Gestire la sicurezza informatica e strutturale

di Marco Parodi

scritto il

Dagli standard ISO al quadro normaitvo, la sicurezza dei dati di qualsiasi ente deve essere organizzata attraverso un sistema ad hoc che individui i ruoli, le responsabilità e le misure da adottare

La Sicurezza Informatica può essere definita come l’insieme delle misure di carattere procedurale-organizzativo e tecnologico atte a garantire la Riservatezza, l’Integrità e la Disponibilità delle informazioni e dei servizi, gestiti o erogati, riuniti nell’acronimo RID.

Riservatezza: è la protezione dei dati trasmessi o conservati per evitarne l’intercettazione e la visione da parte di soggetti terzi non autorizzate. La riservatezza risulta necessaria per la trasmissione dei dati sensibili ed è dunque uno dei requisiti che garantiscono il rispetto della vita privata degli utenti. Le informazioni sono un bene (asset) che deve essere protetto da minacce specifiche, al fine di garantire la continuità del servizio e minimizzare le eventuali perdite di dati. Rientra in questo ambito la problematica dell’autenticazione sicura ovvero dell’identificazione certa ed univoca del soggetto che accede al sistema ed ai dati.

Integrità: è la veridicità che i dati trasmessi, ricevuti o conservati siano completi e non alterati. Il requisito dell’integrità dei dati è significativamente importante rispetto alle procedure di conclusione dei contratti o quando è indispensabile garantire l’accuratezza dei dati stessi come nel caso di dati medici, dati relativi alla progettazione industriale, ecc.

Disponibilità: è l’esigenza che i dati siano sempre accessibili e che i servizi funzionino anche nel caso di interruzioni dovute, ad esempio, alla cessazione dell’energia elettrica, a eventi disastrosi naturali, eventi imprevisti e/o ad attacchi di pirateria informatica. È un requisito di primaria importanza nei casi in cui l’indisponibilità di una rete di comunicazione può generare disfunzioni rispetto all’erogazione del servizio.

Il Sistema di Gestione della Sicurezza Informatica

Per ognuno di questi tre ambiti sarà necessario attuare una serie di procedure e misure specifiche, al fine di costituire un Sistema di Gestione della Sicurezza Informatica da applicare alla PA nelle sue molteplici e diverse articolazioni. I fattori contribuenti alla necessità di un SGSI sono essenzialmente la necessità di protezione dei beni (asset) e le debolezze della tecnologia (intrinseche e non). I suoi elementi costitutivi sono invece individuabili nell’area tecnologica, in quella organizzativa e in quella legale.

Va da sé che maggiore è il valore che si assegna al bene da proteggere (asset) maggiore dovrà essere lo sforzo, anche finanziario, che dovrà essere compiuto per la protezione del bene medesimo. I Sistemi di Gestione per l’Information Security (detti anche Information Security Management Systems, o “ISMS”) hanno come obiettivo principale l’implementazione di adeguati controlli, sotto forma di strutture organizzative, policy operative, istruzioni, procedure e funzioni software, atti ad assicurare il soddisfacimento di specifici obiettivi di sicurezza stabiliti dall’ente.