Il gergo IT spiegato

Sistema di gestione della sicurezza delle informazioni

Un sistema di gestione della sicurezza delle informazioni (ISMS) è un insieme di controlli che un'organizzazione implementa per proteggere le proprie risorse informative e altre risorse informative di cui è responsabile.

Immagini per un momento di avere un telefono cellulare specifico che utilizza per lavoro. Su di esso ha memorizzato informazioni sulle carte di credito per effettuare pagamenti, informazioni bancarie per consultare la situazione finanziaria, dettagli importanti sui clienti per cui lavora, credenziali di accesso ai servizi a cui è abbonato e molti dati proprietari relativi al funzionamento interno della sua azienda.

Se, come la maggior parte delle persone, porta sempre con sé il cellulare, esiste la possibilità che prima o poi venga smarrito o rubato. In tal caso, cosa accade alle informazioni memorizzate sul dispositivo? Come protegge la propria privacy e la sicurezza delle informazioni? E come mette al sicuro le informazioni dei suoi clienti?

La risposta a tutte queste domande è istituire un sistema di gestione della sicurezza delle informazioni (ISMS): un insieme di policy, procedure e protocolli progettati per proteggere le informazioni sensibili della sua azienda ed evitare che vengano distrutte o finiscano nelle mani sbagliate. Questo articolo approfondisce l'ISMS: vedremo che cos'è, la storia della sicurezza delle informazioni e alcune best practice per implementare un ISMS e proteggere i dati critici della sua organizzazione.

Che cos'è un sistema di gestione della sicurezza delle informazioni?

Un sistema di gestione della sicurezza delle informazioni (ISMS) è un insieme di controlli che un'organizzazione implementa per proteggere le proprie risorse informative e altre risorse informative di cui è responsabile. Le organizzazioni che progettano e implementano il proprio ISMS individuano modi per ridurre la probabilità che si verifichi una violazione dei dati, limitare la propria responsabilità quando una violazione dei dati si verifica e mitigare in altri modi l'impatto di eventuali problemi di sicurezza dei dati. Ecco alcuni degli elementi chiave che compongono un ISMS efficace:

Un ISMS è un sistema per gestire la sicurezza dei dati

Un ISMS consolidato governa le policy, le procedure, i processi e i flussi di lavoro scelti per contribuire a proteggere la sicurezza dei dati di un'organizzazione. Una volta definite dall'organizzazione, le policy devono essere implementate e gestite in tutta l'organizzazione per realizzarne i benefici. L'organizzazione governa le policy tramite il ciclo PDCA (Plan, Do, Check, Act), riesaminando regolarmente le procedure e adattandole secondo necessità.

Sebbene non esistano requisiti ufficiali di documentazione per l'ISMS, è prassi comune documentare le policy e le procedure per l'amministrazione dell'ISMS secondo un approccio per processi, nonché qualsiasi policy, procedura, processo, flusso di lavoro o controllo implementato per promuovere gli obiettivi di sicurezza dei dati dell'azienda.

Non tutti i dati vengono trattati allo stesso modo dall'ISMS

L'ISMS descrive come i dati devono essere protetti dall'organizzazione, ma non deve trattare tutti i dati aziendali esattamente allo stesso modo. Le organizzazioni creano, registrano e scambiano ogni giorno molti tipi diversi di dati. Ne abbiamo citati alcuni in precedenza: registri finanziari dell'azienda, dati e credenziali di accesso ai servizi utilizzati dall'organizzazione, profili e informazioni di clienti e utenti, carte di credito aziendali e dati bancari. Vi sono inoltre e-mail, report, dati di inventario, dati sulle strutture, registri di assistenza per le apparecchiature e così via.

Non tutti i dati aziendali devono essere sottoposti allo stesso livello di sicurezza e la protezione di determinati tipi di dati comporta costi in termini economici e di produttività. Ad esempio, se l'organizzazione richiede l'autenticazione a due fattori per l'accesso alla posta elettronica, un dipendente potrebbe perdere due minuti aggiuntivi di produttività ogni volta che controlla l'e-mail. Ne vale la pena? Spetta ai responsabili dell'organizzazione deciderlo attraverso le proprie valutazioni del rischio.

