BS7799 dove sei?

Sicurezza

Dopo il clamore iniziale, lo standard internazionale per la sicurezza informatica sembra essere scomparso. A discapito della sicurezza aziendale

Solo da pochi anni la sicurezza informatica è stata finalmente accettata dalle aziende come necessità e investimento e non più come costo superfluo. Solo da pochi anni, il settore della sicurezza, sulla spinta delle nuove richieste provenienti dalle aziende e a causa delle pressioni estere, ha assistito a una serie di manovre di assestamento condotte dai grandi vendor: cessioni, alleanze e acquisti condotti al fine di completare la propria offerta di soluzioni di sicurezza hanno caratterizzato il periodo e hanno visto la nascita e il consolidamento di un ristretto numero di interlocutori in grado di offrire un’ampia gamma di soluzioni, e di rispondere a 360° alle esigenze di sicurezza delle aziende italiane. Solo da pochi anni sono stati presi in considerazione gli standard di sicurezza adottati all’estero, come la normativa BS7799 o altri, accanto alla nostra, piuttosto lacunosa, legge sulla privacy. Senza dubbio il panorama dell’offerta e delle leggi sulla privacy risulta molto variegato e le aziende, in questo “confusione”, adottano le soluzione a voltre più “veloci” ma anche meno sicure. Semplicemente fermarsi all’adozione delle norme a tutela della privacy non giova all’azienda, così come non giova la quasi scomparsa dell’adozione della normativa internazionale BS 7799. Vi spieghiamo il perché. Al primo posto la privacy Tra le pratiche accettate, riconosciute e più adottate all’interno delle aziende italiane, il primo posto è saldamente occupato dal Documento Programmatico sulla Sicurezza previsto all’interno del nuovo Decreto Legge per la protezione della Privacy. Il motivo della preferenza è abbastanza ovvio, e supportato da una serie di valide motivazioni.Adottare le linee guida indicate dal Garante ha rappresentato la strada più breve per ottenere contemporaneamente un allineamento con la normativa e un piano base di sicurezza aziendale. E indubbio che la priorità di un’azienda italiana sia stata nell’ultimo periodo quella di allinearsi alle disposizioni del Garante della Privacy in quanto erano state chiaramente indicate le scadenze temporali, oltre le quali i responsabili aziendali potevano andare incontro a pesanti sanzioni. Non è altrettanto ovvio che le indicazioni tecniche suggerite dalla normativa rappresentino le migliori misure di sicurezza che un’azienda può adottare per proteggersi da attacchi e intrusioni. Solo per fare un esempio, nel nuovo Decreto Legge è previsto che i prodotti antivirus vengano aggiornati a intervalli temporali troppo lunghi, e sicuramente incompatibili, con la frequenza con la quale compaiono nuove minacce. Come già dichiarato più volte, il conformarsi alla legislazione avrebbe dovuto rappresentare per le aziende italiane il primo passo verso l’adozione di un più solido, strutturato ed efficace piano di sicurezza. L’incentivo costituito dalle sanzioni avrebbe dovuto vincere l’inerzia delle aziende verso l’adozione di soluzioni minime di sicurezza, e le poche indicazioni tecniche contenute nel Decreto Legge avrebbero dovuto costituire il nucleo iniziale di un piano più complesso. Peccato che lo slancio iniziale della maggior parte delle aziende si sia spento immediatamente limitandosi alla produzione di un Documento Programmatico di base.

Una scelta più coraggiosa: la normativa BS7799 La scelta di adeguarsi solamente alla normativa per la protezione della privacy è quindi propria di quelle aziende che non hanno ancora capito l’importanza di proteggere i beni aziendali attraverso un adeguato piano di sicurezza.Se la decisione dell’azienda è invece quella di dotarsi di politiche di sicurezza di sicura efficacia, allora la normativa internazionale BS7799 è forse ancora uno dei riferimenti più validi da seguire. Nata nel 1999 essa delinea perfettamente quale sia la strada da percorrere per avere un ISMS (Information Security Management System), ovvero un sistema di gestione della sicurezza coerente ed organizzato. Tale normativa è ben conosciuta e normalmente adottata da numerose società estere. Adeguarsi a questa normativa può quindi costituire un indubbio vantaggio per quelle società italiane che intrattengono stretti rapporti di business con aziende estere. Un altro vantaggio che si può trarre dalla normativa è anche il fatto che indichi una strada precisa e codificata che riassume tutte le più evolute e recenti teorie riguardo alle politiche di sicurezza a livello internazionale. Se le politiche di sicurezza sono ciò che serve, allora la BS7799 è guida e riferimento che garantisce che venga fatto tutto il necessario e che venga fatto secondo criteri oggettivi. Nonostante l’indubbia oggettività con la quale la normativa in questione è stata redatta, la lettura e l’interpretazione di una norma che tratta di politiche di sicurezza è quasi come per un avvocato leggere una legge: essa dà adito comunque a differenti interpretazioni. Partendo dal presupposto che soltanto una di esse può essere vera, bisogna riuscire a capire quale sia. Per fare ciò è necessario partire da una preliminare analisi di non conformità che permetta di capire senza ombra di dubbio cosa sia già stato fatto e cosa resti ancora da fare. Questo approccio può sicuramente risultare utile a tutte quelle aziende che hanno attivato un piano di sicurezza per adeguarsi alla normativa vigente nel nostro paese (privacy), e che quindi hanno già implementato l’insieme minimo di misure previste per la redazione del Documento Programmatico. Conclusioni

Implementare la parte mancante che permette di passare dalla normativa per la protezione della privacy alla BS7799 può comunque risultare piuttosto tortuoso se non si ha approfondita conoscenza della norma in sé, e se non si sono catalogate in modo preciso le azioni da intraprendere ed i relativi investimenti di tempo, economici e di risorse. Ecco perché la scelta di adeguarsi anche alla BS7799 impone spesso il ricorso a consulenti esterni e ha trovato così tante resistenze da parte delle nostre aziende che stanno vivendo un momento di crisi. Il discorso alla base di tutto resta comunque sempre il solito: la sicurezza non deve più essere vista come costo, ma al pari di tutti gli investimenti accettati all’interno dell’azienda, deve rappresentare un’opportunità di crescita. Fermarsi al rispetto del Decreto Legge sulla Privacy mette al riparo i responsabili aziendali dalle sanzioni penali, ma assolutamente non assicura i beni aziendali contro le intromissione esterne. E vero che come al solito è difficile quotare beni immateriali come i dati o l’immagine aziendale, ma al pari di beni più concreti posseggono un valore cospicuo che dovrebbe essere protetto. Ecco quindi perché servirebbe uno sforzo in più per trasformare la normativa sulla privacy in un efficace piano di sicurezza aziendale adottando eventualmente normative riconosciute in ambito internazionale.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore