Lo standard BS 7799 è stato sviluppato in risposta a una precisa domanda
dei settori dell’industria,del commercio e della Pubblica Amministrazione
di ricerca di un framework comune per sviluppare, implementare e monitorare le modalità
di gestione della sicurezza delle informazioni. Lo standard è composto da
due parti: BS 7799 - Prima Parte elenca le “best practice” necessarie
per implementare un programma per la Sicurezza delle Informazioni, mentre BS 7799
- Seconda Parte descrive il processo di costruzione di un sistema di gestione della
sicurezza e dei controlli applicabili (SGSI).
La parte certificabile della norma. Lo standard BS 7799 affronta il tema della Sicurezza
delle Informazioni considerandone tutti gli aspetti, dalla salvaguardia delle competenze
interne, fino alla protezione contro le frodi informatiche.
Fuga di informazioni
La fuga di informazioni verso i mezzi di comunicazione e la concorrenza sono purtroppo
un problema molto diffuso. Il personale e Internet sono spesso il tramite di questi
spiacevoli eventi. Sebbene molte aziende abbiano provveduto a rendere più
sicuri i loro sistemi informatici, episodi simili accadono di continuo. Occorre
perciò provvedere a una revisione completa delle misure di sicurezza di cui
l’azienda dispone. Affrontare il problema secondo un approccio puramente tecnico
o investigare su singole aree sulle quali si concentra l’attenzione dei media
- come accade ad esempio con la pirateria informatica - non è sufficiente;
anzi espone l’azienda a rischi di altro genere, creando delle semplici “isole
di sicurezza” in un vero e proprio “mare di rischi”. L’avvento
di internet e il ricorso alle telecomunicazioni per gli scambi commerciali ha reso
più complessa la gestione della sicurezza all’interno delle aziende.
Con i computer portatili e in assenza di una policy sull’impiego delle risorse
aziendali, aumenta il pericolo di perdere le informazioni. Un forum sulla sicurezza
aziendale può contribuire a far conoscere i rischi ai quali sono esposte
le informazioni.
Proteggete le persone, le tecniche e le idee
La crescente quantità di informazioni oggi in circolazione ha indotto lo
sviluppo di uno standard dedicato alla sicurezza delle informazioni. Si tratta di
un’esigenza ovviamente più sentita da realtà aziendali che operano
in settori quali servizi IT, finanza, telecomunicazioni, e-business, Pubblica Amministrazione,
società d’ingegneria e industria automobilistica, dove è essenziale
un’immagine che rifletta sicurezza.
Sicurezza delle Informazioni
Un programma per la Sicurezza delle Informazioni è destinato a tutelare un
bene prezioso da alterazioni o accessi non autorizzati. Lo standard BS 7799 tutela
pertanto tre aspetti fondamentali relativi alle informazioni:
1. Confidenzialità: solo gli utenti autorizzati possono accedere alle informazioni
necessarie.
2. Integrità: protezione contro alterazioni o danneggiamenti; tutela dell’accuratezza
e completezza dei dati.
3. Disponibilità: le informazioni sono rese disponibili su richiesta e nell’ambito
di un contesto pertinente.
Perchè certificare un SGSI?
Un Sistema di Gestione per la Sicurezza delle Informazioni prevede che l’azienda
implementi una politica di sicurezza con lo scopo di gestire le aree a rischio.
La Certificazione BS 7799 consente quindi all’azienda di:
- Dimostrare a clienti, partner e dipendenti il proprio impegno a favore della sicurezza
delle informazioni.
- Ottenere da un ente indipendente un documento che attesti la conformità
ai requisiti richiesti.
- Orientare i processi di implementazione della politica stabilita.
- Dimostrare la propria attenzione, riducendo i rischi ed evitando responsabilità.
