Gestione della sicurezza informatica

La gestione della sicurezza informatica (in inglese 'Information Security Management' o 'ISM') riguarda le pratiche utilizzate da una organizzazione per garantire la difesa della riservatezza, disponibilità e integrità delle risorse informatiche da minacce (in inglese 'threats') e vulnerabilità.

Per estensione, la gestione della sicurezza include l'analisi dei rischi informatici, un processo che implica la valutazione dei rischi che corre una organizzazione, e la distribuzione della responsabilità di gestione del rischio a tutti i diretti interessati.[1]

A sua volta, l'analisi dei rischi comporta una attenta valutazione del valore dell'azienda e delle sue risorse, per dare il giusto peso al valore dei dati e delle risorse informatiche.[2]

Per gestire la sicurezza informatica, una organizzazione può strutturare un Sistema di Gestione della Sicurezza delle Informazioni o SGSI, e allinearsi a un sistema di norme tecniche o standard di sicurezza informatica, come può essere la serie ISO 27000.[3][4]

Standard di riferimento

modifica

Gli standard di sicurezza informatica descrivono metodologie, indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla.

Alcuni standard utilizzati sono:

  1. ^ Campbell, T., Chapter 1: Evolution of a Profession, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 1–14, ISBN 9781484216859.
  2. ^ Tipton, H.F. e Krause, M., Information Security Management Handbook, 5th, CRC Press, 2003, pp. 810–11, ISBN 9780203325438.
  3. ^ Humphreys, E., Chapter 2: ISO/IEC 27001 ISMS Family, in Implementing the ISO/IEC 27001:2013 ISMS Standard, Artech House, 2016, pp. 11–26, ISBN 9781608079315.
  4. ^ Campbell, T., Chapter 6: Standards, Frameworks, Guidelines, and Legislation, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 71–94, ISBN 9781484216859.
  5. ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
Controllo di autoritàNDL (ENJA00990624