Al giorno d’oggi è sempre più forte l’esigenza di migliorare, gestire, e monitorare le soluzioni di sicurezza logica definite nel sistema informativo aziendale, al fine di garantire la protezione non solo dei dati sensibili, come previsto dalle normative vigenti, ma anche di quelli strategici.
Nonostante questa premessa, non sono molte le aziende che riescono a valutare l’importanza ed i vantaggi di una gestione strutturata ed integrata della sicurezza delle informazioni, adottando al proprio interno un ISMS (Information Security Management System).
Per le aziende capaci di vincere le barriere tuttora esistenti (persino a livello culturale) all’adozione di tale strumento, si suggerisce un approccio che segua un modello PDCA:
-
Plan: progettare e definire nei dettagli l’ISMS
-
Do: implementare e rendere operativo l’ISMS stabilito;
-
Check: monitorare e rivedere il sistema;
-
Act: mantenere operativo ed efficiente il sistema, utilizzando strategie di miglioramento continuo.
Ai fini della buona riuscita di un progetto di questo tipo rivestono molta importanza le attività di creazione di un sistema di Risk Management e quelle rivolte alla riduzione di tali rischi. Si tenga inoltre presente che a livello normativo i requisiti per la definizione e la gestione di un ISMS sono contenuti nella norma internazionale ISO 27001:2005, che comprende gli aspetti relativi alla sicurezza logica, fisica ed organizzativa necessari ad una corretta gestione della sicurezza nella tecnologia dell'informazione.
Nel seguito un elenco puramente esemplificativo di alcune possibili attività che possono rientrare nell’ambito delle attività proprie di un ISMS:
-
gestione della definizione dei privilegi caratteristici di ciascuna utenza nell’ambito del sistema informatico aziendale sulla base del proprio ruolo;
-
esecuzione di procedure periodiche di ”vulnerability assessment” per la verifica delle possibili esposizioni dell’infrastruttura ad azioni che pregiudichino il grado di sicurezza adottata;
-
gestione dei firewall attraverso attività di modifica della configurazione e di monitoraggio remoto;
-
definizione dell’infrastruttura per effettuare il monitoraggio per la rilevazione di eventuali violazioni o tentativi di intrusione da parte di utenze non autorizzate (intrusion detection);
-
monitoraggio delle procedure antivirus per verificarne l’effettiva esecuzione, pianificata o estemporanea, e la loro efficacia;
-
definizione di istruzioni e procedure operative relativamente ad installazione di software, creazione di accounts, collegamento di apparecchiature di comunicazione e di memorizzazione.
Autore
Paolo Cocca
Socio Fondatore
Tre sono i fondamenti della informatica: Hewlett & Packard, Peter Norton e Paolo Cocca. cit. Nicola Marotti