La sicurezza delle informazioni è tema attualissimo.

L'impatto economico dei crimini informatici è aumentato di cinque volte tra il 2013 e il 2017, colpendo governi e aziende, sia grandi che piccoli. Un ulteriore dato che evidenzia la dimensione del fenomeno è la crescita stimata dei premi assicurativi per tutelarsi da violazioni informatiche, passato da 3 miliardi di euro nel 2018 a 8,9 miliardi di euro nel 2020.

 

Di sicurezza se ne occupano standard internazionali come la ISO/IEC 270001 o adempimenti normativi europei come il recente GDPR entrato in vigore nel maggio 2018.

Entrambi gli strumenti prevedono un approccio gestionale al problema con una misurazione del livello di rischio, il quale come obiettivo si pone l’attuazione di misure per ridurre l’impatto del rischio.

 

Misure e contromisure

 

I controlli di sicurezza delle informazioni sono spesso indicati con il termine di misure di sicurezza delle informazioni o, più brevemente, misure o contromisure.

 

“Il Controllo è la misura che modifica il rischio.

 

Nota 1: i controlli possono essere processi, politiche, strumenti, pratiche o altre azioni che modificano il rischio;

 

Nota 2: i controlli non sempre potrebbero ottenere l’effetto atteso o previsto di modifica del rischio”(Definizione ISO/IEC 27001).

 

I Documenti

 

Il primo strumento per garantire la sicurezza delle informazioni è fornire al personale regole e istruzioni su idoneità dei comportamenti, trattamento delle informazioni e gestione degli strumenti.

Fornire istruzioni in forma documentale garantisce una migliore comprensione, l’omogenea di attuazione e il riesame degli stessi.

 

Sono previsti tre tipi di documenti:

1. politiche, che danno le regole generali;
2. procedure;
3.  

 

La Politica è l’insieme delle intenzioni e degli indirizzi di un’organizzazione espressi formalmente da parte della Direzione.

Vi sono due tipi di politiche: quelle generali (per esempio, la “politica per la sicurezza delle informazioni”) e quelle specifiche per un determinato argomento, dette politiche di dettaglio.

 

La politica generale è un documento fondamentale per la sicurezza delle informazioni e deve riportare:

• cosa si intende per “sicurezza delle informazioni” e perché è importante per l’organizzazione;
• quali sono i principi generali da seguire, incluso l’impegno a rispettare i requisiti legali e quelli dei clienti in materia di sicurezza delle informazioni e l’impegno a migliorare continuamente la sicurezza delle informazioni;
• come sono state assegnate le responsabilità a più alto livello.

Essa deve essere approvata ed emessa dalla Direzione dell’organizzazione e riesaminata regolarmente.

 

La Procedura è un modo specifico per effettuare un’attività o un processo (Definizione ISO 9000:2015).

 

Le normative e gli standard riportano requisiti generali e quindi il personale non può essere chiamato a rispettarli così come sono; è compito dell’organizzazione stabilire come applicarli e descriverlo in politiche e procedure interne a cui il personale deve attenersi.

Il GDPR richiede che, in caso di dismissione, i supporti di memorizzazione contenenti dati personali siano cancellati in modo sicuro. L’organizzazione deve quindi stabilire quale strumento utilizzare a questo scopo e come deve essere configurato e riportarlo per iscritto in una procedura.

 

Un errore comune è quello di realizzare la documentazione per il solo sistema di gestione per la sicurezza delle informazioni, indipendente dalle altre necessità dell’organizzazione. Per esempio si realizzano più procedure per la gestione degli acquisti, ciascuna relativa ad un sistema di gestione (qualità, sicurezza delle informazioni, ambiente, eccetera) o normativa applicabile (privacy, diritto d’autore, eccetera). Questo comporta spreco di risorse, confusione nel personale e disallineamenti tra i diversi requisiti. È quindi più opportuno avere un’unica procedura relativa ad un determinato processo che riporti tutti i requisiti pertinenti.

