Alla base di un sistema informativo ci sono i dati che, opportunamente aggregati, identificano delle vere e proprie informazioni indispensabili per il business delle aziende. E proprio su questo punto, le informazioni, che è necessario soffermarsi in q …
Alla
base di un sistema informativo ci sono i dati che, opportunamente aggregati, identificano
delle vere e proprie informazioni indispensabili per il business delle aziende.
E proprio su questo punto, le informazioni, che è necessario soffermarsi
in quanto rappresentano dei veri e propri “asset” da proteggere.
Molti associano la sicurezza IT alla sola tecnologia (es. antivirus, firewall),
quando nella realtà rappresenta l’insieme delle misure tecnologiche,
organizzative, procedurali e legali, che consentono ad un’entità
organizzativa di ridurre i rischi e poter quindi rispondere alle esigenze di
business.
Un approccio corretto sul come affrontare la sicurezza è quello di
partire con una dichiarazione da parte dell’azienda dell’importanza
e della motivazione verso questo argomento, le cosiddette “Politiche di
alto livello” che costituiscono l’insieme dei principi per l’orientamento
delle misure di sicurezza. Fatto questo possiamo individuare cosa deve essere
fatto per realizzare un sistema di sicurezza. Non parleremo quindi di regole
del firewall o dell’antivirus ma di macro aggregati.
Definire le politiche di alto livello e sottoporle all’approvazione
della Direzione. Le politiche di alto livello contengono elementi quali:
l’ambito di applicabilità delle stesse (es. secondo lo standard
BS7799), la dichiarazione di intenti della direzione, la descrizione dei principi
generali e dei requisiti di sicurezza, la definizione dei ruoli e delle responsabilità,
i criteri per l’analisi e la gestione dei rischi, le indicazioni generali
per la gestione degli incidenti e dei disastri, i riferimenti alla documentazione
di supporto (politiche funzionali, standard, linee guida, procedure, formazione
del personale etc.), i riferimenti alle normative applicabili al contesto, le
sanzioni in caso di violazione delle politiche.
Prevedere un’attenta analisi e gestione dei rischi.
L’analisi dei rischi è un processo indispensabile per la realizzazione
di un sistema di sicurezza. Ogni programma di gestione del rischio deve prevedere
un’attenta valutazione delle vulnerabilità e delle minacce al fine
di definire le misure appropriate a ridurre gli effetti stessi dei rischi ad
un livello ritenuto accettabile per l’azienda.
L’analisi del rischio rappresenta proprio il punto di partenza del processo
di realizzazione di un sistema di gestione della sicurezza. Volendo usare un
approccio semplicistico per descrivere l’analisi del rischio, basterebbe
rispondere alle seguenti domande: Cosa può succedere? Come, dove e quando?
Perché? Con quale danno? Quanto siamo disposti a rischiare?
Definire il piano della sicurezza. Definire cioè l’insieme
delle attività per il raggiungimento degli obiettivi della politica di
alto livello, corredato di tempi, costi e risorse. Il piano della sicurezza
è il documento nel quale vengono individuate le attività con cui
si intende raggiungere gli obiettivi preposti.
Assegnare i ruoli e le responsabilità in linea con il piano.
L’organizzazione rappresenta uno dei principali motivi di successo o insuccesso
di una qualsiasi attività. Di conseguenza, per conseguire gli obiettivi
di sicurezza prefissati è assolutamente necessario che vengano definiti
e attribuiti in modo chiaro e preciso i ruoli e le responsabilità in
funzione di determinati parametri, quali la dimensione aziendale, la natura
del business e la collocazione geografica.
Esaminare ed approvare le politiche funzionali di sicurezza
( in particolare quelle relative alle metodologie a supporto della sicurezza
delle informazioni). Le politiche funzionali costituiscono l’insieme di
regole atte a definire il comportamento di persone, risorse, enti a loro volta
coinvolti nella gestione del sistema informativo dell’azienda. Vengono
aggregate secondo l’argomento trattato e raccolte in documenti. Tra le
politiche di alto livello e quelle funzionali si inserisce tutta la parte di
analisi e gestione del rischio descritta precedentemente. Ecco alcune delle
principali politiche funzionali di sicurezza che un’azienda dovrebbe considerare:
- politiche di controllo accessi: Identificazione, autenticazione e autorizzazione
- politiche di gestione utenti
- politiche di analisi e gestione dei rischi
- politiche di salvataggio e ripristino dei dati
- politiche per l’uso della posta elettronica
Implementare e mantenere le soluzioni di sicurezza necessarie.
