Adottare un approccio basato sugli standard Bs7799 e Iso17799 aiuta a garantire la protezione delle risorse aziendali e migliora il ritorno sugli investimenti. A ciò si aggiungono vantaggi in termini di immagine, direttamente sfruttabili sul terreno del marketing.
|
|
Le crescenti esigenze di protezione del sistema informativo, in uno scenario sempre più complesso dal punto di vista dell’interazione tra sistemi e infrastrutture e in cui il valore aziendale viene riposto sempre di più nelle informazioni, inducono a rivedere la questione dell’It security con nuove metodologie organizzate e collegate all’intero processo di business. Inoltre, è convinzione comune che l’implementazione di soluzioni che affrontano il tema della sicurezza sul versante tecnologico debba accompagnarsi a una strategia in grado di considerare gli aspetti correlati alle pratiche di lavoro, alle abitudini del personale e, in generale, alla presenza di una maggiore cultura della sicurezza. L’introduzione di policy e regole rappresenta, certamente, un primo passo ma, nel contempo, apporta una serie di restrizioni e di controlli che, se non opportunamente gestiti, possono rischiare di rallentare, se non addirittura inibire, alcuni processi aziendali.
L’implementazione di un sistema di gestione per la sicurezza delle informazioni, indicato in Italia con la sigla Sgsi e all’estero con quella anglosassone Isms (corrispondente a Information security management system), consente di includere la sicurezza nei piani strategici dell’azienda, permettendo al "senior management" di monitorare e controllare il livello di security, minimizzare ulteriormente il rischio di business, ottenere un Roi migliore, garantendo che siano continuamente soddisfatti i requisiti di protezione per l’azienda e i suoi clienti.
Accanto ai vantaggi organizzativi e procedurali che essa può portare all’interno di un’azienda, ve ne sono altri, che riguardano la proiezione dell’azienda stessa verso l’esterno. In questo caso, far sapere ai propri clienti di avere adottato una serie di procedure conformi a regole e standard, che recepiscono le più evolute e recenti teorie riguardo alle politiche di sicurezza a livello internazionale, offre loro garanzie in grado di costituire un vantaggio competitivo. Queste norme di riferimento sono siglate Bs7799 e Iso17799.
Gli standard Bs7799 e Iso17799
La storia di questi standard inizia nei primi anni Novanta, quando il Department of Trade and Industry britannico decise di istituire un gruppo di lavoro per mettere a punto un riferimento per la sicurezza delle risorse informative, in risposta a esigenze emerse in ambito industriale. L’iniziativa determinò la pubblicazione, nel 1993, di una raccolta di best practice (Code of practice for information security management) che rappresentò il fondamento sulla base del quale il British Standard Institute elaborò lo standard britannico Bs7799 (Bs sta, appunto, per British standard) pubblicato nel 1995.
Bs7799 riguarda nominalmente ogni forma di gestione dell’informazione ma, di fatto, gli aspetti informatici risultano fortemente predominanti. Nel suo complesso, è incentrato attorno ai concetti di politica di sicurezza dell’informazione, corrispondente alla specificazione ad alto livello degli obiettivi di security che un’organizzazione si propone di conseguire, e sull’Isms (di cui la prima costituisce uno degli aspetti), che riguarda l’insieme delle procedure per il governo della sicurezza attuato dall’organizzazione per garantire che sia soddisfatta la politica di sicurezza aziendale. Nel 1998, venne aggiunta una seconda parte allo standard (Specification for information security management system) e, successivamente, si arrivò a una revisione complessiva delle due parti, con la pubblicazione di una nuova versione di entrambi nell’aprile del 1999.
Il 5 settembre del 2002 è stata rilasciata una nuova versione della Parte 2 dello standard Bs7799, rivista con l’obiettivo di trovare una maggiore congruenza con gli altri standard gestionali internazionali e anche per incorporare un modello di Isms e un set di processi per la sua implementazione.
Già nel 1995 Bs7799 venne proposto per l’approvazione come standard Iso ma, seppure per poco, la proposta non fu accettata. Nel frattempo, l’interesse intorno a tale standard crebbe tanto che la proposta di trasformarlo in uno standard internazionale venne ripresentata nell’autunno del 1999 e la parte 1 della normativa Bs7799 divenne, alla fine del 2000, uno standard internazionale, con la sigla Iso17799.
Lo standard rappresenta un riferimento per la certificazione di un’azienda rispetto alla sua capacità di garantire la sicurezza del proprio patrimonio informativo o di quello di terzi a lei affidato. Attualmente, dunque, è di fatto suddiviso in due parti. La Iso/Iec 17799:2000 (parte 1) costituisce il codice di pratica standard e può essere considerata come un catalogo completo delle azioni di sicurezza corrette da compiere. La
seconda parte è costituita dal Bs7799-2:2002 (parte 2), che rappresenta una specifica standard per un Isms. Questa sezione dovrebbe essere sottoposta prossimamente all’Iso, affinché divenga anch’essa uno standard internazionale.
Due sezioni che formano una normativa completa
Addentrandoci maggiormente nello specifico, la prima parte dello standard è un riepilogo di funzioni di sicurezza di carattere organizzativo, logico e fisico necessarie per garantire la sicurezza dell’informazione in ambito industriale. La Iso17799 è organizzata in dieci sezioni principali, ognuna della quali affronta un argomento differente e propone un insieme di 127 controlli. Tra questi va individuato e selezionato, in base a un processo di analisi del rischio, il sottoinsieme che soddisfa le esigenze di protezione dell’azienda e che costituiscono una sorta di regolamento di sicurezza che l’organizzazione si impone di rispettare. Per effettuare i controlli è previsto l’uso di dispositivi hardware e di soluzioni software. Per l’ambito delle misure di sicurezza fisiche, i controlli vengono effettuati tramite dispositivi anti intrusione, telecamere e così via mentre, per i controlli di tipo procedurale, è prevista la creazione di apposite strutture, cariche aziendali e la definizione di precise procedure.
Nel tentativo di avvicinarsi ad altri standard gestionali quali l’Iso9001 per la qualità e l’Iso14001 per l’ambiente, la nuova versione della parte 2 del Bs7799 ha recepito lo stesso modello di Isms da esse utilizzato, denominato Plan-Do-Check-Act e indicato, di solito, con la sigla Pdca, impostato appunto sull’alternanza di queste quattro azioni. L’azione Plan è quella che sovrintende all’implementazione dell’Isms, Do lo implementa, Check è la fase in cui viene effettuato il monitoraggio e la revisione dell’Isms e Act è la fase di incremento e miglioramento dell’Isms.
