Gestione della sicurezza informatica

La gestione della sicurezza informatica (in inglese 'Information Security Management' o 'ISM') riguarda le pratiche utilizzate da una organizzazione per garantire la difesa della riservatezza, disponibilità e integrità delle risorse informatiche da minacce (in inglese 'threats') e vulnerabilità.

Per estensione, la gestione della sicurezza include l'analisi dei rischi informatici, un processo che implica la valutazione dei rischi che corre una organizzazione, e la distribuzione della responsabilità di gestione del rischio a tutti i diretti interessati.^[1]

A sua volta, l'analisi dei rischi comporta una attenta valutazione del valore dell'azienda e delle sue risorse, per dare il giusto peso al valore dei dati e delle risorse informatiche.^[2]

Per gestire la sicurezza informatica, una organizzazione può strutturare un Sistema di Gestione della Sicurezza delle Informazioni o SGSI, e allinearsi a un sistema di norme tecniche o standard di sicurezza informatica, come può essere la serie ISO 27000.^[3]^[4]

Standard di riferimento modifica

Gli standard di sicurezza informatica descrivono metodologie, indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla.

Alcuni standard utilizzati sono:

la serie ISO 27000
gli Standard of Good Practice (SoGP) promossi dall'Information Security Forum (ISF)
le indicazioni del NIST, tra cui le pubblicazioni 800-12 e 800-26, che fornisce dei consigli sulla gestione della sicurezza informatica.^[5]
la IT Baseline Protection Manual, ossia il Manuale per la protezione di base IT (in tedesco 'IT-Grundschutzhandbuch') dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca.

Note modifica

^ Campbell, T., Chapter 1: Evolution of a Profession, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 1–14, ISBN 9781484216859.
^ Tipton, H.F. e Krause, M., Information Security Management Handbook, 5th, CRC Press, 2003, pp. 810–11, ISBN 9780203325438.
^ Humphreys, E., Chapter 2: ISO/IEC 27001 ISMS Family, in Implementing the ISO/IEC 27001:2013 ISMS Standard, Artech House, 2016, pp. 11–26, ISBN 9781608079315.
^ Campbell, T., Chapter 6: Standards, Frameworks, Guidelines, and Legislation, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 71–94, ISBN 9781484216859.
^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).

Controllo di autorità	NDL (EN, JA) 00990624

[CampbellPractical16-1-1] Campbell, T., Chapter 1: Evolution of a Profession, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 1–14, ISBN 9781484216859.

[TiptonInfo03-2] Tipton, H.F. e Krause, M., Information Security Management Handbook, 5th, CRC Press, 2003, pp. 810–11, ISBN 9780203325438.

[HumphreysImplement16-3] Humphreys, E., Chapter 2: ISO/IEC 27001 ISMS Family, in Implementing the ISO/IEC 27001:2013 ISMS Standard, Artech House, 2016, pp. 11–26, ISBN 9781608079315.

[CampbellPractical16-6-4] Campbell, T., Chapter 6: Standards, Frameworks, Guidelines, and Legislation, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 71–94, ISBN 9781484216859.

[5] Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).

[1]

[2]

[3]

[4]

[5]