HOME
Sommario
Le Vostre Domande
News
Keywords
Archivio Rivista
Il Vostro Contributo
La Redazione
Teleconferenza
Archivio Notiziario
Chat
Link
       
       
 


I SISTEMI INFORMATICI E LA SICUREZZA DELL'INFORMAZIONE

Nella moderna azienda i dati e le informazioni assumono sempre più il valore di beni economici divenendo, di conseguenza, parte integrante del "patrimonio aziendale".

In questo ambito, anche in Italia si inizia a prestare attenzione alla sicurezza dell'informazione che, al pari di un qualunque bene economico, è strettamente collegata al concetto di pericolo e sicurezza.
Inoltre, l'uso delle moderne tecnologie informatiche, che sempre più facilitano l'uso delle banche dati, e l'avvento di Internet, con i suoi servizi a basso costo, hanno facilitato la trasformazione dei sistemi informativi aziendali da sistemi "chiusi" ad "aperti" con conseguente sviluppo delle reti di informazione che hanno favorito, così, l'incremento del volume, della natura e del carattere sensibile delle informazioni scambiate.

Definito il "pericolo" come "condizione o circostanza che può produrre un danno" e la "sicurezza" coma "la probabilità che, in condizioni prestabilite e in un tempo determinato, non si verifichi l'evento", discendono altri concetti quali la "minaccia", la "vulnerabilità" e il "rischio". Laddove la minaccia rappresenta il potenziale pericolo e sfrutta i punti deboli del sistema, la vulnerabilità coincide con i punti deboli indicati, mentre il rischio esprime la potenzialità di un evento dannoso di provocare un danno.

Questi concetti sono adeguatamente trattati dalla norma ISO/IEC 17799:2000 che recepisce la norma inglese BS7799-1:2000 sulla sicurezza informatica.

In particolare la BS7799-2:1999 propone un percorso operativo per definire e gestire un sistema di sicurezza nel rispetto dei tre principi fondamentali: riservatezza, integrità, disponibilità dell'informazione.

In sostanza la norma viene in aiuto per definire un piano di sicurezza che si sviluppa normalmente attraverso i seguenti passi fondamentali:

  • Progettazione di un sistema di sicurezza
  • Pianificazione delle attività realizzative
  • Cura della gestione del sistema
  • Verifica del livello di efficacia ed efficienza.

Le aziende interessate all'applicazione della norma ISO/IEC 17799:2000 possono, successivamente all'adozione di un sistema di sicurezza informatica rispondente ai principi della norma, ottenere la certificazione del proprio sistema di sicurezza anticipando, relativamente all'Italia, un fenomeno che tarda a decollare.

Alla domanda: "A chi interessa questa norma e la relativa certificazione?" si può rispondere così:

a tutte le organizzazioni pubbliche e private con particolare riferimento a quelle che gestiscono attività di commercio e banking elettronico o gestiscono archivi informatizzati in genere.

Perché certificarsi? Almeno per le tre seguenti ragioni:

a) riesaminare i propri processi relativi al trattamento delle informazioni alla luce di una norma di carattere internazionale che meglio interpreta le aspettative degli stake-holders
b) fornire maggiori garanzie alla propria clientela
c) favorire l'evoluzione della propria immagine sul mercato sia nazionale che internazionale.

Pasquale Dionisio

Scarica il PDF

Per leggere altri articoli sui Sistemi di Gestione consulti la pagina delle "Keywords"

 


  
 
HOME | Sommario | News | Keywords | Archivio | Teleconferenza | Chat