 

La Registrazione è il documento che riporta i risultati ottenuti o fornisce evidenza delle attività svolte (Definizione ISO 9000:2015).

Le registrazioni possono essere con approvazione, se controfirmati, o senza approvazione.

Le registrazioni sono utili per:

• l’organizzazione in caso di contestazioni da parte di clienti o fornitori;
• il coordinamento tra le varie persone coinvolte nelle attività;
• il passaggio di consegne tra diverse persone o funzioni dell’organizzazione (per esempio, quando un software passa dagli sviluppatori a chi lo gestisce negli ambienti di produzione) o tra le varie parti interessate (organizzazione, clienti e fornitori);
• l’elaborazione di report utili per l’analisi delle tendenze; una migliore pianificazione delle attività.

 

I principi cardine a cui attenersi sono:

• le informazioni devono essere accessibili solo a coloro che ne hanno necessità (principio need to know) e nei tempi stabiliti;
• il personale deve essere opportunamente formato in materia di sicurezza delle informazioni e deve seguire i principi etici e comportamentali prescritti;
• i fornitori devono essere opportunamente tenuti sotto controllo attraverso misure da stabilire a seconda dei casi;
• per i servizi erogati, è necessario considerare i requisiti di sicurezza sin dalla contrattazione con il cliente.

La responsabilità finale della sicurezza delle informazioni ricade sulla Direzione che ha delegato i responsabili delle divisioni interne ad attuare quanto necessario, in accordo con il responsabile dei sistemi IT, il responsabile della logistica e il direttore del personale.

 

L’Organizzazione per la sicurezza delle informazioni

 

Uno dei principi di organizzazione aziendale richiede di assegnare esplicitamente le responsabilità per ciascuna attività e processo.

 

La Direzione ha la responsabilità ultima della sicurezza delle informazioni. Essa stabilisce le politiche di sicurezza e assegna le responsabilità di primo livello.

Purtroppo talvolta la Direzione si disinteressa della sicurezza delle informazioni e delega tutto a consulenti o funzionari di medio livello. A volte, addirittura, la Direzione non si preoccupa neanche di dare il buon esempio, pretendendo di derogare dalle procedure per ogni attività in cui è coinvolta.

 

La governance fornisce politiche e linee guida senza curarsi del loro impatto sull’organizzazione. Dovrebbe invece coinvolgere i livelli operativi prima di pubblicarle, in modo da valutarne l’impatto sulle loro attività, e presidiarne l’attuazione in modo da raccogliere informazioni utili per migliorarle e renderle più efficaci.

 

Il responsabile della sicurezza non è richiesto dalla ISO/IEC 27001. Si tende a promuore la creazioen di questa figura, soprattutto in organizzazioni complesse, dove è necessario avere una figura dedicata alla sicurezza delle informazioni.

 

Altri ruoli di primo livello, importanti per la sicurezza delle informazioni e chiaramente visibili sull’organigramma, riguardano i responsabili di: sistemi e reti IT (infrastruttura informatica), sviluppo dei programmi informatici, gestione del personale, acquisti, logistica e sicurezza fisica, audit interni.

 

I vari ruoli devono coordinarsi tra loro e a tal fine vanno istituite commissioni da riunire periodicamente per: analizzare eventi o incidenti occorsi dopo la riunione precedente, riesaminare l’avanzamento delle attività concordate in precedenza e stabilire come migliorare i processi, le procedure e le misure di sicurezza con impatto su più funzioni.

Ciascun partecipante deve informare gli altri su iniziative e progetti programmati dalla propria funzione e che potrebbero avere impatti sulle altre.

 

Separazione dei ruoli

Quando si assegnano ruoli e responsabilità, a qualunque livello, bisogna evitare i possibili abusi, volontari o involontari, dei poteri: a questo mira la separazione dei compiti. Una prima regola: se sono istituiti dei controlli, la persona controllata non può assumere il ruolo di controllore delle proprie attività.