GOVERNANCE E RISK MANAGEMENT

La gestione del patrimonio informativo ha assunto negli ultimi anni una rilevanza “strategi-ca” sia per le pubbliche amministrazioni, sia per le imprese, imponendo un continuo impe-gno finalizzato a misurare, controllare e migliorare le informazioni gestite nonché i servizi offerti a cittadini ed imprese.

La sicurezza del patrimonio informativo rappresenta, conseguentemente, un elemento essenziale nell’organizzazione e gestione del sistema informativo, sia all’interno, sia in relazione ai servizi resi ai cittadini ed alle imprese.

L’elevato livello di criticità e sensibilità delle informazioni detenute dalle organizzazioni nonché i rischi associati impongono un approccio organico e sistemico alla gestione della sicurezza delle informazioni, tale da coinvolgere tutte le funzioni aziendali, ciascuna nell’ambito delle proprie competenze e responsabilità.

I temi della sicurezza e privacy interessano, in particolare, tutti coloro che, a vari livelli, sono preposti alla direzione di strutture che hanno responsabilità connesse sia con l’eroga-zione di servizi allo sportello, sia con l’erogal’eroga-zione di servizi in rete.

Occorre sottolineare che la sicurezza delle informazioni non è riconducibile solo all’adozio-ne di fattori tecnici e tecnologici, ma richiede anche l’adozioall’adozio-ne di opportuni comportamenti organizzativi e procedurali.

Nel caso di organizzazioni molto complesse e di grandi dimensioni, è auspicabile affrontare il problema della sicurezza delle informazioni in un’ottica complessiva, che consideri nel contempo gli aspetti legati alla sicurezza organizzativa, alla sicurezza logi-ca (dati, sistemi, reti, applilogi-cazioni) e alla sicurezza fisilogi-ca (infrastrutture, accessi fisici, videosorveglianza).

Come previsto, peraltro, dalla Direttiva del Presidente del Consiglio dei Ministri del 16/1/2002 e come suggerito dal Garante per la protezione dei dati personali, ciascuna ammi-nistrazione o organizzazione complessa dovrebbe adottare un approccio globale alla sicurez-za delle informazioni, attraverso la costituzione di un organismo interno di coordinamento e governance dedicato ai temi della sicurezza e privacy con compiti di indirizzo, pianificazio-ne, controllo, gestione e supporto, nonché una rete di ruoli e responsabilità specifiche.

2 Fonte Garante per la protezione dei dati personali.

Tale organismo costituirebbe il punto di riferimento per responsabili e referenti dell’orga-nizzazione per:

• allineare le strategie di sicurezza delle informazioni rispetto agli obiettivi di business;

• assegnare le corrette responsabilità (definizione modello organizzativo, ruoli e respon-sabilità);

• organizzare e gestire le attività di analisi e valutazione dei rischi sulle informazioni;

• definire ed emanare in conformità alla normativa vigente direttive, politiche e regole nei vari ambiti di intervento;

• predisporre iter - e relativa documentazione - comuni per la risoluzione di problematiche inerenti la sicurezza e la riservatezza dei dati;

• assicurare la conformità alle normative vigenti e aziendali tramite controlli interni;

• revisionare periodicamente il sistema di sicurezza e privacy, ai fini del miglioramento continuo;

• gestire i rapporti con il Garante per la protezione dei dati personali;

• definire piani strategici;

• redigere il Documento Programmatico sulla Sicurezza.

Come sottolineato in precedenza, la sicurezza delle informazioni oggi ha assunto una rile-vanza “strategica” all’interno dell’organizzazione e, come per tutte le decisioni strategiche, essa compete al business. <Gli aspetti tecnologici3 sono tutt’altro che trascurabili, ma comunque devono essere posti in secondo piano rispetto al bisogno di soddisfare le esigen-ze di business, che partono dalla gestione del rischio in maniera efficace ed efficiente, al fine di aumentare il valore dell’impresa>. L’analisi del rischio è focalizzata sulle circostan-ze possibili o probabili che possono causare il verificarsi di rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

Figura 1 - Information Security Governance.

Per ottenere la conformità a leggi e regolamenti (compliance) e, anche, un supporto per l’innovazione (sia organizzativa che tecnologica), occorre adottare un processo di gover-nance e risk management.

Inoltre, per ottenere maggiori vantaggi sarebbe opportuno che la sicurezza sia progettata sin dall’inizio in tutti i processi aziendali e, in particolare, nello sviluppo di software e servizi.

Per il governo della sicurezza delle informazioni all’interno di un’organizzazione comples-sa si può adottare, ad esempio, il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) o Information Security Management System (ISMS) conforme allo standard interna-zionale di sicurezza ISO/IEC 27001:2006.

Lo standard sopra citato rappresenta la parte del sistema manageriale che, in conformità a un approccio sistematico basato sull’analisi e valutazione dei rischi (Risk Assessment) e sul loro trattamento (Risk Treatment), stabilisce, realizza, attua, controlla, rivede, riadatta e migliora la sicurezza delle informazioni gestite.

La progettazione e realizzazione del Risk Assessment e del Risk Treatment sono parte inte-grante dello standard internazionale sopra citato.

Il Risk Assessment è il processo che consente di identificare i rischi per l’organizzazione (risk analysis), determinandone la probabilità di accadimento, l’impatto conseguente (risk evaluation) e le possibili salvaguardie da introdurre per mitigare questo impatto (interventi atti a ridurre il rischio residuo).

Il Risk Treatment è il processo che porta a determinare, sulla base dei risultati del Risk Assessment, se i rischi individuati debbano essere:

• evitati (avoidance): evitare il rischio eliminando causa e/o conseguenze della minaccia/vulnerabilità (es. eliminare funzioni o parti del sistema);

• trasferiti (transfer): trasferire il rischio a terze parti (es. assicurazioni, outsourcing);

• ridotti (reduction): limitare il rischio implementando controlli aggiuntivi che riducono/eliminano la vulnerabilità e/o l’impatto;

• accettati (retention): accettare il rischio potenziale e le sue conseguenze.

Le valutazioni effettuate dal management dell’organizzazione devono essere plausibili e condivisibili in funzione della probabilità di verificarsi del rischio e delle conseguenze che tale evento può comportare per l’organizzazione e i suoi clienti.

Per valutare correttamente i rischi esistenti sulle informazioni è indispensabile fare un cen-simento degli asset aziendali coinvolti nella gestione delle informazioni (hardware, softwa-re, risorse umane e dati gestiti dall’organizzazione).

Per ognuno di essi possono essere individuate le relative minacce alla sicurezza e le vul-nerabilità riscontrate. Conseguentemente, occorre valutare l’impatto di ogni minaccia (in termini di riservatezza, integrità e disponibilità) e stimare la probabilità che l’evento si verifichi.

Con tale metodo il management dell’organizzazione può valutare correttamente tutti i rischi, anche dal punto di vista economico. Con la consapevolezza che tali rischi non posso-no essere sempre eliminati totalmente è, quindi, possibile adottare le misure di sicurezza più idonee in termini di rapporto costo/benefici per gestire i rischi individuati.

4. SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI