Menù Chi Siamo
Standard ISO/IEC 27001:2005
- Dettagli
- Visite: 21127
Su volontà della Direzione Generale BU ICT ed in relazione al particolare valore dei beni materiali e delle informazioni in gioco, la BU ICT di San Raffaele S.p.A. ha recentemente sviluppato un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) conforme ai requisiti della norma ISO/IEC 27001:2005 (“Information technology – Security techniques – Information security management systems – Requirements“).
Contestualmente all’implementazione del SGSI, la Direzione della BU ICT, al fine di garantire maggiori condizioni di efficienza ed efficacia delle attività aziendali, conformemente alle politiche aziendali di San Raffaele S.p.A., ha ritenuto opportuno procedere all’adozione di un modello di organizzazione e gestione delle proprie attività interne.
La BU ICT ha avviato a tal fine, tra le varie attività tendenti al continuo miglioramento dell’efficienza e dell’efficacia dei sistemi informativi aziendali, un progetto finalizzato alle definizione dello scenario organizzativo ed alla raccolta e formalizzazione delle procedure aziendali della BU ICT.
Tale iniziativa è stata assunta nella convinzione che l'adozione di tale modello possa costituire un valido strumento di sensibilizzazione nei confronti di tutte le risorse della BU ICT e di tutti gli altri soggetti alla stessa cointeressati (clienti, fornitori e collaboratori a diverso titolo), affinché seguano, nell'espletamento delle proprie attività, comportamenti corretti e lineari volti alla salvaguardia del patrimonio informativo di San Raffaele S.p.A.
I vantaggi, che derivano all'organizzazione San Raffaele (e non solo), dall'aver realizzato un SGSI conforme alla norma ISO 27001 sono notevoli, prevalentemente legati a:
- migliore salvaguardia della cosiddetta business continuity;
- miglioramento dell’immagine sul mercato (anche i dati dei clienti sono meglio protetti);
- maggiori garanzie fornite all’imprenditore relativamente alla protezione contro frodi e crimini informatici provenienti dall’esterno e dall’interno dell’organizzazione.
Ovviamente l’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 (nella parte in cui quest'ultima tratta il risk management). Vengono infatti riportati argomenti quali:
- approccio per processi;
- politica per la sicurezza;
- identificazione;
- analisi dei rischi;
- valutazione e trattamento dei rischi;
- riesame e rivalutazione dei rischi;
- modello PDCA;
- utilizzo di procedure e di strumenti come audit interni;
- non conformità, azioni correttive e preventive, sorveglianza, miglioramento continuo.
La ISO/IEC 27001:2005 specifica tuttavia i requisiti per progettare, implementare, controllare, mantenere e migliorare un SGSI documentato e può essere adottata da ogni tipo di organizzazione. Il SGSI delineato dalla ISO 27001 ha l’obiettivo di prevenire tutti i rischi dell’impresa legati alla sicurezza delle informazioni, anche attraverso l’implementazione di una serie di controlli indicati dalla norma.
Più in generale, la famiglia 27000 (di cui la 27001 è parte) fornisce indicazioni per la realizzazione di un sistema SGSI atto a garantire la riservatezza, integrità e disponibilità delle informazioni e la protezione dei sistemi informativi dai quali esse dipendono. La famiglia è composta dalle seguentio norme:
-
ISO 27000, che definisce i concetti, i principi, i fondamenti e la terminologia del SGSI;
-
ISO 27001, che definisce i requisiti per definire, attuare, monitorare, mantenere ed aggiornare un SGSI. Questa norma è di carattere internazionale e succede alla norma britannica BS 7799-2 e costituisce il documento di riferimento per la certificazione;
-
ISO 27002, che contiene le linee guida per definire,realizzaer, mantenere e migliorare la gestione della sicuerezza delle informazioni in una organizzazione. Essa sostituisce il precedente standard ISO 17799;
-
ISO 27003, che è una guida per l'implementazione del SGSI;
-
ISO 27004, che riguarda il monitoraggio e le misurazioni del SGSI;
-
ISO 27005, che riguarda la gestione del rischio relativo alla sicurezza delel informazioni;
-
ISO 27006, che definisce i requisiti per l'accreditamento degli Organismi di Certificazione;
-
ISO 27007, che è una guida per gli audit del SGSI.
Rispetto alla BS 7799-2 la norma 27001 ha introdotto alcune novità e chiarimenti in merito:
-
all’ampiezza del SGSI (campo di applicazione),
-
l’approccio alla valutazione dei rischi,
-
la scelta dei controlli,
-
la dichiarazione di applicabilità (Statement Of Applicabilaty),
-
l’efficacia del SGSI,
-
il riesame dei rischi,
-
l’impegno della direzione,
-
gli audit interni,
-
i risultati della misurazione dell’efficacia,
-
l’aggiornamento dei piani, delle procedure e dei controlli per il trattamento dei rischi.
