Torna alla pagina precedente   Stampa la pagina corrente

IRCA
Clicca qui per visitare il sito IRCA

Versione stampabile

IT sotto esame

La sicurezza dell'IT ha la reputazione di essere una barriera, più che un aiuto, sul posto di lavoro. Tutto questo sta iniziando a cambiare e la ISO 27001:2005, la nuova norma sulla sicurezza delle informazioni, sta già contribuendo a spostare l'obiettivo delle attività di sicurezza IT sulle reali esigenze delle aziende, dicono Alan Calder e Steve Watkins

La ISO 27001 è la prima norma formale riconosciuta a livello internazionale per i sistemi di gestione per la sicurezza delle informazioni. Ha un uso molto più ampio di quanto la gente possa immaginare ma utilizzata nel modo sbagliato potrebbe diventare un fossile, lasciato indietro dalla rapida evoluzione di tecnologie e minacce tecnologiche.

 

Una nuova professione

La sicurezza delle informazioni è una professione relativamente nuova, ma lo sono anche i computer e le reti moderni. Non è stata l'invenzione del PC da parte dell'IBM e neppure la fondazione della Microsoft, ma l'emergere di internet a metà degli anni '70 a dar vita ad un mondo nuovo online, nel quale i dati digitali potevano essere spostati e memorizzati in quantità sempre più grandi e da un numero crescente di persone.

I pirati informatici (hacker in lingua inglese) esistono quasi dal tempo in cui le organizzazioni hanno iniziato a memorizzare informazioni nel computer. Prima di internet, i pirati informatici dovevano accedere fisicamente ad una macchina per cercare di accedere ai suoi dati. Quando invece si è iniziato a connettere costantemente una macchina a delle altre, ai pirati informatici che operano in remoto sono giunte moltissime possibilità in più. Poi sono arrivati i virus: il primo virus per computer è apparso solamente 20 anni fa. Ed oggi? Ci sono oltre 120.000 virus attivi e liberi in internet "allo stato brado".

Pensiamo al 21° secolo come all'era dell'informazione. Ma se è così, allora la componente più importante del bilancio di qualsiasi impresa è il proprio capitale intellettuale, i beni intangibili che includono:

    • la proprietà intellettuale, quali marchi, marchi depositati, prodotti sotto copyright o brevettati;
  • banche dati di clienti e fornitori;
  • know-how individuale e di reparto;
  • processi aziendali;
  • competenza dell'organizzazione, cioè l'insieme di know-how, processi, sistemi ed esperienze che permettono ad un'organizzazione di raggiungere i propri obiettivi aziendali.

Il capitale intellettuale dipende per la propria stessa esistenza dall'IT e, come ben sappiamo, l'IT è vulnerabile ad attacchi esterni. E' vulnerabile anche a frodi interne in un modo che, come la Barings Bank* ha imparato a proprie spese, può distruggere un'organizzazione in una manciata di ore. E' anche vulnerabile al semplice errore umano.

 

Tutela dei dati personali

Certamente non sono solo le informazioni dell'impresa ad essere a rischio. Ogni giorno proliferano banche dati contenenti dati personali individuali e di consumatori: nomi, indirizzi, codici di previdenza sociali, dettagli della carta di credito. Sono obiettivi allettanti per i ladri di identità, che sanno di poter usare queste informazioni per rubare milioni di euro e spostarli all'altro capo del mondo senza il minimo rumore, con discrezione e senza pericolo per loro stessi.

Sfortunatamente i consumatori non fanno molto per proteggersi da queste minacce, a casa come al lavoro. In una recente indagine, l'85% dei partecipanti metteva in pericolo la propria password individuale per un caffè - ai partecipanti era stato offerto un caffè gratis se riuscivano a ricordare (e condividere) la propria password aziendale - e coloro che non volevano comunicarla erano pronti a confermare se si trattava o meno del nome da signorina della loro mamma oppure del compleanno del figlio. Le autorità regolamentatrici l'hanno capito: sospettano che ci siano voti disponibili per la protezione dei consumatori contro il furto dei propri dati personali e, come risultato, la legislazione sulla tutela dei dati e la riservatezza dei dati personali sta proliferando in tutti i Paesi che fanno parte dell'Organizzazione per la Cooperazione e lo Sviluppo Economici.

Tutti gli Stati dell'Unione Europea hanno implementato leggi severe ed oltre la metà delle singole legislazioni di stato americane hanno fatto lo stesso. Chiaramente, non esiste alcun coordinamento tra nessuna di queste legislature e così le organizzazioni che operano in più di una giurisdizione (o, in alcuni casi, che hanno nella propria banca dati clienti provenienti da più di una giurisdizione) sono esposti a leggi cogenti potenzialmente contraddittorie, certamente non testate.

 

Conformità alle leggi cogenti

La tutela generale dei dati personali è solo la punta dell'iceberg. Esistono specifici requisiti di settore, quali l'HIPAA (Health Insurance Portability and Availability Act) e il GLBA (Gramm-Leach-Bliley Act) negli Stati Uniti, i requisiti dell'industria delle carte di pagamento che si applicano in tutti i punti vendita che accettano le carte Visa e Mastercard, le leggi britanniche del Financial Services Act, ecc. Vi sono inoltre i sempre più complessi requisiti di audit della corporate governance (governo dell'impresa) che necessitano di garanzie che i sistemi di informazione e comunicazione - dai quali dipende la contabilità dell'organizzazione - siano sicuri e controllati.

La "sicurezza dell'IT" (la selezione ed attuazione dei controlli da parte della squadra IT) non è una soluzione efficace alla complessa varietà di problematiche che l'organizzazione affronta. Ciò di cui ciascuna organizzazione ha bisogno è un approccio coerente e globale alla sicurezza delle informazioni che possa essere personalizzato ad esigenze e circostanze specifiche. La risposta non è solo sicurezza dell'IT, ma la sicurezza delle informazioni.

Nella ISO 27001 la sicurezza delle informazioni è definita come la "protezione della riservatezza, integrità e disponibilità delle informazioni. Inoltre, possono essere coinvolte anche altre proprietà quali l'autenticità, il non ripudio e l'affidabilità":

  • disponibilità: "essere accessibile ed utilizzabile su richiesta da un'entità autorizzata";
  • riservatezza: "le informazioni non sono rese disponibili o divulgate ad individui, entità o processi non autorizzati";
  • integrità: "salvaguardia dell'accuratezza e completezza dei dati".

La ISO 27001 descrive in maniera sistematica come assicurare la disponibilità, la riservatezza e l'integrità delle informazioni all'interno di un'organizzazione. Riconosce che le minacce alle informazioni si verificano e devono quindi essere affrontate.

Ci sono evidentemente rischi che devono essere identificati e, come per la maggioranza dei rischi, l'approccio sensato di gestione è quello di introdurre un certo grado di controllo. Nonostante i responsabili siano in grado di identificare tutti i reali rischi per la sicurezza delle informazioni ed i relativi controlli appropriati, la vera sfida risiede nel fatto che tali controlli sono costosi da implementare ed è poco probabile che sia economicamente possibile, ragionevole o persino necessario, implementare ogni singolo controllo attuabile.

Nel Regno Unito le organizzazioni devono inoltre tenere in considerazione i requisiti di quanto segue:

  • Data Protection Act:
  • Computer Misuse Act;
  • Leggi cogenti relative alla tutela dei dati;
  • Leggi sul copyright, progettazione e brevetti;
  • e per le organizzazioni del settore pubblico:
  • Freedom of Information Act.

Tutte queste leggi hanno un impatto diretto sulla gestione delle informazioni.

Nel 1998 è stato introdotto un nuovo schema di certificazione accreditata per una norma che specificava i requisiti di gestione della sicurezza delle informazioni. Le norme di riferimento erano la BS 7799 parte 1 e parte 2, dove la parte 1 rappresentava il codice di pratica e la parte 2 forniva delle specifiche per il sistema di gestione a fronte delle quali l'organizzazione poteva essere valutata.

Nel 2000 è stata riemessa la parte 1, con delle piccole modifiche, quale norma internazionale: la ISO/IEC17799. Da allora è stata modificata in modo sostanziale ed è stata riemessa nel 2005, ancora per definire un codice di pratica composto principalmente da un elenco di controlli per affrontare rischi specifici. E' stata largamente adottata ed i suoi principi riecheggiano in norme così differenti come la norma per l'industria delle carte di credito e l'americano Federal Information Security Management Act.

I requisiti del sistema di gestione della BS 7799 parte 2 sono stati rivisti nel 2002 con l'introduzione del modello PDCA. Nel 2005 le varie versioni locali della BS 7799-2 che erano state introdotte in tutto il mondo sono state sostituite da un'unica norma internazionale, la ISO 27001, largamente basata sull'evoluzione della norma BS.

La ISO 27001 definisce il ciclo PDCA come un mezzo per l'introduzione e l'implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). Considerando a turno ciascuna fase di questo ciclo, la norma richiede di:

  • Pianificare (Plan): definire il campo di applicazione del SGSI; definire la politica per la sicurezza delle informazioni; definire e condurre una valutazione sistematica del rischio, al livello del singolo dato dell'informazione; individuare e valutare alternative per il trattamento di questi rischi; selezionare gli obiettivi di controllo ed i controlli per ogni decisione di trattamento del rischio e redigere lo Statement of Applicability (SoA);
  • Attuare (Do): redigere il piano di trattamento del rischio, inclusi i processi pianificati e le procedure; implementare il piano di trattamento del rischio e relativi controlli; fornire formazione e trasmettere consapevolezza al personale; gestire le attività e le risorse in linea con il SGSI; implementare procedure e contromisure per l'enunciazione e la risposta agli incidenti di sicurezza;
  • Controllare (Check): questa è la fase del monitoraggio, controllo, audit e riesame;
  • Agire (Act): quanto emerso dalla fase "controllare" dovrebbe essere analizzato e costituire la base su cui avviare azioni, incluse quelle necessarie per affrontare delle variazioni in uno qualsiasi degli elementi che influenzano il rischio.

 

La ISO 27001 e la ISO 17799

L'Appendice A della ISO 27001 è un elenco di controlli: ce ne sono 134, raggruppati in 12 aree di controllo principali. Questi controlli sono rivolti a tutte le aree potenziali di rischio, dai virus al codice mobile fino al furto della proprietà intellettuale, alla continuità delle attività aziendali ed al controllo degli accessi. I controlli dell'Appendice A replicano quelli contenuti nella ISO 17799, alla quale l'utilizzatore è reindirizzato quale fonte di una guida di buona prassi per l'implementazione dei controlli. In effetti, la ISO 27001 nel fornire il sistema di gestione rimanda all'utilizzo della ISO 17799, permettendo così ai controlli della ISO 17799 di entrare a far parte di un quadro strutturale integrato.

Quale componente della fase di pianificazione, l'organizzazione deve preparare uno Statement of Applicability (SoA), che è - in principio - la dichiarazione riguardo quali dei controlli elencati nell'Appendice A siano applicabili all'organizzazione e come ciò sia implementato. Per esempio: la dichiarazione di controllo per il punto 5.1 dell'Appendice A potrebbe essere che l'organizzazione adotti un politica per la sicurezza delle informazioni - che è approvata dal consiglio - ed è disponibile a tutto il personale ed alle parti terze interessate nella intranet aziendale. Quando uno dei controlli non è applicato, deve essere fornita una spiegazione, quale ad esempio la dichiarazione che i controlli sullo sviluppo del software non sono necessari in quanto l'organizzazione si procura tutto il proprio software da fornitori di parte terza.

 

Favorire le attività aziendali

Nonostante la ISO 27001 fornisca una specifica rigorosa per un sistema di gestione per la sicurezza delle informazioni coerente ed integrato, neutrale dal punto di vista del venditore e della tecnologia, non è una panacea. Progettare ed attuare un sistema ISO 27001 non è un'attività adatta a chi ha il cuore debole ed il vero successo dipende molto da tre fattori: il processo di valutazione del rischio, l'effettivo grado di impegno della direzione ed il coinvolgimento pratico e quotidiano del personale e degli utenti.

E' uno dei principi chiave della ISO 27001 che i soli controlli implementati dovrebbero essere quelli che aiutano l'azienda a proteggersi in maniera efficace in rapporto ai costi stabiliti senza compromettere gli obiettivi aziendali. Le organizzazioni che applicano questo principio sono quelle in cui la squadra per la sicurezza delle informazioni è vista come favorente, e non ostacolante, le attività aziendali. Questo accade solo quando la direzione, dal Direttore Generale in giù, capiscono ed accolgono la sicurezza delle informazioni come un sistema ed una filosofia in seno all'organizzazione. Quando la direzione fornisce una guida aziendale alle risorse umane dedicate alla sicurezza ed aiuta nel definire ed attuare (su base continuativa) l'approccio alla valutazione del rischio, allora l'organizzazione tende a sviluppare un approccio costruttivo alla sicurezza delle informazioni.

Tecnologia in evoluzione

La messaggistica istantanea, i sistemi telefonici VoIP (Voice over IP), le reti wireless ed i blog sono tecnologie in rapida espansione in tutto il mondo imprenditoriale. Originariamente considerate delle tecnologie rivolte ad utenti consumatori, non hanno la robustezza dei prodotti tipici per le imprese né il livello interno di sicurezza che ormai ci si aspetta dai prodotti per le aziende. Sono, tuttavia, estremamente utili, facili da attivare e rappresentano un vero incubo per le persone che si occupano di sicurezza IT, a meno che non siano attente alle mutevoli tendenze tecnologiche ed agli scenari di minaccia sempre in evoluzione.

In molte organizzazioni mondiali, la politica per la sicurezza delle informazioni relativa all'accesso alla rete è definita dalla squadra IT senza alcun riferimento all'attività aziendale. Ne consegue che gli utenti aziendali regolarmente eludono il sistema utilizzando chiavi USB per trasferire dati tra computer, con tutti i rischi connessi di perdita, deterioramento e duplicazione dei dati. La risposta giusta a questa situazione non è lo spiegamento di tecnologia per bloccare l'uso della chiave USB, eppure - troppo spesso - questo è esattamente ciò che accade.

Esistono organizzazioni nelle quali la sicurezza delle informazioni strangola le attività aziendali. Adottare un sistema ISO 27001, con la sue enfasi sui controlli basati sul rischio e sulla direzione manageriale, può semplicemente salvare questo tipo di organizzazioni da loro stesse. E' tuttavia inevitabile che ci saranno organizzazioni che utilizzeranno la ISO 27001 in modo prescrittivo, che insisteranno nell'implementare tutti i controlli ed ignoreranno il principio dei controlli basati sul rischio e le soluzioni orientate all'impresa. Queste organizzazioni non sopravviveranno alle minacce mutevoli che emergono dal mercato tecnologico che cambia velocemente. Per esempio, risponderanno agli utenti che desiderano utilizzare la messaggistica istantanea disabilitandola, bandendo i blog e rendendo difficile la navigazione in internet.

La sicurezza delle informazioni acquista ogni giorno un profilo più elevato. Man mano che i requisiti di governo dell'impresa e legislativi si sviluppano, includono sempre più degli aspetti correlati alle informazioni. Nel Regno Unito, la guida Turnbull sul controllo interno e la gestione dei rischi conferisce ai dirigenti delle aziende pubbliche la chiara responsabilità di agire sul governo dell'IT, sulla gestione efficace del rischio in progetti IT e sulla sicurezza dei computer. E' un argomento che, nell'era delle informazioni, è destinato ad accompagnarci a lungo.

Gli autori

Alan Calder e Steve Watkins dirigono la IT Governance Limited, una società il cui sito web (www.itgovernance.co.uk) fornisce una varietà completa di libri, strumenti, consigli e guida per aiutare le organizzazioni ad affrontare problematiche relative alla gestione dell'IT ed alla sicurezza delle informazioni, tra cui la ISO 27001. Il loro libro "IT Governance: a Manager’s Guide to Data Security and BS7799 / ISO17799" (disponibile solo in lingua inglese) è scritto in un linguaggio semplice ed offre una guida al raggiungimento della certificazione ISO 27001.

* La Barings Bank - la più antica ed illustre banca mercantile inglese in attività da 233 anni - è fallita a febbraio 1995 a causa delle operazioni spericolate di uno solo dei suoi trader, Nicholas Leeson, che le ha deliberatamente nascoste fino a causare il crollo dell'intera banca. Ciò è stato possibile grazie all’esistenza di un conto, denominato "conto errori”, creato dallo stesso Leeson per registrarvi gli errori relativi ad operazioni concluse per conto della clientela. Inizialmente questo conto risultava incluso tra i file inviati giornalmente alla sede di Londra ma poi il software venne modificato - sempre su ordine di Leeson - in
modo da sottrarlo ai controlli della sede centrale. Da questa vicenda nel 1999 è stato tratto anche un film, "Rogue Trader", con protagonista Ewan McGregor (ndt).

 

©2005 IRCA Ltd. Tutti i diritti riservati www.irca.org Contattaci Abbreviazioni

Prima pagina  
Articoli arrow
Ultime notizie
Opinioni