SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) s’inserisce nel contesto

della protezione delle informazioni attraverso una vera e propria disciplina che promuove la definizione e la condivisione della cultura della sicurezza, che deve essere recepita e appli-cata stabilmente da tutta l’organizzazione.

Come evidenziato nel precedente paragrafo, il SGSI delineato dallo standard internazionale ISO 27001 ha l’obiettivo di prevenire tutti i rischi dell’impresa legati alla sicurezza delle informazioni, anche attraverso l’implementazione di una serie di controlli indicati dalla norma.

Lo scopo della norma - mantenimento delle proprietà di riservatezza, integrità e disponibi-lità dell’informazione - è perseguito adottando gli obiettivi di controllo e i relativi controlli previsti dalla norma stessa.

Pertanto, l’implementazione del SGSI permette alle aziende di identificare le aree di mag-giore criticità e di impostare dei controlli specifici e adeguati alle necessità, al fine di pro-teggere i dati.

L’attuazione del SGSI porta alla definizione nell’organizzazione di ruoli, responsabilità e regole specifiche della sicurezza, di attività di pianificazione e realizzazione di politiche e procedure e alla verifica dei processi attuati secondo quanto previsto dallo standard interna-zionale.

Rilevanti sono, in particolare, l’adozione di misure organizzative (analisi dei rischi, identifi-cazione delle vulnerabilità e delle criticità, individuazione delle contromisure, progettazione e implementazione delle soluzioni, emanazione di politiche aziendali, monitoraggio dei comportamenti) che rendano efficaci gli interventi tecnici, la formazione e la sensibilizza-zione del personale in merito ai problemi della sicurezza.

Figura 2 - Information Security Risk Management.

Un SGSI efficace è, pertanto, quello che integra gli aspetti organizzativi, comportamentali, tecnici e tecnologici (di sicurezza informatica) finalizzati alla salvaguardia delle informa-zioni.

Seguendo un approccio strutturato e integrato, occorre analizzare a 360° tutti gli aspetti legati alla sicurezza (sicurezza organizzativa, logica e fisica), indagare su tutti gli elementi che possono, in qualche modo, compromettere la sicurezza delle informazioni, definendo procedure, processi e disegnare soluzioni in linea con le esigenze dell’organizzazione.

È da tenere presente che un sistema informatico “sicuro” dal punto di vista delle vulnerabi-lità potrebbe, comunque, non essere sufficiente a garantire la sicurezza delle informazioni se non supportato da una strategia organizzativa e da regole comportamentali ben progettate e fatte rispettare.

Un SGSI conforme alla norma ISO 27001 offre molte garanzie al management ed ai clienti dell’organizzazione, anche se ciò non può costituire garanzia di sicurezza assoluta e di invulnerabilità a fronte di attacchi non previsti.

Un buon SGSI deve identificare e valutare, nell’ambito preso in esame, tutte le vulnerabilità oggetto di “attacco” da parte di minacce e porre in essere adeguate contromisure a tali minacce, quando ritenuto necessario ed efficiente: un rischio identificato e valutato può essere controllato in modo tale da non arrecare danni eccessivi all’organizzazione, mentre un rischio non identificato in sede di analisi, che dovesse verificarsi ed essere d’impatto significativo, costituirebbe una grave mancanza del SGSI.

L’ambito di applicazione di un SGSI, in ogni caso, può essere opportunamente circoscritto a un’area fisica e logica (in senso informatico) in modo tale da evitare minacce, esterne all’ambito considerato, che possano incidere sulle vulnerabilità degli asset d’interesse.

In sintesi, con il SGSI si perseguono i seguenti obiettivi:

• garantire la gestione della sicurezza, in linea con le aspettative delle parti interessate, con gli obiettivi aziendali e con gli standard internazionali;

• normalizzare per tutta l’azienda l’approccio alla gestione della sicurezza, ottimizzando e coordinando le risorse disponibili;

• creare un’organizzazione della sicurezza condivisa, documentata, organica, efficiente e capillare;

• consentire un miglioramento continuo del sistema della sicurezza;

• fornire una metodologia, politiche e procedure per il sistema di gestione.

