Sistemi presi in considerazione
Il documento ha preso in considerazione le seguenti classi di "security device":- device per il controllo accesso comprese le tecnologie per l'identificazione queli le carte magnetiche , le smart card, i sistemi biometrici ed i sistemi a radio frequenza (radio frequency interference - RFI);
- sistemi televisivi a circuito chiuso (CCTV);
- sistemi di allarme e sensori;
- sistemi antincendio;
- sistemi per il controllo ambientale.
I principi proposti
1. Stabilire un framework per gestire i rischi connessi alla sicurezza fisica.2. Definire i requisiti di sicurezza per la sicurezza fisica e per le relative soluzioni.
3. Analizzare e comprendere costi e benefici della sicurezza fisica.
4. Implementare controlli efficaci.
5. Considerare i sistemi per la sicurezza fisica come sistemi critici e includerli nei piani di continuità aziendali.
6. Richiedere sistemi di log ed auditing e specifici per i sistemi di sicurezza fisica.
7. Prevedere training e awareness di sicurezza su misura.
8. Aumentare le pressioni sui vendor perché i protocolli di sicurezza fisica siano rafforzati.
Indice del documento
IntroductionObjectives
Background
Recommendations
Appendix 1—Summary of Roundtable Discussions
Appendix 2—Security Convergence Problem Stories
Appendix 3—Penetration Test Examples
Appendix 4—Applicable Standards
Il precedente rapporto
L’AESRM aveva precedentemente pubblicato il white paper “Convergence of Enterprise Security Organizations” (pdf [3], 2.5 M) che spiega in che modo la “security integration” aiuti le aziende a prevenire, identificare, contrastare e effettuare il “recovery” dopo un incidente di sicurezza. Il documento è stato realizzato secondo il punto di vista dei chief security officer (CSOs), dei chief information security officers (CISOs) e degli altri professionisti della sicurezza ed è liberamente scaricabili dal sito dell’Alleanza.Cos’è l’AESRM?
Nel febbraio 2005 le tre principali associazioni di sicurezza informatiche USA, ASIS International [4], ISACA [5] ed Information Systems Security Association (ISSA [6]) hanno dato luogo ad una alleanza strategica, l’Alliance for EnterpriseSecurity Risk Management (AESRM [7]).L’alleanza nasce per coordinare, con un indirizzo comune, le reciproche attività di sensibilizzazione nel campo della sicurezza delle informazioni.
Comune alle tre organizzazioni, infatti, è la visione che la sicurezza ICT è ormai una componente fondamentale del business; gli asset aziendali da un lato sono sempre più dipendenti dalle informazioni e, dall’altro, diventono sempre più intangibili; vi è quindi la necessità di un approccio integrato alla sicurezza.
Informazioni e contatti
ASIS: Chris Flynn, cflynn AT asisonline DOT org, 703.518.1466ISACA: Kristen Kessinger, kkessingerAT isaca DOT org, 847.590.7455
For ISSA: Ann Rogers, arogers AT wm DOT com, 713.287.2488