Sovente si tende ad identificare il termine riferito alla sicurezza informatica con le norme relative alla privacy di cui al D.L.vo 193/2006 che rappresentano invece uno specifico aspetto della più complessa problematica. Oggi, rispetto al passato, con la crescita dell’uso di nuove tecnologie come i dispositivi portatili, la virtualizzazione dei sistemi operativi, la banda larga e le connessioni flat, le reti Wireless (Wi-Fi, Wi-Max e Bluetooth), nonché con l’introduzione sempre più diffusa delle tecnologie RFID e VoIP e dei software per il file sharing e quanto altro ancora “vive” nel panorama delle ICT la battaglia per la protezione dei dati assume un rilievo tale che non ci si può più affidare a soluzioni “fai da te”.
La sicurezza delle informazioni è quindi un insieme di misure ad ampio respiro finalizzato da una parte a proteggere le informazioni elettroniche per mezzo della sicurezza informatica e dall’altra a proteggere le informazioni cartacee attraverso misure organizzative.
Gli standard europei e nazionali
A livello europeo lo standard BS 7799:1 (British Standard Institute) prende in considerazione l’intero processo di gestione delle informazioni e prevede il coinvolgimento e l’integrazione di tutti gli elementi della catena del valore dell’impresa, ovvero le persone, i processi, le tecnologie, al fine di consentire una corretta gestione delle informazioni e ridurre il rischio di danneggiamenti, furti, accessi non autorizzati. La BS 7799:1 è recepita nella normativa ISO 17799 del 1995.
Alla BS 7799:1 si affianca la BS 7799:2 che recentemente è stato pubblicata come ISO 27001 ed è certificabile, mentre l’ISO 17799 viene definito come manuale pratico (Security Code of Practice) privo di valore normativo, ovvero una delle tante metodologie adottabili per soddisfare i requisiti della norma ISO 27001. Tale norma introduce il concetto di “Sistema di Gestione”, uno strumento che permette di tenere sotto controllo in modo sistematico e continuativo tutti i processi legati alla sicurezza delle informazioni tramite la definizione di ruoli, responsabilità e procedure formali sia per l’operatività aziendale, che per la gestione delle emergenze.
In Italia, per la Pubblica Amministrazione, il 16 Gennaio 2003, il Ministero per l’Innovazione Tecnologica, d’intesa con il Ministero delle Comunicazioni hanno rilasciato la c.d. “Direttiva Stanca per la PA” in cui sono descritte le Best Practice. Tali procedure fanno esplicito riferimento alla norma BS in questione. Gli Standard sono un presupposto di valore in quanto:
- Definiscono degli importanti elementi di garanzia anche contrattuali, interpretabili come “livelli di servizio”, oppure come specifiche organizzative condivise tra le parti.
- Definiscono la macro-struttura organizzativa per l’implementazione, il controllo e per il miglioramento continuo per definiti aspetti del sistema di gestione.
- Introducono l’auditing interno, quale processo per il monitoraggio della presenza e dell’efficacia dei controlli, nonché in considerazione della necessità della pianificazione delle attività di miglioramento
- Definiscono le condizioni per una corretta gestione dei diversi rischi, compresi quelli di natura ambientale, tra i quali quelli relativi alla sicurezza delle informazioni.