In particolare, per raggiungere gli obiettivi enunciati occorre:

• sensibilizzare e formare il personale sulle problematiche di sicurezza;

• definire chiaramente ruoli e responsabilità all’interno dell’organizzazione;

• uniformare e chiarire la gestione delle informazioni nei diversi ambiti;

• individuare le “aree di criticità” attraverso l’analisi dei rischi;

• evidenziare i punti di maggior criticità in termini di sicurezza all’interno dell’organizza-zione;

• provvedere all’identificazione, valutazione e gestione dei rischi dell’organizzazione, for-malizzando al tempo stesso i processi, le procedure e la documentazione concernente la sicurezza delle informazioni;

• creare coscienza nell’organizzazione circa il livello di esposizione al rischio delle pro-prie informazioni;

• identificare gli interventi atti a ridurre il rischio residuo;

• garantire che il “patrimonio di conoscenze” sia “conservato” all’interno di un sistema di gestione strutturato;

• valutare periodicamente le criticità tramite il monitoraggio degli interventi attuati.

I vantaggi per l’organizzazione che decide di realizzare un SGSI conforme a ISO 27001 sono notevoli, prevalentemente legati a:

• crescita della fiducia dei cittadini verso i servizi offerti dalla Pubblica Amministrazione;

• miglioramento dell’immagine dell’organizzazione e valorizzazione del suo patrimonio informativo;

• riduzione dei rischi (penali, civili, ecc.) di mancanza di conformità alle norme ed ai rego-lamenti vigenti;

• incremento delle garanzie alla protezione contro frodi e crimini informatici provenienti dall’esterno e dall’interno dell’organizzazione;

• ottimizzazione delle relazioni con le altre organizzazioni.

5. CONCLUSIONI

Giacché l’informazione è un bene che aggiunge valore all’impresa e che, ormai, la maggior parte delle informazioni sono custodite su supporti informatici, in un contesto ove i rischi causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento, ciascuna orga-nizzazione e, in particolare, la Pubblica Amministrazione, deve essere in grado di garantire la sicurezza dei propri dati.

Peraltro, tanti sono i settori nei quali la sicurezza delle informazioni e la protezione dei dati è un requisito fondamentale per il business, come, ad esempio, sanità, assicurazioni, ban-che, telecomunicazioni, fornitori di servizi informatici e di servizi legati all’e-commerce, società di consulenza finanziaria, legale e tributaria, società di revisione.

Per le organizzazioni operanti in tali settori è essenziale l’adozione di un SGSI conforme allo standard ISO 27001, il cui governo dovrebbe essere affidato, ad esempio, ad un apposi-to Comitaapposi-to che si avvalga, operativamente, di una specifica segreteria tecnica.

Infatti, per garantire nel tempo la conformità alle normative vigenti, ciascuna amministrazione o organizzazione complessa dovrebbe affrontare il problema della sicurezza delle informazio-ni in un’ottica complessiva, mediante la costituzione di un apposito organo di coordinamento e supporto (Comitato), ciò al fine di consentire un approccio globale alla materia, di omoge-neizzarne a livello nazionale l’applicazione e di poter fronteggiare situazioni di criticità, ivi comprese, ad esempio, eventuali ispezioni del Garante per la protezione dei dati personali.

RIASSUNTO

L’informazione è un “bene primario” dell’odierna Società dell’informazione, di proprietà dei cittadini, dei clienti e dei fornitori; essa rappresenta il know-how aziendale, è parte inte-grante del core-business ed aggiunge “valore” all’impresa. Anche i dati personali sono

“informazioni” che costituiscono “la nostra identità di uomini e cittadini”.

La gestione del patrimonio informativo ha assunto negli ultimi anni una rilevanza

“strategi-ca” sia per le pubbliche amministrazioni, sia per le imprese, imponendo un continuo impe-gno finalizzato a misurare, controllare e migliorare le informazioni gestite nonché i servizi offerti a cittadini ed imprese.

La rapida crescita delle reti, l’uso di internet e delle nuove tecnologie, in primis la mobility e la business collaboration, hanno imposto a livello mondiale una rigorosa attenzione agli aspetti legati alla sicurezza delle informazioni, che ha assunto, negli ultimi tempi, un’importanza vitale.

Nel caso di organizzazioni molto complesse e di grandi dimensioni occorre affrontare il pro-blema della sicurezza delle informazioni in un’ottica complessiva, che consideri nel contempo gli aspetti legati alla sicurezza organizzativa, alla sicurezza informatica e a quella fisica.

Ciascuna amministrazione o organizzazione complessa dovrebbe adottare un approccio glo-bale alla sicurezza delle informazioni, attraverso la costituzione di un organismo interno di coordinamento e governance (Comitato) con compiti di indirizzo, pianificazione, controllo, gestione e supporto, nonché una rete di ruoli e responsabilità specifiche.

