061003-iscom-secgov Riproduciamo dal volume “Risk Analysis Approfondimenti” (pdf [1],1,20 M) recentemente pubblicato dall’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM [2]), il paragrafo 1.1. dedicato alla Security Governance.

L’analisi e la gestione dei rischi nel contesto più ampio della Security Governance

ìIl concetto di Governance, a proposito di organizzazione e gestione d’azienda, è di recente introduzione, al pari di quello di analisi e gestione dei rischi.
Dal1960 in poi, parallelamente al consolidamento della corrente di pensiero che considerava l’azienda come un sistema complesso e al riconoscimento del ruolo crescente che rivestivano per l’azienda non solo i dipendenti, ma anche tutte le parti che con l’azienda intrattenevano rapporti (e quindi fornitori, clienti, azionisti di minoranza, ecc., cioè i cosiddetti stakeholder), veniva a profilarsi e a consolidarsi presso le maggiori aziende la cosiddetta Corporate Governance, articolata in seguito in varie componenti (Financial, Operational, Security, ecc.).
Il concetto di Governance in azienda sta ad indicare quella qualità, in tutti gli aspetti della gestione, che garantisce correttezza, trasparenza, legalità, controllo e verificabilità finalizzate non solo alla salvaguardia degli interessi degli azionisti di riferimento, ma anche di tutti gli stakeholder sopra indicati.
Nell’ambito delle componenti della Governance, l’analisi dei rischi assume ben presto un ruolo di rilievo.
Qualsiasi decisione strategica importante, quale l’apertura di nuovi mercati o l’istituzione di nuovi insediamenti all’estero, le innovazioni che possono influenzare la qualità della vita dei dipendenti, i progetti d’ingegneria complessi, devono essere accompagnati da un processo di analisi dei rischi connessi e da una valutazione dei possibili danni che colpirebbero, come si è visto, non solo gli azionisti di riferimento, ma anche altre categorie di interessati.
Nel suo specifico dominio, la Sicurezza richiede anch’essa, per i fini sopra esposti, una componente di Governance. Anche di questa componente di Governance l’analisi dei rischi costituisce un elemento essenziale per assicurare che i sistemi di protezione progettati e attuati siano, in effetti, coerenti con le minacce pertinenti e le relative probabilità di accadimento, nonché con i vincoli legali esistenti.
E’ in tale ambito che si colloca l’implementazione di un sistema di gestione della sicurezza delle informazioni [nota 1] (ISMS – Information Security Management System [nota 2].
Tali sistemi di gestione possono infatti essere considerati elementi abilitanti della Governance della sicurezza: essi mettono a disposizione un sistema organico che costituisce la trama operativa in grado di correlare - secondo prassi consolidate – obiettivi, attività e strumenti, facilitando le attività di gestione, coordinamento e controllo della sicurezza. La Governance viene quindi abilitata dal fatto che le decisioni possono essere prese sulla base di informazioni che risultano consistenti ed affidabili proprio in quanto originate da processi noti, stabili e misurabili.
I passi per adottare un ISMS sono i seguenti:

censire ed elevare a valore gli Information Asset;
analizzare i rischi;
identificare le misure di sicurezza e predisporre un piano di implementazione delle stesse;
creare consapevolezza e diffondere la cultura della sicurezza;
formare il personale ed informarlo con continuità;
verificare le misure di sicurezza in essere ed adeguarle;
eseguire attività di reporting, monitoraggio e auditing.

Le attività sopra elencate sono collegate l’una all’altra a cascata; di conseguenza risulta subito evidente che l’analisi dei rischi è il fulcro su cui fanno perno tutte le successive attività: si tratta pertanto di una fase fondamentale per l’implementazione del sistema di controllo.
Tale analisi non deve essere centrata sull’IT e pensata prevalentemente con riferimento al controllo accessi (logico e fisico).
Le linee guida di Corporate Governance si indirizzano, con maggior forza, sull’identificazione di più ampie aree di rischio, cercando di includere tutti gli eventi relativi a violazioni della sicurezza delle informazioni che potrebbero avere conseguenze sull’azienda.

Nota 1)

Le informazioni riportate nel seguito sono tratte da “White paper - Information Security Management System - Un valore aggiunto per le Aziende” realizzato dal gruppo di lavoro AIEA sugli ISMS.

Nota2)

L'ISMS è composto da:

politica di sicurezza, che fornisce le direttive aziendali per la sicurezza delle informazioni;
organizzazione, che assicura la corretta gestione della sicurezza delle informazioni all'interno dell'organizzazione;
classificazione e controllo del patrimonio, che assicura l'identificazione dei beni aziendali (dove per beni si intendono anche le informazioni) e la definizione e applicazione di misure di protezione adeguate al loro valore;
sicurezza del personale, per ridurre il rischio di errori, furti, frodi, ecc.;
sicurezza fisica e ambientale, per prevenire accessi non autorizzati, danni e incidenti;
gestione operativa e delle comunicazioni, che assicura una gestione operativa corretta e sicura delle elaborazioni e delle macchine;
controllo degli accessi alle informazioni;
sviluppo e manutenzione delle applicazioni, che assicura che la sicurezza sia incorporata nei sistemi informativi gestione della continuità operativa, che assicura una tempestiva reazione ad interruzioni operative e la protezione delle attività critiche da disastri e incidenti rilevanti;
conformità con la legge, che assicura di ottemperare a leggi e a regolamenti pertinenti.

Esse definiscono inoltre un modello di controllo del rischio basato su una costante attività di monitoraggio e di re-assessment dei rischi (ciò che costituisce un rischio oggi potrebbe non esserlo domani, mentre nuovi rischi sono generati dall’emergere di nuove tipologie di minacce o da cambiamenti nell’ambiente interno o esterno all’azienda).