Sicurezza dei dati e delle informazioni (ISO 27001)

Sicurezza dei Dati e delle informazioni ISO IEC 27001:2005

La norma BS 7799-2:2002/ISO 27001:2005 specifica i requisiti per stabilire, implementare, documentare e valutare un Sistema di gestione della Sicurezza dell’Informazione (di seguito SGSI) in accordo con la norma ISO/IEC 17799 nel contesto dei rischi identificati per l’organizzazione.

La ISO/IEC 17799 “Information Technology – Security techniques – Code of practice for information security management” (che sostituisce la BS 7799:1), a supporto della BS 7799-2:2002/ISO 27001:2005, funge da linea guida per la gestione dei controlli e delle procedure per i sistemi di monitoraggio, prevenzione e ripristino dati. La norma ISO/IEC 17799 è destinata a divenire uno strumento essenziale per organizzazioni, aziende, imprese di qualsiasi tipo e dimensione, sia pubbliche che private.

L’impostazione dello standard BS 7799-2:2002/ISO/IEC 27001:2005, così come della ISO/IEC 17799:2005 (destinata a diventare ISO/IEC 27002), è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2008 e il risk management:

– Approccio per processi

– Politica della Sicurezza

– Identificazione ed analisi dei rischi

– Valutazione e trattamento dei rischi

– Riesame e rivalutazione dei rischi

– Modello PDCA

Utilizzo di procedure e di strumenti come: Audit interni, esterni di stage 1 e stage 2, non conformità, azioni correttive e preventive, sorveglianza, miglioramento continuo.

Per tale motivo, il sistema di gestione per la sicurezza delle informazioni è facilmente integrabile con i sistemi qualità (ISO 9001:2008), ambientali (ISO 14001:2004) ed etici (SA 8000) e consente una gestione globale dell’Organizzazione.

La norma BS 7799-2:2002/ISO/IEC 27001:2005 (e la sua linea guida ISO/IEC 17799) è applicabile ad un ampio ventaglio di imprese operanti nella gran parte dei settori commerciali e industriali: finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi etc. L’applicazione della norma da parte di un’impresa rappresenterà una garanzia per i clienti e i fornitori, i quali sapranno con certezza che il problema della sicurezza delle informazioni viene affrontato e gestito seriamente nell’ambito dell’impresa stessa.

L’Organizzazione dovrebbe valutare e gestire una serie di aspetti in funzione dei rischi e dei costi associati. L’oggetto della norma è l’informazione, sotto qualsiasi forma e supporto, per la quale devono essere garantiti:

– La riservatezza (deve essere accessibile solo al personale autorizzato);

– L’integrità (deve essere mantenuta completa ed integra quando è necessario utilizzarla);

– La disponibilità (deve essere fruibile al personale autorizzato quando necessario).

– Occorrerà quindi identificare i requisiti relativi alle informazioni gestite e valutarne i rischi associati in termini di:

– Conseguenze in caso di perdita delle informazioni o di inosservanza dei requisiti di riservatezza ad esse associati;

– Probabilità che ciò accada;

– Definire azioni da intraprendere commisurate ai rischi;

– Revisione periodica della valutazione del rischio.

Tutto ciò riveste un’importanza fondamentale o secondaria in funzione delle informazioni trattate dall’Organizzazione e dai supporti ove tali informazioni sono conservate.

Si passa quindi dalle sole informazioni riservate relative al personale dipendente (i cosiddetti dati sensibili delle normative sulla privacy D.lgs 196/2003) gestite dalle società, alla gestione di informazioni strettamente riservate nell’ambito delle attività aziendali, come avviene per banche, studi di commercialisti, avvocati, società che gestiscono sistemi informativi o documenti di carattere legale o fiscale per conto terzi, ecc..

A partire da questi presupposti l’Organizzazione deve stabilire una politica per la sicurezza delle informazioni che guiderà tutte le attività di gestione delle informazioni.

Questo Sistema di Gestione della Sicurezza delle Informazioni, rappresenta un ottimo punto di partenza per quelle Organizzazioni che necessitano di dotarsi di tale strumento per la criticità delle informazioni e dei dati gestiti, senza per questo indicare nel dettaglio le soluzioni da adottare di caso in caso.

Il valore aggiunto di questa normativa è proprio nell’invito a considerare tutti gli aspetti legati alla sicurezza delle informazioni, anche quelli che la maggior parte delle Organizzazioni non hanno mai valutato, ma che se si verificassero (ed a volte si verificano) potrebbero creare notevoli danni all’Organizzazione stessa, economici, legali e di immagine sul mercato.

La ISO/IEC 27001 (ex BS 7799) identifica 10 controlli:

– Politica di sicurezza: fornisce l’orientamento della gestione e il supporto per la sicurezza delle informazioni

– Organizzazione del patrimonio informativo e delle risorse: per aiutarvi a gestire la sicurezza delle informazioni nell’organizzazione

– Classificazione e controllo del patrimonio informativo per aiutarvi a identificare il vostro patrimonio informativo e proteggerlo adeguatamente

– Sicurezza del personale: per ridurre il rischio di errore umano, furto, frode o uso improprio delle strutture

– Sicurezza fisica e ambientale: per prevenire l’accesso non autorizzato, il danneggiamento e le interferenze relativamente ai locali e alle informazioni dell’azienda

– Gestione delle comunicazioni e delle operazioni: per assicurare l’utilizzo corretto e sicuro delle strutture di elaborazione delle informazioni

– Controllo dell’accesso: per controllare l’accesso alle informazioni

– Sviluppo e mantenimento del sistema: per assicurare che la sicurezza sia incorporata nei sistemi informativi

– Gestione della continuità aziendale: per contrastare le interruzioni delle attività aziendali e per proteggere le procedure critiche dell’azienda dagli effetti di guasti molto gravi o calamità

– Conformità: per evitare violazioni delle leggi penali e civili, degli obblighi di legge, normativi o contrattuali e di qualsiasi requisito relativo alla sicurezza

SISTEMA DI GESTIONE DEI DATI E DELLE INFORMAZIONI (ISMS)

L’informazione rappresenta un bene che conferisce un importante valore aggiunto all’azienda, la cui gestione diventa strategica per la tutela e lo sviluppo aziendale.