Per soddisfare le esigenze del business occorre gestire il rischio in modo efficace ed efficien-te. L’analisi del rischio evidenzia le circostanze possibili o probabili che possono causare il verificarsi di rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

Adottando un processo di governance e risk management, oltre a mantenere nel tempo le conformità a leggi e regolamenti, si ottiene anche un supporto per l’innovazione (sia orga-nizzativa che tecnologica).

Per ottenere maggiori vantaggi, inoltre, occorre che la sicurezza sia progettata sin dall’ini-zio in tutti i processi aziendali e, in particolare, nella realizzadall’ini-zione di software e servizi.

Per garantire la protezione del patrimonio informativo aziendale e dei propri clienti e assi-curare il rispetto delle norme vigenti in materia di tutela della riservatezza, integrità e dispo-nibilità delle informazioni, ciascuna organizzazione può, ad esempio, definire un proprio Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) modellato sulla base dello standard internazionale ISO 27001.

Il SGSI delineato dal suddetto standard ha l’obiettivo di prevenire tutti i rischi dell’impresa legati alla sicurezza delle informazioni, anche attraverso l’implementazione di una serie di controlli indicati dalla norma.

In particolare, il SGSI rappresenta la parte del sistema manageriale aziendale che, sulla base di un approccio sistematico basato sull’analisi e valutazione dei rischi (Risk Assessment) e sul loro trattamento (Risk Treatment), stabilisce, attua, controlla e riadatta e migliora la sicurezza delle informazioni gestite.

La progettazione e realizzazione del Risk Assessment e del Risk Treatment sono parte inte-grante dello standard internazionale sopra citato.

L’attuazione del SGSI prevede anche la definizione nell’organizzazione di ruoli, responsa-bilità e regole specifiche della sicurezza, di attività di pianificazione e realizzazione di poli-tiche e procedure, nonché la verifica dei processi attuati secondo quanto previsto dal model-lo indicato dalmodel-lo standard.

Un’attenzione particolare è posta nell’adozione di misure organizzative (analisi dei rischi, identificazione delle vulnerabilità e delle criticità, individuazione delle contromisure, pro-gettazione e implementazione delle soluzioni, emanazione di politiche aziendali, monito-raggio dei comportamenti) che rendano efficaci gli interventi tecnici, nella strutturazione dei processi di lavoro, nell’individuazione di soluzioni tecnologiche innovative, nella for-mazione e nella sensibilizzazione del personale in merito ai problemi della sicurezza.

SOMMARIO

1. La problematica. - 2. Il ruolo dell’informatica. - 3. Il modello lineare ed i suoi limi-ti. - 4. Nel merito di alcune dinamiche. - 5. Aspetti pratici nella gestione della com-plessità. - 6. Conclusioni.

1. LA PROBLEMATICA

Per stabilire i necessari riferimenti, appare opportuno, per prima cosa, cercare una defini-zione rigorosa del termine “complessità”.

Il dizionario Garzanti della Lingua Italiana (ed. Giugno 1983) rimanda al termine “com-plesso” , che definisce come segue:“che è composto di più parti o di diversi elementi”.

Il dizionario Devoto-Oli (ed. 2007) appare dare maggior rilievo alle relative problematiche:

“modo di essere o di presentarsi in molteplici aspetti che rende difficile la comprensione -complicazione - difficoltà”.

Già queste definizioni, che accettiamo non senza un minimo di riserva, ci portano all’idea che la complessità debba essere qualcosa di piuttosto scomodo da affrontare.

Cerchiamo, comunque, altre informazioni.

Wikipedia esordisce con un assunto lapidario: “Il termine si contrappone direttamente al concetto di semplicità” e precisa come il concetto “si sia affermato negli ultimi decenni sotto la spinta dell’informatizzazione e della tendenza a ricorrere all’indagine scientifica superando le assunzioni di linearità a vantaggio di un’indagine più approfondita.”.

La visione della questione ne risulta arricchita, anche se nell’insieme le informazioni non sembrano ancora pienamente esaustive.

Inoltre, ci sentiamo un po’ colpiti nel vivo perché sembra si voglia attribuire proprio all’informatica (a noi cara, in quanto strumento di elezione nel campo dell’innovazione tec-nologica) l’ingrata prerogativa di essere veicolo di complessità.

* Consulenza per l’Innovazione Tecnologica - Direzione Generale INAIL.