Cos’è un sistema di gestione per la sicurezza delle informazioni (SGSI)?

È quella parte del sistema di gestione complessivo, basata su un approccio rivolto al rischio relativo al business, volta a stabilire, attuare, condurre, monitorare, riesaminare, mantenere attiva, aggiornata e migliorare la sicurezza delle informazioni.

I suoi obiettivi principali sono la riduzione degli incidenti e l’impatto degli stessi ed il miglioramento del sistema derivante dall’esperienza.

Si possono definire informazioni il risultato della raccolta e dell’elaborazione di dati elementari, significativi e utili al processo decisionale.

Le informazioni possono essere stampate o scritte su carta, gestite con strumenti informatici, trasmesse via posta o con mezzi elettronici, presentate in film o dette in conversazioni.

• Principio di Schneier: la sicurezza è una catena: è forte come il suo anello più debole.

• Corollario di Mitnick: l’anello più debole sono le persone

I sistemi di gestione per la sicurezza delle informazioni si occupano del mantenimento della loro (ISO/IEC 27000):

• riservatezza (le informazioni non sono rese disponibili o note a individui, entità o processi non autorizzati);

• disponibilità (accessibilità e usabilità su richiesta di un’entità autorizzata, secondo i tempi previsti).

• integrità che a sua volta si suddivide in:

1. efficacia (utilità per l’utilizzatore);

2. affidabilità (verità e credibilità; anche sinonimo di accuratezza);

3. autenticità (essere chi o cosa è dichiarato);

4. conformità (coerente con le normative e i regolamenti applicabili);

5. non ripudiabilità (capacità di provare che un evento o un’azione e le entità che lo hanno originato, se dichiarato è accaduto).

Nell’ambito della ISO 27001 bisogna rispettare dei rigidi controlli di sicurezza da ripetere in alcuni casi con cadenze specifiche:

Requisiti di sistema:

• Stabilire politiche e obiettivi

• Condurre il risk assessment e pianificare il trattamento del rischio

• Gestire la documentazione e le registrazioni

• Gestire le risorse umane

• Gestire l’implementazione, l’operatività e la manutenzione dei controlli di sicurezza

• Gestire gli acquisti

• Gestire le Non Conformità e gli incidenti

• Effettuare riesami della Direzione

• Condurre audit interni

• Elaborare dati sull’efficacia del ISMS

• Gestire i processi di miglioramento

Controlli di sicurezza:

• 133 controlli di tipo amministrativo, tecnico, gestionale

Nei casi nei quali in cui questi controlli non siano attuati in maniera attenta e precisa possono accadere incidenti alquanto gravi.

Ne sono un esempio i seguenti:

• nel 48 a.c la biblioteca di Alessandria fu incendiata con la conseguente distruzione del patrimonio librario

• nel 1998, il Ministero delle Finanze inviò milioni di cartelle esattoriali sbagliate ai contribuenti

• nel 2003 l’Italia sperimentò un blackout dovuto a un albero caduto sulla linea dell’alta tensione in Svizzera e che in alcune zone durò anche più di 24 ore rendendo indisponibili,

• tra gli altri, servizi informatici e di comunicazione

• nel 2007 alcuni disegni della F2007 della Ferrari entrarono in possesso della sua concorrente McLaren

• nel 2010, il capo dell’antiterrorismo di Scotland Yard dovette rassegnare le dimissioni perché fotografato con un documento classificato “secret” sotto braccio e in bella vista

• a settembre 2013, i social network di Alpitour furono violati e alcuni link modificati per indirizzare a siti web malevoli

• a fine 2019, un’organizzazione, a causa di un colpo di vento, si vide volare numerosi documenti cartacei per strada

• nel marzo 2021, il data centre di OVH a Strasburgo andò a fuoco e molti sistemi rimasero indisponibili

• nell’agosto 2021, i sistemi informatici per la prenotazione dei vaccini COVID- 19 della Regione Lazio rimasero indisponibili per quattro giorni a causa di un ransomware

• a ottobre 2021 Facebook, WhatsApp e Instagram rimasero rimasti bloccati per 6 ore a causa di un errore di configurazione