L’informazione è un bene prezioso per l’azienda e, come tale, deve essere protetto. Un esempio concreto è il recente attacco alla Leonardo Spa, in cui un ex dipendente e un dirigente, attraverso un trojan di nuova ingegnerizzazione, inoculato nei computer attraverso delle pendrive Usb, tra maggio 2015 e gennaio 2017, hanno trafugato 10 gigabyte di dati e informazioni classificati di rilevante valore aziendale. Impostare un Sistema di gestione della sicurezza delle informazioni (SGSI) e definire delle regole di classificazione delle informazioni, sia di proprietà che di fornitori o clienti, è fondamentale per garantire un adeguato livello di protezione del patrimonio informativo di cui si è in possesso. Ciò consente di mettersi al riparo da possibili attacchi informatici (e non) o dalla divulgazione inappropriata. La perdita, il furto o eventuali danni che possono colpire il patrimonio informativo aziendale, possono avere un impatto importante sulle attività dell’organizzazione, con la conseguenza di incorrere in un rischio che può andare dalla perdita di reputazione fino a perdite patrimoniali o finanziarie cospicue.
Cosa si intende per “utilizzo dell’informazione”
Le informazioni devono essere utilizzate in modo sicuro, accurato e affidabile e devono essere prontamente disponibili per gli usi consentiti. Per “utilizzo dell’informazione” si intende una qualsiasi forma di trattamento che si avvalga di supporti elettronici, cartacei o consenta, in una qualsiasi forma, la comunicazione verbale. Per questo le informazioni devono essere classificate secondo un livello che ne garantisca il grado di riservatezza, integrità, disponibilità e affidabilità come sotto descritto:
RISERVATEZZA | L’accesso ai dati deve essere limitato in base ai privilegi indicati per gli utenti definiti, in accordo con il loro livello di classificazione. Le informazioni devono essere protette da eventuali accessi non autorizzati. Un esempio può essere la gestione dei dati del personale dove diversi attori possono accedervi (medico competente, consulente del lavoro, addetto al personale) ma ciascuno dovrà vedere solo i dati di propria competenza. |
INTEGRITÀ | Le informazioni devono essere complete e precise. Tutti i sistemi, gli asset e le reti devono funzionare correttamente, secondo specifiche che ne garantiscano la piena operatività al fine di impedire la circolazione di informazioni scorrette o alterate. |
DISPONIBILITÀ | Le informazioni devono essere disponibili in tempi rapidi e devono poter essere distribuite a chi ne detiene i diritti in base al livello di classificazione. Ovviamente, più le informazioni sono disponibili, e maggiore è il rischio che queste possano essere rubate o utilizzate per altri fini. |
AFFIDABILITÀ | Le informazioni devono essere appropriate in modo che possano essere utilizzate per assumere decisioni corrette. |
Il SGSI viene gestito dalla norma internazionale ISO/IEC 27001 che definisce i controlli necessari per dimostrare di essere capaci di tutelare a trecentosessanta gradi il proprio patrimonio informativo e quello affidatoci da terzi. Questa norma permette il controllo della sicurezza fisica, logica ed organizzativa; l’analisi dei rischi al fine di identificare le misure idonee di sicurezza; la gestione di apposte procedure ed il monitoraggio costante. Come si vede un approccio di processo secondo l’ormai noto modello PDCA (Plan, Do, Check, Act).
Come si realizza un Sistema di gestione della sicurezza delle informazioni: prima fase
Implementare un sistema di gestione della sicurezza delle informazioni richiede sicuramente competenza e, in caso si voglia ottenere la certificazione, uno sforzo economico. Per questo motivo ritengo che, laddove non si abbia modo di arrivare alla certificazione secondo questa norma, si possano comunque applicare i principi della ISO 9001:2015. Pertanto, come in precedenti articoli, vorrei focalizzarmi sulla possibilità di implementare un sistema di partenza che permetta comunque di tenere sotto controllo i rischi legati alla perdita di informazioni.
La prima fase prevede l’impostazione del progetto. Sarà necessario pianificare tutti gli step utili a definire l’entità e le possibili criticità del sistema, le priorità, i tempi di sviluppo nonché i ruoli le responsabilità. Il Sistema sarà tanto più complesso quante saranno le informazioni che l’azienda deve gestire e quanto sarà il grado di accuratezza che si desidera raggiungere; sarà così necessario individuare in modo preciso queste informazioni e i tempi richiesti per sviluppare il sistema, individuare i ruoli e le responsabilità, procedendo poi alla loro formazione. In generale possiamo individuare:
- la Direzione che determina la strategia dell’organizzazione integrata con il Sistema di Gestione della Sicurezza delle Informazioni, stabilendo gli obiettivi di sicurezza, mettendo a disposizione le risorse necessarie, comunicando l’importanza di un’efficace gestione del sistema stesso e contribuendo attivamente al raggiungimento dei risultati;
- il Responsabile della Sicurezza delle Informazioni che avrà il compito di implementare e garantire il funzionamento dell’intero Sistema, nonché di tenerlo sotto controllo. Questa figura potrebbe essere ricoperta dal RGQ (Resp. Gestione Qualità) o dal Privacy Officer;
- le parti interessate (responsabili di funzione, personale e consulenti) per la corretta applicazione dello stesso a garanzia della riservatezza, dell’integrità e della disponibilità delle informazioni.
Sistema di gestione della sicurezza delle informazioni: seconda fase
La seconda fase prevede la definizione del campo di applicazione in modo da raccogliere tutte le informazioni critiche gestite dall’azienda e capire i confini di applicabilità dello stesso. In questa fase farei rientrare anche la decisione riguardante la classificazione delle informazioni e la conseguente etichettatura; ciò consente di dare un grado di importanza alle informazioni in relazione al loro valore, ai requisiti cogenti ed alle criticità previste in caso di divulgazione. Un esempio può essere dato dalla seguente distinzione: Pubblica / Uso interno / Riservata / Strettamente riservata.
La terza fase è molto importante e prevede l’aspetto legato al rischio e all’opportunità di implementazione di tale Sistema. Un aiuto può arrivare dalla c.d. analisi Swot che consente di analizzare il contesto interno ed esterno, soppesando la convenienza di instaurare un SGSI. Con questo non sto dicendo che è preferibile non avere tale Sistema ma che dovrà essere attentamente calibrato sulla realtà in cui si dovrà applicare. Una volta completata l’analisi si dovrà procedere a:
- valutare le possibili conseguenze nel caso in cui tali rischi si dovessero verificare e la probabilità che queste si verifichino;
- assegnare le priorità di intervento;
- individuare, classificare e valorizzare i beni da proteggere considerando anche eventuali vincoli normativi, tecnologici, economici od operativi;
- effettuare il reporting, il trattamento e il monitoraggio dei rischi.
Se i rischi sono valutati qualitativamente, verranno considerati critici quelli che superano il valore di soglia prefissato, considerando congiuntamente la probabilità di accadimento e la severità dell’impatto. La matrice R=PxD può ancora una volta venire in nostro aiuto. La moltiplicazione dei due fattori darà il valore di rischio corrispondente alla perdita di riservatezza/integrità/disponibilità, secondo la seguente matrice (le indicazioni sulle conseguenze sono a mero titolo esemplificativo).
