Gestione della sicurezza informatica
La gestione della sicurezza informatica (in inglese 'Information Security Management' o 'ISM') riguarda le pratiche utilizzate da una organizzazione per garantire la difesa della riservatezza, disponibilità e integrità delle risorse informatiche da minacce (in inglese 'threats') e vulnerabilità.
Per estensione, la gestione della sicurezza include l'analisi dei rischi informatici, un processo che implica la valutazione dei rischi che corre una organizzazione, e la distribuzione della responsabilità di gestione del rischio a tutti i diretti interessati.[1]
A sua volta, l'analisi dei rischi comporta una attenta valutazione del valore dell'azienda e delle sue risorse, per dare il giusto peso al valore dei dati e delle risorse informatiche.[2]
Per gestire la sicurezza informatica, una organizzazione può strutturare un Sistema di Gestione della Sicurezza delle Informazioni o SGSI, e allinearsi a un sistema di norme tecniche o standard di sicurezza informatica, come può essere la serie ISO 27000.[3][4]
Standard di riferimento
modificaGli standard di sicurezza informatica descrivono metodologie, indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla.
Alcuni standard utilizzati sono:
- la serie ISO 27000
- gli Standard of Good Practice (SoGP) promossi dall'Information Security Forum (ISF)
- le indicazioni del NIST, tra cui le pubblicazioni 800-12 e 800-26, che fornisce dei consigli sulla gestione della sicurezza informatica.[5]
- la IT Baseline Protection Manual, ossia il Manuale per la protezione di base IT (in tedesco 'IT-Grundschutzhandbuch') dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca.
Note
modifica- ^ Campbell, T., Chapter 1: Evolution of a Profession, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 1–14, ISBN 9781484216859.
- ^ Tipton, H.F. e Krause, M., Information Security Management Handbook, 5th, CRC Press, 2003, pp. 810–11, ISBN 9780203325438.
- ^ Humphreys, E., Chapter 2: ISO/IEC 27001 ISMS Family, in Implementing the ISO/IEC 27001:2013 ISMS Standard, Artech House, 2016, pp. 11–26, ISBN 9781608079315.
- ^ Campbell, T., Chapter 6: Standards, Frameworks, Guidelines, and Legislation, in Practical Information Security Management: A Complete Guide to Planning and Implementation, APress, 2016, pp. 71–94, ISBN 9781484216859.
- ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
Controllo di autorità | NDL (EN, JA) 00990624 |
---|