L’obiettivo dei sistemi di certificazione è garantire la qualità di un servizio, di un processo o un prodotto. Nel caso di siti web e servizi informatici, ciò significa offire requisiti quali accessibilità, riservatezza, disponibilità ed integrità, che si traducono in una maggiore sicurezza e fruibilità.
Accessibilità: è la capacità dei sistemi informatici di erogare servizi e fornire informazioni chiare e senza discriminazioni, ossia utilizzabili anche da parte di coloro che necessitano di tecnologie o configurazioni speciali.
Riservatezza: è una caratteristica dei dati e indica il modo in cui questi vengono conservati e gestiti, al fine di evitarne la divulgazione non autorizzata.
Disponibilità: in via generale, indica la capacità di svolgere una determinata funzione in particolari condizioni e momenti. Dal punto di vista informatico e informativo, è una caratteristica dei dati che misura la possibilità di accesso, da parte di utenti autorizzati, nelle modalità e nei tempi richiesti.
Integrità: è anch’essa una caratteristica dei dati, e si riferisce al loro livello di modificazione o deterioramento. In pratica misura la loro condizione corrente paragonata al loro stato in origine. Oltre alla perdita di informazione si considerano le manomissioni (volontarie ed involontarie) e la tracciabilità delle modifiche apportate.
In base alla “destinazione d’uso“, questi parametri avranno un peso diverso, sia nella progettazione che nella gestione che implementazione dei servizi offerti.
Va considerato, inoltre, che alcuni requisisti sono regolati da apposite leggi.
Ad esempio l’accessibilità dei siti internet è stata considerata nella Legge 9 gennaio 2004, la cosiddetta “Legge Stanca“.
Con questa legge, si pone l’obbligo per soggetti pubblici o che offrono servzi di pubblica utilità a dotarsi di un sito Internet accessibile, con un occhio attento anche agli strumenti didattici e formativi.
I criteri, i principi operativi e organizzativi, le modalità di richiesta della valutazione sul requisito stesso e sull’utilizzo del logo sono regolati dal DPR del 1 marzo 2005 numero 75.
Un passaggio successivo è stato l’emanazione del DM 8 luglio 2005 “Requisiti tecnici e i diversi livelli per l’accessibilità agli strumenti informatici”, che attribuisce al Ministro per l’Innovazione e le tecnologie il potere di stabilire linee guida per i requisiti tecnici e livelli di accessibilità, metodologie tecniche e programmi per la verifica dell’accessibilità dei siti.
Per quanto riguarda i riferimenti ISO, è interessante notare che esiste un comitato (SC27) che si occupa di IT, che si riunisce con cadenza semestrale. Le norme della famiglia ISO che trattano della sicurezza informatica, ovvero della sicurezza nella gestione delle informazioni, sono raccolte nella famiglia 27000.
ISO 27001: sostituisce la BS7799-2 e riguarda i sistemi per la gestione della sicurezza delle informazioni (Information Security Management System o ISMS).
ISO 27002: sostituisce la BS7799-1.
ISO 27003: questo standard intende offrire le linee guida per l’implementazione di un ISMS.
ISO 27004: anche questa norma riporta delle linee guida. Il suo scopo è rendere possibile la misura dell’efficacia sia dei singoli controlli che di gruppi di essi fino a considerare tutto l’ISMS. La metodologia proposta si basa sull’integrazione di un ciclo PDCA nel ISMS e introduce due tipi di misurazione di conformità e prestazione, che misurano l’aderenza fra un’implementazione e gli obiettivi aziendali e l’efficacia dei controlli di sicurezza.
ISO 27005: questa norma sul Risk Management è nata originalmente come parte della famiglia ISO 13335, ed è definita, come la 27004 e la 27003, linea guida. Nella norma, il processo di gestione dei rischi viene schematizzato in due fasi, ossia la valutazione (Risk Assessment) ed il trattamento (Risk Treatment), cui si aggiungono la comunicazione dei rischi e la loro accettazione.
ISO 27005: propone le linee guida per l’accreditamento delle organizzazioni che offrono la certificazione.
La famiglia 27000 riguarda la gestione delle informazioni in generale – fornendo indicazioni su diritti di proprietà intellettuale, salvaguardia delle registrazioni del sistema organizzativo, protezione dei dati e tutela della privacy, politica documentata e suddivisione delle responsabilità per la sicurezza delle informazioni, sensibilizzazione e formazione del personale, miglioramento continuo, ecc.
La sua specificità per gli operatori del Web, ed in particolare per gli sviluppatori di siti e portali, sta nella sempre maggiore sensibilità verso argomenti quali transazioni riservate (documenti, comunicazioni, commercio elettronico ), tentativi di intrusione e attacco ai sistemi informativi online, furti e truffe informatiche, ecc.
Parimenti, la sua importanza sta nella consapevolezza che, oggi più che mai, le informazioni hanno un forte valore economico e la loro perdita o danneggiamento può provocare danni notevoli sia economici che di immagine, ai clienti e all’azienda.
L’importanza dello standard sta, inoltre, oltre che nella sua capacità di introdurre utili strumenti di gestione dei processi e dei rischi, nel fatto che è spesso previsto come requisito per la partecipazione a bandi di gara.
Infine, può essere un strumento di valutazione in ottica Basilea 2: nell’assegnazione del rating, infatti, un’azienda certificata ISO 27001 potrà ottenere giudizi positivi su fattori di mercato e competitività.
Ad esempio, sarà giudicata capace di orientarsi e svilupparsi in un ambiente in costante evoluzione, dove sono necessari sistemi integrati e complessi, dimostrando la propria capacità di misurare, monitorare, quantificare il rischio.
Ad oggi (dati Sincert), le aziende IT italiane certificate secondo lo standard ISO 27001-2005 appartenenti alla categoria “Tecnologie dell’informazione” sono 193.