Standard sicurezza informatica

ISO 27002:2007 2016

L’Europa ha definito in due anni l’adeguamento necessario per non incorre in sanzioni che saranno attive dal 2018 in poi per chi non si adegua alla Legge ed allo standard ISO conseguente che definisce e classifica tre gli ordini principali di integrità, per la gestione della sicurezza informatica.

Le informazioni, telematiche devono necessariamente avere le condizioni di comunicazione documentate che possano testimoniare una transazione dei dati, in riservatezza prima dopo e durante la trasmissione, lo stoccaggio e la gestione delle informazioni sensibili.
La Disponibilità è subordinata a 10 perimetri di controllo, assegnati dall’organismo disciplinare internazionale che comprova la specificità della normativa e della legge che impone alle aziende di perseverare su una continua ricerca nella cyber-sicurezza, delle sue regole normative e delle best praticles anche per il loro stesso bene.

Vediamo quali sono:
A) Security Policy:
Assegnazione di importanti limiti e registrazione delle funzioni di approvvigionamento delle informazioni sensibili. Queste devono essere lineari e ben comprensibili all’operatore.

B) Security Organization:
gestione e controllo dei sistemi, in seno all’azienda.
Provvedere ai processi d’accesso alle informazioni del personale e organizzare un accesso limitato a terze parti con protocolli assegnati e responsabilità identificate.
Chi fa cosa e quando lo fa.
Se la gestione ed il controllo viene dato in outsourcing delimitare ulteriormente le responsabilità e prefissare in un contratto i limiti delle Parti in gestione.

C) Asset Classification and Control:
controllo e classificazione dei beni per mantenere un focus costante sulla protezione dell’assetto organizzativo aziendale e garantire che e le informazioni sensibili ricevano un adeguato livello di protezione.
Esempio a titolo esemplificativo ma non esaustivo: lista Fornitori/Clienti – Listino prezzi – Promozioni – Settore ricerca e sviluppo – Sistemi produttivi ecc…

D) Personnel Security:
la sicurezza del personale deve contribuire a far diminuire il rischio dell’errore, della fuga di informazioni, di furto, di frode o abusi da parte di operatori – interni o esterni all’azienda.
Formazione agli utenti sulle possibili minacce e sulle buone pratiche per minimizzare i danni da attacchi informatici Layer 1.

E) Physical and Environmental Security:
la sicurezza fisica e ambientale deve impedire l’accesso non voluto, il danneggiamento o l’interferenza dei non autorizzati all’interno del flusso delle informazioni del business.
Impedire perdita, danni o abuso all’assetto del sistema e all’ interruzione delle attività produttive, economiche e di sussistenza per impedire la manomissione o il furto delle informazioni.

F) Communications and Operations Management:
gestione delle comunicazioni interne ed esterne dell’azienda con operazioni che devono accertarsi del corretto funzionamento delle infrastrutture di Rete e della facilità di elaborazione dell’informazione, minimizzando al tempo stesso i rischi dei guasti ai sistemi. Proteggere l’integrità del software e delle informazioni che vi vengono immesse anche dal personale che le utilizza, accertandonsi di mantenere l’integrità e la validità dei processi di elaborazione dell’informazione e della comunicazione anche mediatica dell’azienda.
L’immagine aziendale nell’era della comunicazione vuol dire molto di più di quanto si pensi.
Garantire la salvaguardia delle informazioni in Rete e la protezione delle infrastrutture a supporto delle comunicazioni diventa una necessità imprescindibile dalla grandezza dell’imprese.
Prevenire danni ai beni e, interruzioni alle attività economiche diventerà una missione per tutte le aziende.
Impedire, perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni pubbliche o private, PMI o aziende per la sussistenza dovrebbe essere anche nell’amministazioni pubbliche una garanzia.

G) Access Control:
controllo agli accessi. Proteggere le informazioni utili. Impedire la penetrazione dei sistemi informativi occulti che possono arrecare danni ai sistemi di protezione dei servizi in Rete; come Social Network, portali tematici, fornitori di CRM/ERP e applicazioni per dispositivi mobili.
Bloccare ogni accesso non autorizzato al database e/o ad altre liste organizzate.
Controllo, bonifica e ubicazione degli apparati di rilevamento delle infiltrazioni anche ambientali.
Accredito dei livelli di sicurezza per le informazioni sensibili a postazioni mobili di rete.

H) System Development and Maintenance:
sviluppo e manutenzione di sistemi che accertino la sicurezza all’interno dell’ingegneria di sistema con il controllo degli accesi e delle operazioni, in esecuzione – (attenzione ai Keylogger) – per bloccare la perdita di dati o un eventuale utilizzo errato dei codici in applicazioni Legacy anche all’interno di sistemi CRM e/o ERP e di rilevamento Firewall che devono essere sempre aggiornati, in tempo reale, per proteggere – riservatezza, autenticità e l’integrità delle configurazioni – (attenzione allo “0 Day”) – nelle configurazioni degli hardware e dei software in uso.
Verifica di continuità e sussistenza a tutto il sistema che deve restare integro.

I) Business Continuity Management:
gestione della continuità operativa e alta affidabilità dei sistemi. Impostazioni di sistemi per: Disaster Recovery; immagine disco e Storage per garantire l’attività anche dopo un evento traumatico per tutta l’azienda – incendio, catastrofi ambientali o guerra.

L) Compliance:
attività di continuità e adeguatezza al rispetto delle leggi civili, penali e di qualsiasi altro requisito di sicurezza che deve elevarne l’efficienza dei sistemi aziendali con verifiche periodiche e manutenzioni programmate.
Official Site ISO 27000

ISO 27002-27000