili agli utilizzatori che ne hanno diritto nei tempi e nei modi previsti. La disponibilità delle informazioni va assicurata in base a un livello di servizio concordato. Tutelare la disponibilità significa ridurre ad un livello accettabile il rischio di non poter accedere alle informazioni da parte di persone autorizzate.

Compliance

Per Net Studio la Complicance Normativa è un elemento imprescindibile nella gestione della sicurezza delle informazioni. Esistono già diverse leggi nazionali ed internazionali (L.196, L.231, SOX, ecc) che implicitamente od esplicitamente fanno diretto richiamo ad una gestione in sicurezza dell’informazione. Gli elementi di rispetto legislativo devono quindi entrare come requisiti cogenti nella progettazione della sicurezza dei dati, integrandosi e rinforzando le Politiche di sicurezza dell’azienda e supportando le necessità di business della stessa.

Il problema della “sicurezza” informatica è stato affrontato a livello internazionale fin dal 1995 con la norma BS 7799, poi sfociata nel 2000 in ISO 17799, per poi approdare all’ attuale UNI CEI ISO/IEC 27001:2006 che descrive i criteri da adottare per perseguire la sicurezza dei sistemi informativi. L’oggetto della norma ISO 27001 è l’informazione, sotto qualsiasi forma, per la quale, come già trattato nel paragrafo precedente, devono essere garantiti gli aspetti di Riservatezza, Integrità e Disponibilità. Tale norma introduce il concetto di “Sistema di Gestione”: uno strumento che permette di tenere sotto controllo in modo sistematico e continuativo tutti i processi legati alla sicurezza delle informazioni tramite la definizione di ruoli, responsabilità e procedure formali sia per l’operatività aziendale, che per la gestione delle emergenze. Lo standard ISO 27001 prevede due macro fasi distinte:

  1. La prima parte prevede l’analisi del rischio, che ha come scopo quello di fornire una serie di raccomandazioni riguardanti la gestione della sicurezza dell’informazione (ISMS-Information Security Management System) per garantire la possibilità di organizzare tale gestione su una base comune e soprattutto la più possibile oggettiva e condivisa. In sintesi in questa parte Net Studio definisce dei modelli per l’associazione del rischio a ciascuna classe di informazioni
  2. La seconda parte descrive dettagliatamente il processo di costruzione di un sistema per la gestione del rischio, mettendo a disposizione le specifiche per progettare, attuare, gestire, monitorare, revisionare ed aggiornare un ISMS correttamente documentato e orientato ai rischi di Business dell’azienda.

Sempre in sintesi Net Studio identifica le decisioni che l’azienda deve intraprendere in funzione del rispetto dei requisiti della sicurezza (R.I.D.C) Anche nel caso in cui un azienda non intenda certificarsi immediatamente, ma in prima battuta miri esclusivamente ad una protezione informativa, l’approccio di Net Studio è comunque quello di sviluppare un piano di progetto e le successive fasi realizzative basandosi sulla norma ISO 27001. Tale scelta non deriva solo dalla volontà di adottare una metodologia e norme internazionali, ma principalmente dalla possibilità di impostare un sistema di sicurezza che su specifiche necessità di mercato e/o legislative, o su richiesta della Direzione, sia certificabile con minimi interventi.

