Il Sistema di Gestione della Sicurezza delle Informazioni

SICUREZZA DELLE INFORMAZIONI IN UNA PAROLA:RID


La Sicurezza delle informazioni si deve scomporre in tre aspetti fondamentali: la riservatezza delle informazioni, l’integrità delle informazioni e la disponibilità delle informazioni.
La riservatezza è la proprietà di un’informazione di non essere disponibile a individui, entità e processi non autorizzati.
L’integrità è la proprietà di un bene [e, quindi, di un'informazione]di essere protetto per quanto riguarda l'accuratezza e la completezza;
La disponibilità è la proprietà di essere accessibile e utilizzabile[entro i tempi previsti] su richiesta di un'entità autorizzata.


SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI:SGSI


Il Sistema di gestione della Sicurezza delle informazioni è la parte del sistema di gestione di un’organizzazione che si occupa della sicurezza delle informazioni.
L’obiettivo di un Sistema di gestione della Sicurezza delle informazioni è tutelare le informazioni aziendali rilevanti, dai rischi che possono correre con adeguate misure organizzative e tecniche dei sistemi e delle infrastrutture che li contengono.
Un Sistema di sicurezza delle informazioni richiede una fase di progettazione e pianificazione, in considerazione dei rischi individuati, una fase di implementazione, una fase di monitoraggio ed una fase di mantenimento e miglioramento, in una logica di plan-do-check-act.
Per ottenere un Sistema di gestione della Sicurezza delle informazioni efficace è importante considerare nella fase di pianificazione l’integrazione con gli altri Sistema di gestione aziendale (qualità, ambiente e sicurezza degli ambienti di lavoro).

COSTRUZIONE DI UN SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI: IMPORTANZA DEL CONTESTO


Per la costruzione di un Sistema di Gestione della Sicurezza delle informazioni è necessaria la definizione del contesto dell’organizzazione che si compone di fattori interni ed esterni e di aspettative delle parti interessate.
I fattori interni ed esterni rilevanti da identificare sono quelli che hanno un’influenza sul raggiungimento degli obiettivi di sicurezza delle informazioni dell’organizzazione.
Esempi di fattori interni sono la struttura organizzativa, le caratteristiche delle sedi e delle infrastrutture in cui sono trattate le informazioni, la tipologia di informazioni trattate.
Esempi di fattori esterni sono la normativa applicabile e l’evoluzione della stessa (Regolamento Europeo Privacy, necessità di nuove figure aziendali come il DPO), l’evoluzione tecnologia dei sistemi di comunicazione delle informazioni.
Le aspettative delle parti interessate (clienti, fornitori, enti di controllo) sono un ulteriore aspetto da considerare per avere una chiara definizione del contesto.

OBIETTIVO DELLA SICUREZZA DELLE INFORMAZIONI: GESTIRE IL RISCHIO


La gestione del rischio parte dall’individuazione degli Asset informativi che si vogliono proteggere.
Su ciascun Asset possono incombere minacce che creano eventi negativi per l’organizzazione se sono presenti vulnerabilità, punti di debolezza nella struttura organizzativa, tecnica e infrastrutturale di un’organizzazione.
Le Minacce possono derivare da comportamenti di soggetti malintenzionati e non e da eventi naturali.
Gestire il rischio comporta l’individuazione delle contromisure adeguate a ridurre le vulnerabilità interne.

PIANO DI TRATTAMENTO DEL RISCHIO: CHE COSA È?


Il piano di trattamento del rischio è l’insieme delle contromisure idonee a proteggere l’organizzazione dalle minacce e vulnerabilità individuate
Le contromisure possono essere azioni di prevenzione del rischio, azioni di riduzione del rischio o di trasferimento del rischio.
Le contromisure possono essere di tipo organizzativo, possono riguardare la sicurezza fisica ed ambientale e la sicurezza logica.

GESTIRE IL RISCHIO: LE FASI DEL TRATTAMENTO DEL RISCHIO


Nella gestione del rischio si parte dall’individuazione ed analisi dei rischi con l’obiettivo di poterli stimare e classificare per poter definire le azioni di trattamento più adeguate.
Una volta trattati i rischi è opportuno definire un livello di accettazione dei rischi residui, che deve essere coerente con il profilo di rischio dell’organizzazione.
Uno standard per la gestione del rischio è rappresentato dalla ISO/IEC 27005.

i Nostri Partners

logo federterziario
logo dancan
logo federterziario piemonte