Minacce e rischi
L’argomento della protezione dei dati digitali è di assoluta rilevanza nell’area del Data Management con le sue diverse articolazioni già esposte nei miei articoli precedenti.
Ma perché occorre un esplicito trattamento di protezione dei dati?
Evidentemente perché i dati sono oggetto di potenziali minacce, con gravi rischi che ne conseguono, minacce con diverse origini e tali da distruggere/danneggiare i dati sia da un punto di vista fisico che logico.
La fisicità riguarda l’azione su device tecnologiche mediante le quali i dati sono gestiti e conservati:, come i vari supporti di memoria dedicati, i server per la loro elaborazione e gli apparati di comunicazione.
Gli agenti di queste minacce possono essere di svariata natura e origine .
Le azioni che compromettono lo stato dei dati dal punto di vista logico nonché il loro valore sono quelli legati alla loro perdita, totale o parziale, al loro danneggiamento, alla loro alterazione (voluta o accidentale).
Questo tipo di minacce sono connesse ad alterazione delle procedure e dei processi di elaborativi corretti.
Rischi e minacce fisiche e logiche possono anche agire insieme - pensiamo ad un eventuale attacco violento e organizzato di sabotaggio - provocando conseguenze gravissime alle organizzazioni che basano il loro funzionamento sui sistemi e sui dati oggetto dell'attacco.
Standard ISO/IEC 27001
A fronte di questi rischi, le organizzazioni devono quindi mettere in campo efficaci meccanismi di protezione, adottando conseguenti iniziative volte al conseguimento e mantenimento dei migliori livelli di sicurezza ritenuta necessaria.
E’ stato allora stabilito uno standard, evolutosi negli anni recenti, che costituisce una norma internazionale contenente i requisiti per
impostare e gestire un sistema di gestione della sicurezza delle informazioni (ISMS - Information Security Management System)
che si oppone ai rischi indotti dalle minacce quali cyber crime, vandalismo/terrorismo, incendi, inondazioni, abusi, furti, attacchi
virali, eccetera., comprendendo altresì il rispetto di esigenze legislative come il GDPR.
Lo standard relativo ai sistemi ISMS è attualmente lo ISO/IEC 27001 (Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti) che non rappresenta unicamente uno standard di sicurezza informatica.
Infatti include la sicurezza logica, la sicurezza fisica/ambientale e la sicurezza organizzativa (disponibilità continua delle informazioni, conformità legale, riservatezza.
La relativa certificazione fornisce una valutazione esperta sul fatto che le informazioni dell’organizzazione siano adeguatamente protette.
La norma ISO 27002:2007 consiste in una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative.
La norma é coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2015 ed il Risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo relativo a identificazione, analisi dei rischi, valutazione e trattamento, riesame e rivalutazione dei rischi.
Privacy e norma 27001
La differenza sostanziale tra legge sulla privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili e non, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s'interessa anche dei dati di business dell'organizzazione che devono essere salvaguardati.
Requisiti di legge e norma 27001
Il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001.
Per esempio un impianto antincendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non soddisfa automaticamente le esigenze che esprime la norma ISO 27001, che si preoccupa anche della “correttezza dei dati" contenuti nei server e nei client.