Questa nuova pubblicazione dell’Alliance for Enterprise Security Risk Management (AESRM), dal titolo “Convergent Security Risks in Physical Security Systems and IT Infrastructures” (pdf, 544 K), presenta una overview dei principali temi legati alla sicurezza fisica delle infrastrutture IT. Il documento sostiene che occorre identificare i “security risk” specifici della sicurezza fisica e le relative problematiche manageriali coinvolgendo i produttori, i security architect, gli amministratori di sistema, l’information security staff e gli auditor. Le soluzioni per la sicurezza fisica devono essere sviluppate, infine, all’interno della strategia di sicurezza globale dell’azienda.

Sistemi presi in considerazione

Il documento ha preso in considerazione le seguenti classi di "security device":

• device per il controllo accesso comprese le tecnologie per l'identificazione queli le carte magnetiche , le smart card, i sistemi biometrici ed i sistemi a radio frequenza (radio frequency interference - RFI);
• sistemi televisivi a circuito chiuso (CCTV);
• sistemi di allarme e sensori;
• sistemi antincendio;
• sistemi per il controllo ambientale.

I principi proposti

1.    Stabilire un framework per gestire i rischi connessi alla sicurezza fisica.
2.    Definire i requisiti di sicurezza per la sicurezza fisica e per le relative soluzioni.
3.    Analizzare e comprendere costi e benefici della sicurezza fisica.
4.    Implementare controlli efficaci.
5.    Considerare i sistemi per la sicurezza fisica come sistemi critici e includerli nei piani di continuità aziendali.
6.    Richiedere sistemi di log ed auditing e specifici per i sistemi di sicurezza fisica.
7.    Prevedere training e awareness di sicurezza su misura.
8.    Aumentare le pressioni sui vendor perché i protocolli di sicurezza fisica siano rafforzati.

Indice del documento

Introduction
Objectives
Background
Recommendations
Appendix 1—Summary of Roundtable Discussions
Appendix 2—Security Convergence Problem Stories
Appendix 3—Penetration Test Examples
Appendix 4—Applicable Standards

Il precedente rapporto

L’AESRM aveva precedentemente pubblicato il white paper “Convergence of Enterprise Security Organizations” (pdf, 2.5 M) che spiega in che modo la “security integration” aiuti le aziende a prevenire, identificare, contrastare e effettuare il “recovery” dopo un incidente di sicurezza. Il documento è stato realizzato secondo il punto di vista dei chief security officer (CSOs), dei chief information security officers (CISOs) e degli altri professionisti della sicurezza ed è liberamente scaricabili dal sito dell’Alleanza.

Cos’è l’AESRM?

Nel febbraio 2005 le tre principali associazioni di sicurezza informatiche USA, ASIS International, ISACA ed Information Systems Security Association (ISSA) hanno dato luogo ad una alleanza strategica, l’Alliance for EnterpriseSecurity Risk Management (AESRM).
L’alleanza nasce per coordinare, con un indirizzo comune, le reciproche attività di sensibilizzazione nel campo della sicurezza delle informazioni.
Comune alle tre organizzazioni, infatti, è la visione che la sicurezza ICT è ormai una componente fondamentale del business; gli asset aziendali da un lato sono sempre più dipendenti dalle informazioni e, dall’altro, diventono sempre più intangibili; vi è quindi la necessità di un approccio integrato alla sicurezza.

Informazioni e contatti

ASIS: Chris Flynn, cflynn AT asisonline DOT org, 703.518.1466
ISACA: Kristen Kessinger, kkessingerAT isaca  DOT org, 847.590.7455
For ISSA: Ann Rogers, arogers AT wm DOT com, 713.287.2488

IsacaRoma link

Alliance for Enterprise Security Risk Management (AESRM)