Naturalmente alla base della norma ci sono sempre i principi di Riservatezza, Integrità e Disponibilità già introdotti dagli standard precedenti, ma il focus della norma è la gestione del rischio. Ne consegue che l’approccio corretto per implementare un SGSI conforme alla ISO 27001 è quello di analizzare e valutare i rischi incombenti sulle informazioni aziendali, quindi di gestirli attraverso azioni appropriate, miranti generalmente a:
- evitare il rischio;
- ridurre il rischio;
- trasferire (o accettare) il rischio.
Le valutazioni effettuate dal management dell’organizzazione devono ovviamente essere plausibili e condivisibili in funzione della probabilità di verificarsi del rischio e delle conseguenze che tale evento può comportare per l’organizzazione ed i suoi clienti.
Per valutare correttamente i rischi esistenti sulle informazioni, il primo passo obbligatorio è il censimento degli asset aziendali che sono utilizzati nella gestione delle informazioni. Ci si riferisce a tutte le risorse utilizzate: hardware, software, umane.
Una volta censiti gli assett occorre individuare, per ciascuno di essi, le relative minacce alla sicurezza e quali siano le vulnerabilità riscontrate. Conseguentemente occorre valutare l’impatto di ogni minaccia (in termini di riservatezza – integrità – disponibilità) e stimare la probabilità che l’evento si verifichi. Con tale metodo l’organizzazione può valutare correttamente tutti i rischi, anche dal punto di vista economico. Con la consapevolezza che tali rischi non possono essere sempre eliminati totalmente è quindi possibile adottare le misure di sicurezza più idonee in termini di rapporto costo/benefici per gestire i rischi individuati.
Lo scopo della norma – ovvero assicurare riservatezza, integrità e disponibilità dell’informazione al fine di garantire la continuità del business, prevenire e minimizzare i danni – viene perseguito adottando gli obiettivi di controllo ed i relativi controlli (133) previsti dalla norma stessa.
Un sistema informatico altamente sicuro dal punto di vista delle vulnerabilità a fronte di attacchi esterni (hacker, virus e malicius software in genere) ed interni (sistema di autenticazione con password forti, crittografia dei dati,…) potrebbe far parte di un SGSI parziale se non supportato da una strategia organizzativa precisa e da regole comportamentali ben progettate e fatte rispettare. In altre parole, la norma riguarda la sicurezza delle informazioni, mentre la sicurezza informatica è soltanto una disciplina nell’ambito di essa. Il SGSI comprende, dunque, aspetti organizzativi, comportamentali e tecnici (di sicurezza informatica) finalizzati alla salvaguardia delle informazioni.
Evidentemente un SGSI progettato e certificato ISO 27001 offre molte garanzie al management ed ai clienti dell’organizzazione, anche se ciò non può costituire garanzia di sicurezza assoluta e di invulnerabilità a fronte di attacchi non previsti. È proprio questo uno dei punti salienti: un buon SGSI deve identificare e valutare tutte le vulnerabilità, ponendovi adeguate contromisure quando ritenuto necessario ed efficiente: un rischio identificato e valutato può essere controllato senza arrecare danni eccessivi all’organizzazione, mentre un rischio, non identificato in sede di analisi, che dovesse verificarsi e risultare di impatto significativo, costituirebbe una grave carenza del SGSI.
Altro aspetto discusso del sistema di certificazione ISO 27001 è costituito dal fatto che l’ambito di certificazione (o scopo di certificazione) può essere anche sensibilmente ridotto rispetto all’intero business aziendale; un’organizzazione può decidere infatti di certificarsi ISO 27001 solo per un ambito circoscritto della sua struttura, ad esempio un servizio particolarmente critico dal punto di vista della sicurezza. Questo significa che il SGSI certificato ISO 27001 può coprire solo certi processi dell’organizzazione, purché quelli esclusi non inficino la robustezza dell’intero sistema nei confronti del mercato. In altre parole, è possibile circoscrivere il SGSI ad un’area fisica e logica (in senso informatico) tale da non essere minacciata da vulnerabilità importanti presenti all’esterno di suddetta area.
La certificazione ISO 27001 può interessare organizzazioni di vario tipo, prevalentemente operanti nei settori nei quali la sicurezza delle informazioni e la protezione dei dati è un requisito fondamentale per il business: sanità, banche ed assicurazioni, telecomunicazioni, fornitori di servizi informatici e di servizi legati all’e-commerce, società di consulenza finanziaria, legale e tributaria, società di revisione.
Esistono altri standard che trattano la sicurezza informatica:
- ITSEC;
- ISO/IEC 15408 (Common Criteria) che sono stati recepiti dall’ISO nella ISO/IEC 15408: 1999 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements;
- ISO/IEC TR 13335 – Part 1÷4: 1996-2000 – Information technology – Guidelines for the management of IT Security (GMITS) che è una linea guida per la gestione della sicurezza nel settore informatico;
- COBIT 4.0 (Control Objective for Information and related Technology): si tratta di un framework per il controllo e la governance dei rischi associati all’Information Technology.
- COSO (Committee of Sponsoring Organizations of the Treadway Commission): è un altro framework di supporto al mangement per assicurare, con ragionevole attendibilità, il perseguimento degli obiettivi del processo di controllo interno dei rischi informatici, soprattutto in relazione al reporting finanziario ed al rispetto di leggi e regolamenti applicabili.