Mi occupo di sicurezza informatica a livello procedurale, sulla base delle linee guida ISO 27001:2005 e alle tecniche di prevenzione e profilassi dei pericoli informatici.
Lo standard ISO 2700X stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità.
Le linee guida sono organizzate in diverse sezioni, ogni sezione è dedicata ad una parte specifica:
- politiche di sicurezza (Security Policy), forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
- sicurezza organizzativa (Security Organization):
controllo della sicurezza delle informazioni in seno all’azienda;
monitorare la sicurezza delle informazioni quando la responsabilità dell’elaborazione dell’informazione è stata conferita in outsource. - Controllo e classificazione dei beni (Asset Classification and Control):
mantenere la protezione dell’assetto organizzativo e garantire che l’assetto delle informazioni riceva un appropriato livello di protezione. - Sicurezza del personale (Personnel Security):
Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;
per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti. - sicurezza fisica e ambientale (Physical and Environmental Security):
impedire l’accesso, il danneggiamento e l’interferenza dei non autorizzati all’interno del flusso delle informazioni del business;
impedire perdita, danni o l’assetto del sistema e la interruzione delle attività economiche;
impedire la manomissione o il furto delle informazioni. - Gestione di comunicazioni e operazioni (Communications and Operations Management):
accertarsi del corretto funzionamento e facilità di elaborazione dell’informazione;
minimizzare il rischio di guasti dei sistemi; - Controllo di accesso (Access Control):
per controllare l’accesso alle informazioni;
per impedire l’accesso non autorizzato ai sistemi d’informazione;
per rilevare le attività non autorizzate; - Sviluppo e manutenzione di sistemi (System Development and Maintenance):
mantenere la sicurezza del software e dei dati di sistema. - Gestione continuità operativa (Business Continuity Management):
- Adeguatezza (Compliance):
evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
MISURE MINIME DI SICUREZZA ICT
PER LE PUBBLICHE AMMINISTRAZIONI
(Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015)
La nuova Circolare AgID 1/2017, pubblicata in Gazzetta Ufficiale il 17.03.2017, con successivo adeguamento del 18.04.2017 nr. 2/2017, contiene tutte le misure minime di sicurezza ICT per le Pubbliche Amministrazioni, basata sulla “Direttiva del Presidente del Consiglio dei ministri del 1° agosto 2015”, la quale impone ad ogni Pubblica Amministrazione rientrante nella definizione ex. art. 1 c.2 d.Lgs. 165/2001 di attestare il livello di adozione delle misure minime di sicurezza del proprio Sistema Informatico al fine di conservare tale attestazione da trasmettere al CERT-PA (l’acronimo di Computer Emergency Response Team Pubblica Amministrazione) in caso di incidente informatico.
Consulta il PDF per avere maggiori informazioni
CONSULENZA ICT ADEGUAMENTO MISURE SICUREZZA ABSC
