Sicurezza da certificare

Sicurezza

Chiedere e ottenere una certificazione di sicurezza può rivestire
un’importanza strategica e offrire un’occasione unica per implementare una
struttura aziendale a prova di attacco

Ottenere una certificazione di sicurezza oggi permette di porsi positivamente nei confronti di partner e clienti. La sicurezza ha raggiunto il livello d’importanza che le compete e le aziende hanno smesso di vederla come costo superfluo e hanno capito che si tratta di un importante strumento di competizione. Oggi qualunque azienda pretende dai propri fornitori e partner solide conferme in tema di sicurezza, privilegiando quegli interlocutori che possono dimostrare di aver implementato politiche di protezione solide e affidabili. Ovviamente chiunque potrebbe affermare che le misure di sicurezza implementate all’interno della propria azienda sono solide e affidabili, ma si tratterebbe comunque di un’affermazione soggettiva. Perchè possa essere dimostrato che sono stati adottati standard riconosciuti e accettati occorre che le misure di sicurezza adottate ricevano la certificazione di un ente preposto. La certificazione deve essere eseguita in modo da garantire l’imparzialità, l’oggettività, la ripetibilità e la riproducibilità dell’intero processo.

A tal fine: ?l’accreditatore, il certificatore ed il valutatore (qualora sia presente) devono essere terza parte indipendente rispetto al: – Fornitore/titolare dell’oggetto da certificare – Fruitore della certificazione ?la certificazione deve basarsi su criteri o standard di riferimento comunemente accettati ?deve essere verificata la competenza di chi applica la norma diriferimento (valutatore/certificatore) Per facilitare il mutuo riconoscimento delle certificazioni in vari Paesi, normalmente chi accredita i certificatori/valutatori è un’Organismo pubblico o un’associazione altamente rappresentativa.

Quale certificazione

A secondo dell’oggetto che si vuole certificare esistono diverse norme di riferimento. Volendo ad esempio certificare il Processo di gestione della sicurezza ICT (ISMS) si prenderanno come riferimento le linee guida illustrate all’interno della norma BS7799:2. Analogamente, volendo certificare il Sistema/prodotto ICT verranno considerati i Common Criteria (ISO/IEC IS15408) ITSEC. Infine, le norme CISSP/SSCP,CISA/CISM potranno essere considerate nel caso in cui si volesse ottenere una certificazione relativa alla Competenza del personale. Fondamentalmente, ai fini di questo articolo, la certificazione che ci interessa approfondire è la BS7799:2, che nel corso degli ultimi anni ha subito alcune variazioni e aggiornamenti. La norma BS7799-2:2002 ha rappresentato per anni lo strumento per creare un sistema di gestione in grado di assicurare, monitorare, mantenere e migliorare la sicurezza delle informazioni. L’approccio per processi proprio della BS7799 guida alla realizzazione di un ISMS (Information Security Management System) attraverso i seguenti step: – La definizione della politica di sicurezza dell’organizzazione per salvaguardare e garantire i requisiti di riservatezza, integrità, e disponibilità delle informazioni. – L’identificazione degli asset, l’analisi del rischio cui questi sono soggetti, la valutazione e la gestione del rischio. – L’utilizzo del modello PDCA (Plan-Do-Check-Act). – L’utilizzo di procedure per effettuare il monitoraggio dell’ISMS e il suo miglioramento continuo. A novembre 2005 la norma BS7799-2:2002 è stata completamente recepita e sostituita dal nuovo standard ISO/IEC 27001:2005.

I cambiamenti apportati sono considerevoli e riguardano principalmente i seguenti punti: – Migliore definizione del campo di applicazione dell’ISMS attraverso l’inserimento nel ?perimetro? della certificazione di tutti i servizi ed i processi essenziali per il business aziendale. – Aumentata importanza della valutazione del rischio, con una più puntuale definizione delle contromisure di sicurezza da attuare, anche in fase di revisione del piano di gestione dei rischi. – Maggiore precisione nella definizione delle responsabilità riguardo asset e processi. – Maggiore attenzione posta sulla corretta implementazione del sistema di Incident Management per garantire la continuità del business riducendo contestualmente i danni dovuti ad interruzioni del servizio. A partire da Gennaio 2006, quindi, le certificazioni devono essere ottenute in conformità alla nuova norma e le certificazioni BS7799 già rilasciate dovranno essere migrate alla ISO 27001 entro due anni.

La certificazione oggi

L’ISO/IEC 27001 quindi rappresenta l’attuale base base per lo sviluppo di un sistema di gestione per la Sicurezza delle Informazioni. Ha lo scopo di garantire confidenzialità integrità disponibiltà delle informazioni ai fine della salvaguardia dei dati delle parti interessate (Aziende, Clienti, Dipendenti e partner commerciali). La norma è applicabile ad un ampio ventaglio di imprese, di qualsiasi dimensione, operanti nella gran parte dei settori commerciali e industriali: finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi etc. L’applicazione della norma da parte di un’impresa rappresenterà una garanzia per i clienti e i fornitori, i quali sapranno con certezza che il problema della sicurezza delle informazioni viene affrontato e gestito seriamente nell’ambito dell’impresa stessa. La ISO/IEC 27001 specifica quindi i processi necessari per aiutare le imprese nell’attuazione, nella revisione, nel monitoraggio e nel mantenimento di un buon sistema di gestione della sicurezza delle informazioni. Con la recente ISO/IEC 17779:2005, che definisce il “Codice di pratica” per la gestione della sicurezza delle informazioni, e con la nuovissima ISO/IEC 27001, le imprese hanno ormai a disposizione una coppia di norme complementari tra loro. La ISO/IEC 27001 potrà anche essere utilizzata a scopo certificativo. Fino ad ora infatti le imprese che volevano che il loro ISMS fosse certificato dovevano conformarsi alla norma inglese BS 7799 Parte 2 mentre ora potranno prendere come riferimento la norma internazionale. Ricordiamo che a livello nazionale l’argomento è seguito da un apposito gruppo di lavoro “Sicurezza delle informazioni”. operante in seno all’UNINFO (Tecnologie informatiche e loro applicazioni), ente federato all’UNI. Naturalmente l’adozione delle specifiche contenute nella normativa selezionata dovrà essere adattata a quella che è la propria realtà aziendale. La normativa infatti fornisce una serie di linee guida e di provvedimenti ‘standard’ che ovviamente dovranno essere interpretati caso per caso, e implementati con le conseguenti correzioni. A tal fine è quindi indispensabile, come nel caso di altre certificazioni ISO, avvalersi della consulenza di professionisti debitamente formati, i quali potranno in seguito contattare direttamente gli enti certificatori per l’ottenimento della necessaria documentazione ufficiale.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore