
Come fare risk management con lo standard ISO27001. Diffida di chi offre soluzioni sicure al 100%.
Anche tu – come tutti – hai la necessità di sentirti al sicuro: incolumità fisica, sicurezza economica, eccetera, sono beni da difendere. In particolare, desideri che alcuni dati personali siano accessibili solo a poche persone fidate. Penso ai dati che si riferiscono allo stato di salute, all’estratto conto, alle idee personali e così via.
Inoltre, queste informazioni, oltre ad essere accurate e corrette, non devono essere usate impropriamente. A nessuno di noi piace vederle diffuse attraverso un Social Network, a meno che non siamo stati noi ad autorizzarlo. E non piace nemmeno ricevere la telefonata di un call center che ci vuol vendere ciò che non vogliamo.
Le cose funzionano in modo analogo per le aziende. Ogni organizzazione sente il problema della sicurezza delle informazioni. Si avverte urgente il bisogno di difendere la segretezza dei propri dati e dei progetti innovativi; così com’è indispensabile che i dati economici e di produzione siano conservati, in modo accurato e disponibile, su sistemi informatici accessibili solo a persone autorizzate.
Cosa vuol dire sicurezza
Detto questo bisogna intendersi sul significato di sicurezza. Aiutiamoci con Wikipedia: Condizione oggettiva esente da pericoli, o garantita contro eventuali pericoli. Queste parole possono indurci in errore, perché fanno sembrare che la sicurezza sia un qualcosa che si ottiene una volta per tutte. Ma se ci pensi bene è una cosa impossibile da realizzare.
In questo clima di insicurezza diffusa, è facile sentir parlare di luoghi sicuri. Uno di questi è il Deposito globale di semi. Si trova nelle Isole Svalbard, in Norvegia. Raccoglie e protegge da un’eventuale catastrofe mondiale, ben 930 mila sementi, cioè i semi di tutte le specie. La struttura è in calcestruzzo ed è protetta da porte in acciaio molto massicce. Il deposito è progettato per resistere a un attacco nucleare. Ma come reagirebbe a un forte terremoto? Anche se quest’ultimo non riuscisse a distruggerlo, sarebbe comunque complicato accedere ai semi. Detto questo, penso sia chiaro un concetto: non ha senso parlare di sicurezza in termini assoluti.
Se tutto ciò è vero, allora diffida di chiunque voglia offrirti prodotti o soluzioni sicure al 100%. Chi lo dice dimostra di non essere serio. E chi non è serio è anche incompetente. Molto probabilmente è solo qualcuno che vuole rifilarti qualcosa.
Quindi – assodato che non possiamo essere certi al 100% che i nostri dati non siano rubati, alterati, o resi non disponibili – come dobbiamo comportarci? Ci rassegniamo? Oppure possiamo agire in modo adeguato? Possiamo agire, seguendo però alcuni step.
Il primo. È necessario stabilire – grazie a un’attenta valutazione del rischio – quale livello di sicurezza si vuole raggiungere. Stabilito questo, bisogna individuare quali azioni intraprendere per raggiungere tale livello. Ovviamente può accadere che non si possa raggiungere il livello di sicurezza che avevamo preventivato. Se così fosse bisogna individuare i punti deboli e, in caso, accettarli. Tieni presente che è possibile anche prevedere procedure di emergenza: queste possono consentire un ritorno alla normalità nel più breve tempo possibile.
Il tempo in cui viviamo non ha l’esclusiva sul complesso tema della sicurezza delle informazioni. È un argomento che ha l’età del mondo. Se ne occupò lo stratega cinese Sun Tzu. Giulio Cesare, ad esempio, nel libro De bello gallico parla dei sistemi per evitare l’intercettazione dei messaggi.
Sicurezza delle informazioni: un po’ di storia
Se l’argomento non è nuovo, è invece una novità il mondo in cui lo trattiamo oggi. Fino poco tempo fa, quando ancora i computer non erano diffusi, le imprese limitavano la sicurezza delle informazioni ai soli documenti cartacei. Oggi, invece, la sicurezza informatica è diventata cruciale.
La situazione cominciò a cambiare negli anni Novanta grazie all’avvento di fenomeni che coinvolsero sia il mondo informatico che quello economico e sociale.
- Cominciano a diffondersi i personal computer e i relativi sistemi operativi.
- Sul fronte opposto si affacciano le speculari minacce informatiche. Ricordiamo che il primo virus risale al 1982. Quello che ha sfruttato internet per diffondersi, è invece del 1988 (Morris).
- Il problema, quindi, comincia ad essere avvertito ed è così che nascono le prime normative di riferimento. Nel 1993 il Codice penale introduce i casi di criminalità informatica e nel 1996 viene emanata la prima versione di quella che oggi conosciamo come legge sulla privacy. Seguono altre norme, ma non è questa la sede per elencarle tutte.
I virus prima, e le leggi subito dopo, hanno fatto alzare la guardia in tema di minacce informatiche. E così si si è dato il via all’individuazione delle priorità di intervento in base alla valutazione del rischio. La sicurezza, quindi, è diventata un’attività fondamentale per la sopravvivenza delle organizzazioni. Ed anzi, oggi la sicurezza informatica è diventata un’urgenza. Pensiamo al rapporto annuale del Clusit (Associazione italiana per la sicurezza informatica) secondo cui il 59% delle piccole e medie imprese ha subito un attacco informatico. Ma questo dato si riferisce solo ai casi denunciati. Quindi, se consideriamo quelli taciuti, la percentuale è destinata ad essere molto più alta.
A questo scenario bisogna inoltre aggiungere la nascita di norme volontarie. È del 1995 la BS 7799. Poi è il turno della famiglia ISO 27000. In particolare, la UNI CEI EN ISO/IEC 27001:2017 è la norma che si occupa della sicurezza delle informazioni, il bene più prezioso di ogni impresa.
Dal 22 Gennaio Dimitto ha ottenuto l’accreditamento ISO 27001. L’argomento è caldo, perché se si parla di sicurezza delle informazioni ogni impresa è vulnerabile.
Ho deciso di rispondere in modo diretto a tutte le persone interessate a saperne di più.
Se hai un dubbio ti basta contattarmi e potremo fissare una chiamata senza impegno.
Sarà utile per te per capirne di più sulla norma e sulla sicurezza della gestione delle informazioni e sarà utile anche per me, per capirne di più delle problematiche che affrontano le imprese.
Cosa puoi fare oggi
I virus arrivano all’improvviso. Lo fanno quando credi di essere al sicuro. E se ancora non lo hai fatto, puoi alzare la guardia da questo momento. Fallo partendo dai tuoi dipendenti. Spesso, alcune violazioni informatiche, provengono dall’interno. In alcuni casi si tratta di veri e propri sabotaggi. Nella stragrande maggioranza dei casi si tratta di sviste o di azioni inconsapevoli che aprono la strada alle violazioni del proprio sistema. Quindi CHIAMAMI. Insieme faremo un’analisi del rischio della tua impresa e valuteremo le misure necessarie da intraprendere.