La conformità all'ISMS è fondamentale per un'implementazione efficace

Creare un ISMS e archiviarlo in una cartella da qualche parte, in definitiva, non migliora la sicurezza delle informazioni della sua organizzazione: a proteggerla dalle violazioni dei dati sono l'implementazione efficace delle policy e l'integrazione della sicurezza delle informazioni nella cultura organizzativa. Sebbene l'istituzione e la manutenzione dell'ISMS siano un primo passo importante, formare i dipendenti sull'ISMS e integrare la conformità nei processi e nelle attività quotidiane dell'organizzazione è una priorità se si desidera proteggere adeguatamente i dati.

Un ISMS è dinamico, non statico

L'ISMS è un sistema vivo, in continua evoluzione: è dinamico, non statico. Nella norma ISO 27001, uno standard per la sicurezza delle informazioni, il ciclo PDCA viene applicato ai sistemi ISMS. Le aziende dovrebbero istituire l'ISMS (plan), implementarlo e renderlo operativo (do), monitorarlo e riesaminarlo (check), nonché mantenerlo e migliorarlo (act). L'ISMS dovrebbe essere riesaminato e aggiornato regolarmente per riflettere l'evoluzione dell'ambiente di sicurezza delle informazioni e le nuove best practice per la sicurezza dei dati.

Un ISMS efficace è basato sul rischio

È importante comprendere che proteggere i dati aziendali dalle violazioni della sicurezza in senso assoluto è probabilmente impossibile. Un ladro o un hacker con tempo e risorse sufficienti, con ogni probabilità, troverà prima o poi un modo per superare le misure di sicurezza implementate. Un attacco informatico contro un sistema di sicurezza poco sofisticato potrebbe richiedere a una sola persona appena poche ore, mentre un team di esperti di sicurezza qualificati potrebbe impiegare settimane per accedere a un server fortemente protetto.

Le organizzazioni devono eseguire una valutazione del rischio che determini quali asset richiedono la protezione più elevata e allocare in modo efficace le risorse per proteggerli. Un ISMS basato sul rischio tiene conto del rischio relativo dei diversi tipi di risorse informative nell'allocazione delle risorse destinate alla protezione degli asset.

Perché le organizzazioni dovrebbero proteggere i propri dati?

Ora che abbiamo una comprensione dettagliata dell'ISMS, è necessario capire e apprezzare perché sia così importante che le organizzazioni proteggano i propri dati istituendo un ISMS. Ecco i motivi principali per cui le organizzazioni dovrebbero istituire un ISMS per contribuire a proteggere i propri dati:

L'ISMS aiuta a gestire la sicurezza dei dati su larga scala

Tornando al nostro esempio iniziale del cellulare aziendale che potrebbe essere smarrito o rubato, sarebbe relativamente semplice proteggere un singolo dispositivo dal finire nelle mani sbagliate, ma cosa accade quando l'organizzazione conta 100 dipendenti con 85 computer desktop, 20 laptop, 40 telefoni cellulari, una sala server e un repository basato sul cloud per tutti i documenti cruciali? A questo punto è necessario gestire la sicurezza delle informazioni su larga scala, perché il volume dei dati è elevato e la rete è ampia. Un singolo dispositivo con un programma antivirus non aggiornato e configurato in modo errato potrebbe diventare una vulnerabilità in grado di compromettere la rete. Un ISMS fornisce controlli che aiutano a proteggere ogni endpoint dagli attacchi malevoli, salvaguardando il sistema nel suo complesso.