Oggi per la sicurezza delle informazioni è indispensabile adottare le
tecnologie informatiche. Gli strumenti per la sicurezza informatica non si devono
però fermare all’antivirus, al firewall o al backup. Oltre a questi
si rendono sempre più necessarie tecnologie per ottimizzare la gestione
delle identità e degli accessi, per gestire i log ecc. che possono davvero
irrobustire il sistema di protezione ed aumentare la produttività, giustificando
l’investimento.
Tenere sotto controllo le modifiche significative relative all’esposizione
delle informazioni verso le principali minacce. L’Information Technology
è in continua evoluzione e soggetto a mutamenti che possono portare gli
asset aziendali (le informazioni) a nuovi rischi. L’analisi del rischio
non può quindi essere un processo “una tantum” ma deve essere
riproposta con cadenza adeguata.
Promuovere e diffondere la cultura della sicurezza, assicurando la
diffusione e la consapevolezza delle politiche. Nonostante i passi
fatti in questi ultimi anni la consapevolezza verso la sicurezza è ancora
ad un livello generale insoddisfacente. La tecnologia è necessaria, anzi
indispensabile ma non bisogna dimenticare che una cattiva cultura verso la sicurezza
può comunque portare gravi danni ad un’azienda anche in presenza
di valide soluzioni di sicurezza.
Esaminare e controllare gli incidenti di sicurezza delle informazioni.
La gestione degli incidenti, affermatasi in questi ultimi anni, svolge un compito
importante per la sicurezza poiché i sistemi informativi, anche se provvisti
dei più avanzati strumenti di protezione, possono comunque subire attacchi
(es. il phishing). Nel caso ciò avvenga, la pronta reazione e la conservazione
corretta delle prove e dei materiali acquisiti è vitale sia per il business
sia per gli aspetti legali. L’importanza di rispondere in maniera efficace
ad un incidente è motivata da esigenze del tipo: evitare danni diretti
alle persone, contenere i danni economici, limitare i danni all’immagine dell’azienda,
proteggere le informazioni classificate come sensibili o proprietarie.
Rispondere delle violazioni alla sicurezza che impattano sui
beni aziendali sia alla Direzione sia ai proprietari degli asset.
Quando avviene una violazione alla sicurezza non è buona consuetudine
cercare di nascondere il fatto: le conseguenze potrebbero essere ancora più
gravi.
Non sottovalutare il piano di Business Continuity. Quando meno
te lo aspetti può succedere quello che nessuno vorrebbe accadesse! Il
Business Continuity Plan (BCP) ha l’obiettivo di minimizzare gli effetti
negativi di un evento distruttivo che ha colpito l’azienda. Calamità
naturali, azioni distruttive create dall’uomo, astensioni dal lavoro del
personale IT o gravi malfunzionamenti del sistema informatico sono esempi di
disastri. Un BCP comporta l’individuazione delle condizioni che determinano
lo stato d’emergenza e la pianificazione di tutte le attività (prima,
durante e dopo il disastro) necessarie per gestire la situazione di crisi e
cercare di ripristinarla in tempi adeguati, al fine di ridurre le perdite dei
dati, di produttività ed economiche. Va sottolineato che la responsabilità
di tutto questo è a carico della direzione aziendale che deve non solo
salvaguardare il patrimonio ma anche garantire la sopravvivenza stessa dell’azienda
(i disastri sono eventi caratterizzati da una potenzialità tale da rendere
inutilizzabile parte o l’intero sistema informatico. Pensiamo all’alluvione
nel nord ovest dell’Italia che nel 2000 ha causato danni ingenti sia alle
infrastrutture informatiche di molte aziende sia a privati cittadini.)
Una buona guida per aiutare le aziende a stabilire come realizzare un adeguato
sistema di gestione della sicurezza è lo standard BS7799 oggi ISO 27001!