Calcolo livello di rischio | Gravità accadimento (danno) | ||||
4 Gravissimo | 3 Grave | 2 Medio | 1 Lieve | ||
Probabilità Accadimento | 5 Molto probabile | 20 | 15 | 10 | 5 |
4 Probabile | 16 | 12 | 8 | 4 | |
3 Probabile | 12 | 9 | 6 | 3 | |
2 Raro | 8 | 6 | 4 | 2 | |
1 Improbabile | 4 | 3 | 2 | 1 | |
Rischio | Livello | Conseguenze | |||
R > 10 | Elevato | Gravi perdite finanziarie e/o reputazionali, violazione di dati particolari, inabilità a lavorare, perdita di prove necessarie in controversie giudiziali, perdita di accesso a strutture vitali. | |||
R: 5 – 10 | Importante | Si possono incontrare conseguenze significative che si dovrebbe essere in grado di superare anche se con gravi difficoltà. | |||
R: 3 – 4 | Limitato | Accesso negato a servizi amministrativi, commerciali o aziendali, perdita di opportunità (es: cancellazione di una vendita, di un account), costi aggiuntivi. | |||
R: 1 – 2 | Trascurabile | Perdita di tempo nel ripetere delle formalità o nell’aspettare che queste vengano compilate, spam. |
In funzione delle conseguenze individuate andremo a ricercare i processi operativi a cui il sistema si deve applicare e quindi a individuare le azioni di mitigazione attraverso la gestione della documentazione (es. processi e procedure), dell’organizzazione e delle tecnologie. Ad esempio sarà fondamentale regolamentare:
- l’accesso alle risorse informatiche, che deve essere garantito solo al proprio personale autorizzato;
- la classificazione delle utenze attraverso account sia personali che funzionali (ad es. l’account della direzione HR);
- le politiche di gestione delle credenziali di accesso ai sistemi informativi, anche attraverso la creazione di un vademecum di regole obbligatorie per tutti;
- l’accesso alla posta elettronica e la navigazione in internet;
- le regole sulla sicurezza delle postazioni di lavoro e sulle apparecchiature;
- le policy di segnalazione, gestione e chiusura degli incident;
- le policy relative ai backup dei dati e delle informazioni;
- le policy di conservazione e distruzione delle informazioni.
L’ultima fase riguarda ovviamente il monitoraggio costante del sistema, la misurazione, la gestione degli incident ed il costante miglioramento del sistema stesso.
L’output del sistema può essere la creazione di una tabella in cui ricapitolare le decisioni prese al termine dell’analisi. In questa tabella, per ogni classe di riservatezza, andremo a specificare:
- le risorse autorizzate a trattare e gestire l’informazione (Responsabili di funzione, incaricati, tutti i dipendenti, etc);
- le indicazioni operative (come può essere utilizzata l’informazione, eventuali patti di riservatezza da prevedere, etc);
- la conseguenza della diffusione incontrollata (qui si richiama la tabella dei rischi);
- quali informazioni/documenti rientrano nella classe di riservatezza (presentazioni, offerte commerciali, procedure, etc);
- come devo gestirle (eventuale etichettatura, solo consulto, condivisione, etc);
- modalità di conservazione;
- procedure di distruzione.
Classe di riservatezza | Risorse autorizzare | Indicazioni operative | Conseguenze della diffusione | Informazioni documenti | Cosa posso fare | Conservazione | Distruzione |
Pubblica | |||||||
A uso interno | |||||||
Riservata | |||||||
Strettamente riservata |
Conclusioni
Sempre più aziende iniziano a comprendere l’importanza della sicurezza delle informazioni. Come abbiamo visto, esistono norme internazionali che aiutano le organizzazioni a implementare sistemi efficaci ed efficienti. A queste si affianca, non dimentichiamolo, oggi il GDPR che richiede di adottare misure tecniche e organizzative appropriate per proteggere i dati personali dalla perdita, la divulgazione o l’accesso non autorizzato. La sicurezza delle informazioni richiede l’impegno attivo di tutti. Soprattutto dei Responsabili di funzione che trattano sia informazioni che dati allettanti per eventuali attacchi esterni ed interni. Questo aspetto, nell’era Covid, diventa ancor più importante laddove si è iniziato a fare un uso massiccio del lavoro agile.
In generale, sarà fondamentale che in azienda si diffonda la cultura delle informazioni e che le stesse non devono essere a disposizione di tutti e si attui il Sistema di Gestione della Sicurezza delle Informazioni. Ciò per salvaguardare, come già detto, i principi su cui si basa tale sistema ed evitare, in futuro, contenziosi ben più costosi in termini di denaro e reputazione.