La Certificazione della sicurezza
delle informazioni BS 7799

Banche, assicurazioni, imprese private ed enti pubblici
sentono il crescente bisogno di difendere adeguatamente le proprie informazioni,
in proporzione cioè al loro valore per l'attività aziendale,
ma allo stesso tempo devono mantenere la giusta apertura per garantire
la corretta operatività degli addetti ai lavori.

L'informazione è una risorsa aziendale da tutelare
adeguatamente dai rischi che possono colpire i sistemi informativi al
fine di garantire la continuità operativa e una risposta immediata
ed efficace per minimizzare i danni in caso d'incidenti (fisici, logici,
operativi).

Per questi motivi occorre progettare un Sistema di Gestione
per la Sicurezza delle Informazioni aziendali che sia:

• coerente al valore delle informazioni, affinché non
  siano esposte a rischi inaccettabili e l'attività di sicurezza
  non assorba risorse eccessive;


• uniforme in tutta l'azienda, dal momento che la sicurezza
  è una catena e la debolezza di un singolo anello la compromette
  totalmente;


• efficace, per non investire in risorse non adeguate alle
  effettive necessità dell'azienda e per non produrre un falso
  senso di sicurezza;


• aggiornato e aggiornabile, affinché l'azienda mantenga
  valido il proprio sistema di gestione per la sicurezza delle informazioni
  nel tempo.

Una risposta alla tutela del patrimonio informativo
aziendale è data dalla certificazione BS7799, lo standard internazionale
per la progettazione di un Sistema di Gestione per la Sicurezza delle
Informazioni (SGSI). Lo standard ruota intorno a due concetti: la politica
di sicurezza e il sistema di governo della sicurezza secondo un approccio
simile a quello degli standard della serie ISO9000 per la certificazione
di qualità di un'azienda. I punti di intervento e i relativi
controlli sono organizzati in 10 aree:

1. Politiche di sicurezza


2. Organizzazione delle sicurezza


3. Classificazione e controllo dei beni


4. Sicurezza del personale


5. Sicurezza fisica


6. Gestione delle operazioni e della comunicazione


7. Controllo accessi


8. Sviluppo e mantenimento


9. Piano di continuità


10. Conformità

All'interno delle aree sopraelencate lo standard suggerisce
le linee guide per raggiungere gli obiettivi di sicurezza adeguati alla
realtà in cui opera l'azienda. Questi suggerimenti si traducono
in controlli da attuare mediante misure di sicurezza

1. organizzativa (ad esempio l'istituzione del forum aziendale per
   la gestione della sicurezza dell'informazione, la formazione periodica
   del personale, ecc.),


2. logica (ad esempio prodotti per la protezione crittografica dei
   dati, firewall, sistemi di business continuity, sistemi di autenticazione
   tramite password e/o smart-card, ecc.) e


3. fisica (attraverso l'installazione di sistemi telecamere, antincendio,
   antifurto, ecc.).

Lo standard non richiede l'adozione tout-court
di determinate contromisure di sicurezza, ma di tutte e sole quelle
contromisure che risultano essere necessarie sulla base di un'attività
di analisi del rischio. In tal senso risulta essere uno strumento efficace
nella realizzazione della sicurezza di un sistema informativo.

Lo standard BS 7799 fornisce quindi un framework comune
a tutte le organizzazioni per sviluppare, implementare e monitorare
le modalità di gestione della sicurezza migliorando la fiducia
nelle relazioni interaziendali. Esso munisce l'azienda di un'utile mappa
per sviluppare, implementare e misurare l'effettiva gestione della sicurezza
grazie anche alla presenza di indicazioni relative alla creazione di
policy di sicurezza, alla formazione e sensibilizzazione sul tema del
personale e alle azioni da intraprendere per garantire la continuità
dell'attività.

Permettendo la verifica e misurabilità dei risultati
raggiunti consente di:

• verificare l'adeguatezza dei propri processi per il trattamento
  delle informazioni


• dimostrare che siano rispettati i requisiti espressi in contratti,
  leggi o regolamenti


• verificare la bontà dei propri investimenti

Lo standard BS7799, in conclusione, certifica la capacità
di un'azienda di garantire la sicurezza del proprio patrimonio informativo
o di quello di terzi a lei affidato. La verifica della conformità
del SGSI ai requisiti dello standard BS7799 è affidata ad un
auditor che esegue la verifica della documentazione prodotta e verifiche
sul campo e stabilisce per ogni punto d'intervento se le relative misure
siano appropriate e se il sistema di gestione sia quindi conforme. La
durata dell'intero iter è di circa un mese. Il mantenimento del
certificato richiede visite ispettive periodiche (semestrali) e la ripetizione
completa delle verifiche ogni 3 anni.

Per approfondimenti

• BSI Group Homepage


• Det Norske Veritas - Ente di
  Certificazione


• Registro Italiano Navale (RINA)
  
  
  
  • Accreditato
    SINCERT (Press release October 2002)
  
  
  
  


• clusit - Associazione Italiana per
  la Sicurezza Informatica

Per maggiori informazioni sulla Progettazione di un
Sistema per la Sicurezza delle Informazioni: birm@finmatica.com
e www.birm.it