La sicurezza è un fattore strutturale la cui efficienza si ripercuote su tutta l’organizzazione, è quindi fondamentale gestire in sicurezza l’intero sistema delle informazioni, salvaguardandone la riservatezza, l’integrità e la disponibilità per non incorrere in una perdita di competitività.

La violazione dei sistemi di sicurezza, crimini e attacchi informatici sono in continuo aumento, pertanto, le aziende hanno un costante bisogno di un sistema che tuteli la sicurezza delle informazioni presenti in essa.

Le norme della famiglia delle Iso 27000 hanno l’obiettivo di organizzare, tutelare e proteggere tutto il sistema della Sicurezza delle informazioni: gestione dei rischi, l’efficacia dei sistemi di sicurezza e le metodologie di attuazione. Grazie ad un Sistema certificabile a norma ISO2701:05 l’azienda adotterà standard di sicurezza che permettono di effettuare un’attenta valutazione dei rischi legati al business e di evidenzare le possibili aree di miglioramento.

La ISO 27001:05 implica che tutta la gestione del sistema segua le norme in materia di sicurezza nei trattamenti delle informazioni e permette di organizzare un Sistema organico che garantisca, attraverso un controllo costante ed attento, i beni ed i dati presenti in azienda. I principi espressi nel draft della Iso 27004, sulle modalità di calcolo degli indici di valutazione dell’efficacia dell’ISMS, e della Iso 27005, sulle caratteristiche che una metodologia di risk analysis and management completano il quadro normativo e garantiscono l’efficacia del processo di certificazione.

Vantaggi nell’adozione di un ISMS

Un Sistema di Gestione dei Dati e delle Informazioni permette di salvaguardare tutti i beni aziendali contenti dati di natura industriale (progetti, brevetti etc.) e di natura personale (privacy) contro ogni tentativo di danneggiamento, soppressione, furto, nonché di valutare e prevenire ogni fattore di rischio all’integrità degli stessi.

La norma prevede l’attuazione di tutti i controlli previsti nella seconda parte della BS 7799:02, al fine di permettere un costante monitoraggio dei livelli di sicurezza e garantire tutti gli stakeholders.

La certificazione di tale sistema, da parte di Enti di Certificazione accreditati, garantisce clienti e fornitori circa i dati, le informazioni ed i beni eventualmente forniti e garantisce fiducia e credibilità all’azienda che si certifica.

L’utilizzo di procedure codificate consente inoltre di incrementare notevolmente la sicurezza del sistema e nel tempo una riduzione dei costi di gestione.

Oggetto della Consulenza

Gli steps che l’azienda deve seguire per certificarsi Iso 27001:05 sono i seguenti:

– Programmazione attività;

– Verifica idoneità dei locali;

– Analisi Aziendale finalizzata all’identificazione dei dati e degli asset aziendali;

– Analisi delle modalità di Conservazione dei Dati;

– Controllo della pertinenza dei dati trattati rispetto alle finalità di raccolta (art. 11 Dlgs. 196/2003);

– Valutazione delle Misure di Sicurezza Minime da applicare ai sensi ex art. 19 Dlgs. 196/2003 e all. B;

– Assistenza nell’elaborazione delle formule per il Consenso Informato e per l’informativa sul trattamento dati;

– Redazione del DPS (Documento Programmatico della Sicurezza);

– Formazione agli incaricati del trattamento dati;

– Gestione, in un unico contesto organizzativo e con adeguate procedure, di dati e informazioni, (riferimento schema Sistema di – Gestione Aziendale ISO 9001:2008) vedi attività ISO 9001

– Assistenza nella redazione della Politica delle Security;

– Assistenza nella Organizzazione della Security;

– Classificazione e controllo degli “asset” aziendali;

– Assistenza nelle attività di Riesame del Sistema;

– Assistenza nella Redazione della Documentazione di Sistema (Manuale, Procedure, Istruzioni operative, Documenti di Registrazione, Modulistica di Supporto)

– Assistenza nella redazione di Procedure per la Security del personale;

– Assistenza nella redazione di Procedure per la Sicurezza fisica ed ambientale;

– Assistenza nella redazione di Procedure per la Gestione dell’hardware e della rete;

– Assistenza nella redazione di Procedure per la Controllo dell’accesso al Sistema;

– Assistenza nella redazione di Procedure per la Manutenzione e sviluppo del Sistema dati;

– Assistenza nella redazione di Procedure per la Continuità del Business e dei Piani di Recupero dei Dati a fronte di Emergenze

– Assistenza nell’attuazione dei controlli di cui alla BS 7799:02 seconda parte

– Verifiche Ispettive Interne

– Certificazione del Sistema Aziendale