ISO/IEC 27000: forma e contenuti

Strutturalmente la ISO/IEC 27000:2013 è costituita da quattro capitoli:

1. Scope

2. Terms and definitions

3. Information security management systems 4. ISMS family of standard

31 Relativamente allo scopo dello standard internazionale ISO/IEC 27000, è quello di definire una panoramica generale sui sistemi di gestione della sicurezza delle informazioni, nonché di termini e definizioni comunemente utilizzati nella famiglia degli standard ISMS (Information security management system), per l’appunto citati e descritti nel capitolo due della suddetta norma.

Il terzo capitolo della ISO/IEC 27000 è così suddiviso:

1.5 Introduction 1.6 What i san ISMS? 1.7 Process approach

1.8 Why an ISMS is important

1.9 Establishing, monitoring, maintaining and improving an ISMS 1.10 ISMS critical success factors

1.11 Benefits of the ISMS family of standards

L’information security management system viene definito22_{, come da testo, come}

un insieme di politiche, procedure, linee guida, risorse ed attività, collettivamente gestite da un’organizzazione nel perseguimento di proteggere i propri asset informativi. È un approccio sistematico per stabilire, attuare, monitorare e migliorare la sicurezza delle informazioni di un’azienda per raggiungere i propri obiettivi. Al fine di permettere quanto appena detto, l’ISMS si basa su un’attenta valutazione ed accettazione del rischio, entro il livello di risk appetite definito dalla governance aziendale, in modo da trattare e gestire gli stessi efficacemente.

22_{http://c.ymcdn.com/sites/www.casro.org/resource/resmgr/Code/c063411_ISO_IEC_27000_2014.}

32 Ancora la norma definisce i principi che contribuiscono al successo dell’ISMS:

a. Consapevolezza organizzativa sull’importanza della sicurezza delle informazioni

b. Assegnazione delle diverse responsabilità all’interno dell’organizzazione per la sicurezza delle informazioni

c. Impegno dell’alta direzione e degli stakeholders aziendali sulla sua implementazione

d. L’ISMS permette di potenziare i valori aziendali

e. Valutazione dei rischi che determinano controlli appropriati al fine di rientrare all’interno di una soglia definita accettabile

f. Incorporazione della sicurezza come un elemento essenziale delle reti e dei sistemi informativi

g. Prevenzione attiva e la rilevazione di incidenti di sicurezza delle informazioni

h. Garantire un approccio globale alla gestione della sicurezza delle informazioni

i. Continua rivalutazione della sistema di sicurezza delle informazioni applicando le opportune modifiche a seconda dei casi

È importante per un’organizzazione implementare un sistema di sicurezza delle informazioni perché grazie ad esso sarà in grado di affrontare i rischi connessi alle risorse informative aziendali. Infatti, le minacce alla sicurezza informativa provengono da una vasta gamma di fonti, come ad esempio frode assistita da computer, lo spionaggio, il sabotaggio, virus, pirateria informatica e, i sempre più

33 diffusi e sofisticati, attacchi DoS. La ISO/IEC 27000, ribadisce in questo paragrafo l’enorme importanza dell’adozione di un ISMS, sia per il settore privato che pubblico; un sistema a supporto dell’e-business23 _{essenziale per le attività di}

gestione del rischio. Pertanto, l’adozione di un ISMS in azienda è importante perché garantisce la sicurezza informativa mediante processi e procedure ben definite in grado di limitare i rischi connessi ad una perdita o danneggiamento dell’informazione stessa, e permettendo all’organizzazione di:

a. Ottenere una maggiore garanzia che le risorse informative siano adeguatamente protette contro le minacce su base continua

b. Mantenere un quadro strutturato e globale per identificare e valutare i rischi che incombono sulla sicurezza delle informazioni, così da adottare gli adeguati controlli e migliorarne la loro efficacia

c. Migliorare continuamente l’ambiente di controllo

d. Realizzare in modo efficace la conformità legale e normativa

Con riferimento ai fattori critici di successo di un ISM, così come enunciato nel capitolo tre della norma al punto sei, per consentire all’organizzazione di soddisfare i propri obiettivi di business, questi sono:

a. Allineamento degli obiettivi della policy sulla sicurezza delle informazioni con le attività e gli obiettivi di fondo aziendali

23 _{E-business: è un termine inglese (contrazione di electronic business, in italiano imprenditoria}

elettronica) che si riferisce genericamente a tutte le attività di interesse economico che possono svolgersi attraverso Internet e altre reti telematiche.

34 b. Un approccio e un quadro per la progettazione, l’attuazione, il monitoraggio, il mantenimento e il miglioramento dell’ISMS in linea con la cultura organizzativa

c. Sostegno e impegno da parte di tutta l’organizzazione a qualsiasi livello di gestione ed in particolar modo del top management

d. Comprensione dei requisiti di protezione dei dati attraverso l’applicazione dell’information security risk management (ISO/IEC 27005)

e. Efficace sensibilizzazione alla sicurezza delle informazioni da parte dei dipendenti, i quali devono essere informati dei loro obblighi, contenuti nella policy della sicurezza delle informazioni e nelle norme, mativandoli ad agire di conseguenza

f. Efficace processo di gestione degli incidenti rilevati in materia di sicurezza delle informazioni

g. Approccio mirato alla continuità dell’attività operativa aziendale

h. Utilizzo di un sistema di misurazione per la valutazione delle prestazioni ottenute grazie all’implementazione dell’ISMS, nonché di suggerimenti a ex-post per il miglioramento dello stesso.

L’efficace implementazione di un ISMS, nel rispetto dei fattori critici di successo sopra enunciati, permetterà all’organizzazione di raggiungere i propri obiettivi preservando e proteggendo i propri asset informativi come stabilito.

Il quarto capitolo della ISO/IEC 27000 fornisce, invece, informazioni di carattere generali sugli standard internazionali appartenenti alla famiglia della ISO/IEC 27000 (ISMS family of standars), collegate tra di loro in modo da fornire il

35 processo per l’implementazione di un efficace sistema di gestione sulla sicurezza delle informazioni. I paragrafi successivi saranno dedicati, per l'appunto, ad alcune di queste norme internazionali, ponendo l’attenzione principale alla ISO/IEC 27005:2011, relativa all’information security risk management, nella quale si può apprezzare lo stretto legame tra rischio e sicurezza, e quindi l’importanza dell’adozione di un information security management system per lo svolgimento dell’attività di risk management: identificazione, valutazione e risposta al rischio.