Nella prima metà del 2003 è stata varata la normativa sulla privacy, denominata per semplicità “Testo Unico sulla Privacy” o T.U. In esso viene condensato tutto quanto legiferato in precedenza sul tema privacy e con un intero capitolo (“titolo”) dedicato alle raccomandazioni “minime” sulla sicurezza informatica. Il Testo Unico, entrato in vigore il 1 gennaio 2004, descrive in maniera molto dettagliata le linee guida e i requisiti che le aziende nei vari settori, dal pubblico al privato, devono rispettare al fine di utilizzare in maniera corretta i dati personali in loro possesso e conseguentemente garantire che questi dati siano trattati ed accessibili solo dal personale autorizzato. Vediamo quindi che anche la legge sulla privacy non è un tema avulso dalla sicurezza delle informazioni ma anzi si va ad inserire, come un tassello ben progettato, all’interno del modello R.I.D.C precedentemente descritto coprendo, in modo particolare, il tema della Riservatezza e in parte della stessa Compliance. Il testo unico sulla Privacy comunque tratta in parte anche i temi della integrità e disponibilità delle informazioni, almeno per quello che riguarda il dominio delle informazioni personali. Infatti, al titolare del trattamento non solo viene richiesto che le informazioni siano divulgate in modo “controllato” ma viene anche richiesto che queste siano salvaguardate con sistemi di backup e quant’altro possa proteggere il loro contenuto. Da queste considerazioni deriva l’approccio integrato di Net Studio al tema della Privacy, considerata quale parte integrante del tema ben più ampio della sicurezza delle informazioni. E’ per questo motivo che Net Studio consiglia sempre che il responsabile della sicurezza delle Informazioni debba essere anche il responsabile, almeno organizzativamente, della Privacy.

Il Decreto Legislativo 231/01 ha introdotto nell’ordinamento italiano la responsabilità delle società per i reati commessi da amministratori, manager, dipendenti, partner o collaboratori. La responsabilità, definita amministrativa, ma sostanzialmente riferibile alla sfera penale, è prevista a carico delle società ogni volta che un reato sia commesso da propri collaboratori nell’interesse o vantaggio della stessa. La società è ritenuta direttamente responsabile per “colpa in organizzazione”, cioè per non aver predisposto efficaci misure di natura organizzativa dirette ad evitare la commissione dei reati richiamati dal D.Lgs. 231/01. In questo scenario risulta assai chiaro quanto sia importante una gestione “integra e veritiera” delle informazioni, che consente, attraverso la loro elaborazione e memorizzazione, la creazione di un elemento importante del modello di gestione e controllo dell’azienda. Quanto più si è certi che l’informazione analitica è conforme al modello R.I.D.C tanto più si è in grado di fornire al management e all’Organismo di Vigilanza un’importante strumento di controllo della gestione aziendale.

Esiste poi un’altra interazione importante fra la L.231 ed il mondo della sicurezza delle informazioni che è rappresentata dai reati informatici; la legge infatti mappa in modo ben preciso alcuni reati informatici, già normati dal codice penale, che implicano, qualora commessi, responsabilità anche in ambito 231 qualora l’azienda non si sia premurata di prevenirli attraverso una opportuna gestione (analisi dei rischi, controlli e modello organizzativo). I reati informativi che rientrato in ambito L231 si possono sommariamente classificare in 3 principali gruppi :

  • il primo gruppo di reati ha come caratteristica comune quella di punire il danneggiamento di hardware, di software e di dati: viene punito l’accesso abusivo ad un sistema e l’intercettazione o l’interruzione di dati compiute attraverso l’installazione di appositi software o hardware e viene punita come aggravante la commissione degli stessi reati in sistemi informatici di pubblica utilità;
  • il secondo gruppo punisce la detenzione e la diffusione di software e/o di attrezzature informatiche atte a consentire la commissione dei reati di cui al precedente punto;
  • il terzo gruppo punisce la violazione dell’integrità dei documenti informatici e della loro gestione attraverso la falsificazione di firma digitale.

Lo Standard ISO27001 propone un modello noto come ISMS (Information Security Management System) che tradotto in italiano diventa SGSI: Sistema di Gestione della Sicurezza delle Informazioni. Il’SGSI è quella parte del sistema di gestione aziendale globale che Net Studio consiglia sempre di adottare (a prescindere dalla ISO27001) per ottenere un approccio basato sul rischio e per definire, realizzare, esercitare, monitorare, mantenere e migliorare il processo di sicurezza delle informazioni. In sintesi è ciò che consente il vero governo della sicurezza di un sistema informativo.

Contattaci per maggiori informazioni