Il villaggio globale e le nuove minacce
L’impiego di sistemi IT è fonte di nuove opportunità per la
vostra azienda, che potrà finalmente operare all’interno del cosiddetto
“villaggio globale”. Ciò significa che si moltiplicheranno le
occasioni commerciali, ma nel contempo emergeranno nuove minacce. Per riuscire a
trarre profitto da queste opportunità, occorre quindi affrontare i rischi
secondo un approccio strutturato. Questo approccio è quello che noi chiamiamo
SGSI (Sistema di Gestione per la Sicurezza delle Informazioni). I seguenti elementi
contribuiscono alla realizzazione di un efficace programma di sicurezza:
Le 10 aree da controllare.
- Gestione operativa e comunicazione
- Controllo degli accessi
- Sviluppo e manutenzione dei sistemi
- Gestione della Business Continuity
- Conformità
- Politica di sicurezza
- Organizzazione per la sicurezza
- Controllo e classificazione delle risorse
- Sicurezza del personale
- Sicurezza materiale e ambientale
Certificare un SGSI consente alla vostra azienda di:
- Creare una cultura della sicurezza all'interno dell'organizzazione.
- Individuare le aree di criticità attraverso l'analisi dei rischi.
- Realizzare una struttura per il continuo perfezionamento del sistema.
- Disporre di un elemento in più per promuovere la credibilità dell'azienda
presso gli interlocutoriinterni ed esterni.
- Fornire al management aziendale gli strumenti per una gestione aziendale sicura,
che riduca al minimo i rischi di perdita di informazioni critiche per il proprio
Business.
- Considerare gli aspetti legali e tecnologici in chiave sistemica.
- Garantire che il "patrimonio di conoscenze" sia "conservato"
all'interno di un sistema di gestione aziendale.
- Dimostrare a clienti, partner, dipendenti e in generale alle parti interessate
il proprio impegno nella protezione delle informazioni.
- Orientare i processi di gestione della sicurezza delle informazioni rispetto alle
volontà espresse dal management all’interno della politica della sicurezza.
- Avere un’opportunità di confronto con un organismo esterno per raccogliere
spunti di miglioramento.
- Ottenere da un ente indipendente di terza parte accreditato un documento che attesti
la conformità ai requisiti dello standard.
Certificazione di un Sistema di Gestione per la Sicurezza delle Informazioni
(SGSI)
Certificare la propria conformità con lo standard BS 7799 offre alle aziende
un mezzo sicuro per verificare il proprio SGSI.
Un team di auditor, rigorosamente selezionato e qualificato, provvede a valutare
la conformità dell’azienda ai requisiti imposti dallo standard. Principale
obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni.
A tale scopo è fondamentale individuare quali informazioni proteggere e quale
livello di protezione assegnare a ciascuna di esse. Fra le risorse da tutelare rientrano
dati, documenti cartacei, nonché componenti materiali come computer e reti,
oltre al personale dell’azienda. Il Sistema di Gestione per la Sicurezza delle
Informazioni implementato da un’azienda sulla base delle criticità
individuate è sottoposto a verifica, proprio come accade per gli altri sistemi
di gestione (ISO 9000, ISO 14001, ecc.). Oltre a svolgere la tipica attività
di verifica dei sistemi di gestione, l’ente di certificazione deve essere
in grado di valutare se le criticità rilevate siano effettivamente importanti
e se il sistema adottato per tutelare le informazioni sia, in tutte le sue componenti,
coerente e consistente. Occorre inoltre esaminare lo statement of applicability
che definisce l’applicabilità dei requisiti dello standard rispetto
agli obiettivi di riscontro e agli elementi
di controllo implementati. La certificazione può essere rilasciata a un’azienda,
reparto, impianto o altra unità e può essere successivamente estesa
a qualsiasi sistema di gestione conforme ai requisiti applicabili dello standard.
Qualora voleste ricevere gratuitamente un preventivo nel quale verranno riportate dettaglitamente tutte le attività che la Qua.Ser. s.a.s. si impegnerà a svolgere cliccate Qui.
Si riportano le Aziende a cui la Qua.Ser. S.a.s. ha fornito e/o fornisce assistenza.