C’era una volta il BS 7799, potremmo dire. Oggi, o meglio dal 2013, la nuova ISO/IEC 27001. Per chi non nutre, come lo scrivente, una smisurata simpatia nei confronti degli acronimi, ISO indica, in lingua inglese, International Organization for Standardization e IEC International Electrotechnical Commission. Entrambi i comitati tecnici collaborano su temi di interesse comune. Il compito principale del comitato tecnico congiunto è quello di preparare norme internazionali. ISO e IEC costituiscono il sistema specializzato per la normazione mondiale. La 27001 è stata elaborata allo scopo di fornire quei requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). Chiaramente, la realizzazione di un efficace sistema di gestione non prescinde da una serie di fattori quali: necessità, obiettivi, processi organizzativi, dimensione, struttura, ecc. L’SGSI mira a preservare la riservatezza, l’integrità e la disponibilità dalle informazioni mediante l’applicazione di un processo di risk assessment (risk identification, risk analysis and risk evaluation).
La domanda, avrebbe detto un noto personaggio televisivo, sorge spontanea: “Perché tendere o, meglio ancora, certificarsi ISO 27001?”. Potremmo rispondere laconicamente, quanto eloquentemente: “Perché l’adozione di un SGSI è una decisione strategica per un’Organizzazione”, laddove per strategica dobbiamo intendere esattamente ciò che intendevano gli antichi greci in ambito militare: στρατóζ (esercito, flotta, armata) + áγω (condurre, guidare), ovverosia condurre l’esercito in battaglia. E in battaglia si sa … è questione di vita o di morte, tertium non datur.
Non me ne vogliano, dunque, esperti del settore e puristi della lingua inglese se utilizzo, arbitrariamente ed esclusivamente, per finalità divulgative, come sinonimo il termine “vitale” in luogo di “strategico”. Vitale ritengo renda meglio l’idea. La vitalità è appunto la capacità di vivere e sopravvivere. Ogni Azienda, nel perseguire la propria mission (ragion d’essere), non può non tutelare – mi si conceda la litote – il proprio patrimonio aziendale, cioè il valore economico costituito dall’insieme di assets tangibili e di capitale intellettuale (conoscenza a disposizione in un’impresa e capace di generare vantaggio competitivo, come appunto gli assets intangibili, la proprietà intellettuale, ecc.). Mutuando le parole di Giulio Carducci, illustre maître à penser e faro nelle fitte nebbie della Security, potremmo affermare che una adeguata tutela delle informazioni è “caratteristica ontologica” dell’Azienda. Pena: danni incommensurabili, citando Benigni.
La norma, non a caso e sin dalle prime battute, richiede espressamente (ma dovrebbe essere un semplice memento, seguendo il ragionamento testé formulato) che il Top Management dimostri leadership e impegno, nei riguardi del sistema di gestione per la sicurezza delle informazioni assicurando: – che la politica e gli obiettivi siano stabiliti e compatibili con gli indirizzi strategici dell’Organizzazione;
– l’integrazione dei requisiti di detto sistema nei processi aziendali;
– la disponibilità delle risorse necessarie;
– il conseguimento degli esiti previsti;
e comunicando, altresì, al proprio interno l’importanza di un’efficace gestione della sicurezza delle informazioni e della necessità di essere conforme ai requisiti del sistema medesimo, non solo fornendo guida e sostegno alle persone, ma anche promuovendo il miglioramento continuo. Un ciclo virtuoso o, più correttamente, una spirale elicoidale senza una fine, che ad ogni livello cresce in valore e … in sicurezza.
di Cristhian Re, Responsabile Security Edipower