L’ISMS (Information Security Management System) può rappresentare un importante supporto per le organizzazioni che vogliono identificare le misure tecnologiche e organizzative indispensabili per proteggere il proprio asset informativo. L’obiettivo principale di un ISMS è realizzare un sistema strutturato per gestire il rischio, proteggere le informazioni, gli asset IT e, più in generale, gli asset aziendali.
La famiglia di standard internazionali ISO/IEC 27001 definisce i requisiti di un ISMS, relativi agli aspetti di sicurezza logica, fisica e organizzativa, per poter assicurare una corretta gestione della sicurezza informatica. Un ISMS, progettato secondo i requisiti ISO 27001, sarà in grado di identificare controlli di sicurezza adeguati e proporzionati al rischio.
ISMS, caratteristiche e benefici
ISMS, caratteristiche e benefici
L’ISMS è di fatto un sistema di gestione della sicurezza delle informazioni efficiente e integrato. Una delle caratteristiche di un ISMS è la visione olistica della sicurezza che include non solo la componente IT, ma anche le persone e i processi.
È inoltre un modello dinamico che si adatta all’evoluzione delle minacce e dei sistemi, restituisce una visione reale della situazione della sicurezza e aiuta l’organizzazione che lo adotta a definire le priorità di intervento, con conseguente allocazione delle risorse sulla base della valutazione del rischio. I controlli definiti da ISMS, secondo lo standard ISO 27001, su base totalmente volontaria, consentono non solo di rispondere ad esigenze interne ma aiutano a raggiungere la conformità alla maggior parte delle normative sulla sicurezza, generali (ad esempio GDPR per la privacy) o definite per specifici settori.
Come strutturare un progetto ISMS
Come strutturare un progetto ISMS
Per realizzare un ISMS si devono seguire più fasi: pianificazione e progettazione, di cui è parte integrante l’attività di risk assessment, implementazione, monitoraggio, manutenzione e miglioramento, in un percorso non dissimile da quello richiesto dai sistemi per la gestione della qualità.
L’impostazione ciclica è particolarmente importante in quanto consente di tenere conto dell’evoluzione delle minacce e di adattare di conseguenza le misure di sicurezza.
Parte integrante della realizzazione di un ISMS è la creazione di un team di progetto che dovrà essere caratterizzato da conoscenze ed esperienze tali da consigliare, in alcuni casi, il ricorso a professionisti esterni, che dovranno però contare sul necessario supporto, all’interno dell’organizzazione, di manager con autorità adeguata a coordinare le risorse e le strutture coinvolte.
La prima fase dello sviluppo del progetto dovrà individuare processi e procedure, oltre che asset e attori quali i clienti, i dati, i partner, gli uffici di sede e periferici.
Si dovranno poi individuare i controlli e le metriche necessari per il monitoraggio. I controlli di sicurezza identificati dipenderanno dai settori e dalle singole realtà; dovranno in ogni caso essere non invasivi per gli utenti e non sovraccaricare i processi operativi.
Un ruolo centrale in un progetto ISMS è svolto dall’analisi del rischio, per la quale andranno seguite le diverse fasi: identificazione del rischio, sua misurazione, selezione delle priorità e definizione del trattamento.
Per ciascun rischio si valuterà se:
- Accettarlo, identificando azioni di mitigazione per portarlo ad un livello accettabile;
- Trasferirlo, ove è possibile identificare un ambito dove è più semplice compensarlo con azioni di mitigazione;
- Eliminarlo, sopprimendo ad esempio un servizio per il quale il rischio annulla il beneficio.
Una volta implementato l’ISMS, sulla base di quanto definito nel piano, si dovrà definire una fase di monitoraggio, con cadenze periodiche o in caso di cambiamenti significativi, per valutare l’efficacia e l’adeguatezza delle misure rispetto all’evoluzione delle minacce. Le modalità di conduzione dell’audit e le metriche individuate risultano aspetti critici per la valutazione del sistema.
In conclusione, un ISMS rappresenta un approccio strutturato molto utile nel garantire la sicurezza aziendale orientata alla gestione dei rischi, in un’ottica evolutiva. Per la sua efficacia è indispensabile poter contare su adeguate competenze, interne o esterne, e su un forte commitment dei vertici aziendali.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.