Scopo della presente sezione è fornire indirizzi per la protezione degli strumenti elettronici e dei dati personali dalle minacce, identificate e da quelle che si reputa possano accadere
Stante alla definizione stilata in ISO, la sicurezza è “l’insieme delle misure atte a garantire la disponibilità, l’integrità e la riservatezza delle informazioni gestite” parliamo dunque inequivocabilmente di tutte le misure idonee a proteggere il sistema informatico eventuali attacchi, anche se questi non lo sono in senso lato ma ad esempio derivano da errori umani sempre possibili e sempre da gestire perché hanno potenzialmente lo stesso risultato di un attacco haker professionale.
Comunque la si voglia vedere la sicurezza informatica la si ottiene solo se oltre a studiare e quindi identificare le minacce ci si adopera in maniera proattiva per neutralizzare questi eventuali attacchi, individuando delle contromisure idonee a bloccare l’attacco eventualmente a ripristinare lo stato delle cose, ante attacco.
Ricordiamoci sempre che le contromisure tecniche devono tener conto degli aspetti tecnici, logistici, amministrativi, organizzativi, e naturalmente di quelli legislativi anche se derivanti da eventuali codici deontologici imposti dalla produzione che come è giusto che sia resta sovrana
Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni.
Lo standard individua tre aspetti fondamentali relativi alla sicurezza delle informazioni:
1. Confidenzialità: solo gli utenti autorizzati possono accedere alle informazioni necessarie;
2. Integrità: protezione contro alterazioni o danneggiamenti; tutela dell’accuratezza e completezza dei dati;
3. Disponibilità: le informazioni sono rese disponibili quando occorre e nell’ambito di un contesto pertinente.
L’approccio alla sicurezza deve avvenire in una logica di prevenzione (risk management) piuttosto che in una logica di gestione delle emergenze o di semplice controllo/vigilanza.
L’architettura per rispondere alle esigenze di sicurezza è costituita da 3 elementi fondamentali:
1. le politiche dell’organizzazione,
2. gli strumenti organizzativi e tecnologici,
3. gli atteggiamenti individuali.
Un corretto e funzionante sistema di sicurezza delle informazioni permette all’organizzazione di:
· mantenersi aggiornata su nuove minacce e vulnerabilità e prenderle in considerazione in modo sistematico;
· trattare incidenti e perdite in ottica di prevenzione e di miglioramento continuo del sistema;
· sapere quando politiche di sicurezza e procedure non sono implementate, in tempo utile per prevenire danni;
· implementare politiche e procedure di primaria importanza.