Le violazioni dei dati sono estremamente costose

Se non ha mai vissuto una violazione dei dati in cui sono stati sottratti i dati di molti clienti, è utile sapere che, quando si verificano, questi eventi sono estremamente costosi. Il 2017 Cost of Data Breach Study, condotto dal Ponemon Institute con il supporto di IBM, ha determinato che nel 2017 il costo medio di una violazione dei dati era pari a 3,62 milioni di dollari. Probabilmente ha sentito parlare della violazione dei dati di Equifax, che ha comportato un calo del 20% del prezzo delle azioni e oltre 30 class action intentate contro l'azienda nell'arco di un mese. Anche il gigante di Internet Yahoo è stato colpito da una grave violazione della sicurezza che ha compromesso le informazioni degli account di tutti i suoi 3 miliardi di utenti; le conseguenze hanno incluso 35 milioni di dollari di sanzioni federali, un accordo legale da 80 milioni di dollari e una riduzione di 350 milioni di dollari del suo valore di acquisizione.

A ciò si aggiungono i costi associati alla notifica ai clienti della compromissione dei loro dati, al coinvolgimento di esperti di sicurezza per correggere le vulnerabilità che hanno causato la violazione, nonché altre penali, sanzioni e risarcimenti alle persone colpite.

Le organizzazioni possono ottenere la certificazione ISO 27001

L'International Standards Organization (ISO) è un ente globale che pubblica standard e best practice per le organizzazioni. Nel 2005, l'ISO ha pubblicato un documento formalmente noto come ISO/IEC 27001:2005, che stabilisce lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni. Le organizzazioni che costruiscono il proprio ISMS in conformità a questi più recenti standard di sicurezza delle informazioni possono ottenere una certificazione che dimostra a clienti e partner di aver istituito un sistema adeguato per proteggere le proprie risorse informative.

La certificazione ISO 27001 offre un vantaggio competitivo alle organizzazioni, consentendo loro di dimostrare la conformità alle best practice più aggiornate per la gestione della sicurezza delle informazioni.

Come implementare un ISMS nella propria organizzazione

Le organizzazioni possono trarre notevoli vantaggi dall'implementazione di un ISMS, dal conseguimento della conformità alla norma ISO 27001 e dalla protezione delle proprie risorse informative, ma per ottenere tutti i benefici dell'ISMS sono necessari un processo di implementazione approfondito e un'adeguata formazione. Ecco come iniziare a implementare un ISMS nella propria organizzazione:

Fase uno: identificazione e valutazione degli asset

Il primo passo per implementare un ISMS consiste nell'identificare gli asset da proteggere e determinarne il valore relativo per l'organizzazione. Ricordiamo che un ISMS basato sul rischio tiene conto dell'importanza relativa di diversi tipi di dati e dispositivi e li protegge di conseguenza. In questa fase, le organizzazioni raccolgono dati dalla documentazione per identificare gli asset IT critici per il business e la loro importanza relativa per l'organizzazione.

Le organizzazioni devono creare uno Statement of Sensitivity (SoS), ossia una dichiarazione di sensibilità, che assegni una valutazione a ciascun asset IT in tre dimensioni distinte: riservatezza, integrità e disponibilità:

  • Riservatezza: garantire che le informazioni siano accessibili esclusivamente alle sole persone autorizzate
  • Integrità: garantire che le informazioni da proteggere siano accurate e complete e che le informazioni e i metodi di trattamento siano salvaguardati
  • Disponibilità: garantire che le persone autorizzate abbiano accesso alle informazioni e agli asset protetti quando necessario

Le organizzazioni devono trovare un equilibrio tra la protezione degli asset e la loro accessibilità alle persone autorizzate che potrebbero aver bisogno dei dati per svolgere il proprio lavoro.

Fase due: condurre una valutazione dettagliata del rischio

Una volta completate l'identificazione e la valutazione degli asset e dopo che l'organizzazione ha formulato un SoS, è il momento di condurre una valutazione dettagliata del rischio che guiderà la creazione dell'ISMS. L'analisi della valutazione del rischio comprende quattro passaggi importanti per determinare come proteggere l'asset IT:

  1. Minacce: l'organizzazione dovrebbe analizzare le minacce per l'asset documentando eventuali eventi indesiderati che potrebbero comportare uso improprio, perdita o danneggiamento degli asset, intenzionali o accidentali.
  2. Vulnerabilità: le minacce sono una descrizione concreta di ciò che potrebbe accadere, mentre le vulnerabilità misurano quanto l'asset IT potrebbe essere suscettibile alle minacce identificate nella prima parte dell'analisi. È qui che si inizia a distinguere tra diversi tipi di asset: sebbene un attacco software malevolo rappresenti una minaccia per server, laptop e telefoni, potremmo indicare che i telefoni sono più vulnerabili alla minaccia perché verranno utilizzati da remoto e potrebbero essere connessi a diverse reti esterne, mentre i server saranno mantenuti internamente e monitorati 24 ore su 24.
  3. Impatto e probabilità: l'organizzazione può ora valutare la probabilità che si verifichino determinati tipi di violazioni, insieme all'entità del danno potenziale che deriverebbe da ciascun tipo di violazione dei dati. Le organizzazioni possono utilizzare un'analisi costi-benefici per concentrare le misure di sicurezza più incisive sulle violazioni potenzialmente più dannose.
  4. Mitigazione: infine, l'organizzazione propone metodi per ridurre al minimo le minacce, le vulnerabilità e gli impatti riconosciuti tramite policy e procedure nell'ISMS.

Fase tre: istituire l'ISMS

Ora che l'organizzazione ha identificato gli asset da proteggere e condotto una valutazione completa del rischio, può procedere alla stesura delle policy e delle procedure effettive che compongono l'ISMS. Le organizzazioni dovrebbero istituire l'ISMS in conformità alla norma ISO 27001 se desiderano ottenere una certificazione per le best practice nella gestione della sicurezza delle informazioni.

Tornando al nostro primo esempio del telefono aziendale non protetto, quali misure potrebbe adottare l'organizzazione per garantire che le informazioni presenti sul telefono siano adeguatamente protette in caso di smarrimento o furto? Ecco alcuni esempi di policy che potrebbero essere implementate per contribuire a mitigare il rischio:

  • I telefoni smarriti o rubati devono essere segnalati al reparto IT entro otto ore. Se non sa dove si trovi il suo telefono, contatti immediatamente l'IT.
  • L'IT deve disporre della capacità di tracciare da remoto e cancellare i dati da qualsiasi telefono di proprietà dell'azienda.
  • I telefoni aziendali devono essere protetti da una password biometrica corrispondente all'assegnatario: per sbloccare il telefono deve essere utilizzata un'impronta digitale, una scansione della retina o una tecnologia di riconoscimento facciale.
  • I telefoni aziendali vengono forniti con una custodia da cintura sicura, incoraggiando i dipendenti a evitare di perdere l'asset fissandolo alla propria persona quando non è in uso.

Questo insieme di policy e procedure ridurrebbe al minimo la possibilità che si verifichi una violazione dei dati a causa dello smarrimento di un telefono. Il requisito di una password biometrica aumenta significativamente il livello di sofisticazione necessario per ottenere accesso non autorizzato al telefono, i requisiti di segnalazione introducono una maggiore responsabilità per l'utente del telefono e l'IT è in grado di rimuovere i dati sensibili da qualsiasi telefono segnalato come smarrito.

Riepilogo

Un ISMS è un insieme di policy e procedure che stabiliscono come l'azienda proteggerà le proprie risorse informative da uso improprio, perdita o danneggiamento, intenzionali o accidentali. Istituire un ISMS è un passo importante per proteggere gli asset di dati dell'organizzazione e tutelarsi dalle implicazioni legali e finanziarie di una violazione dei dati. Le organizzazioni possono ottenere la certificazione ISO 27001 rispettando gli standard globali per gli ISMS. L'implementazione di un ISMS richiede alle organizzazioni di identificare e valutare i propri asset, condurre una valutazione del rischio e documentare le policy e le procedure stabilite. Sono necessari programmi di formazione per garantire che i dipendenti siano conformi all'ISMS quando gestiscono dati sensibili.

L'ISMS deve essere mantenuto e riesaminato regolarmente, seguendo il ciclo PDCA, con l'obiettivo di migliorare continuamente verso un ISMS basato sul rischio che soddisfi le esigenze di sicurezza dei dati dell'organizzazione.