Cybersecurity e protezione privacy, recepita la norma EN ISO/IEC 27002

La cybersecurity, che viene anche chiamata cyber sicurezza o sicurezza informatica – consiste nell’insieme di tecnologie, processi e misure di protezione progettate per ridurre il rischio di attacchi informatici.

La normazione e in particolare l’ente federato UNINFO – Tecnologie Informatiche e loro applicazioni insieme a CEI – Comitato Elettrotecnico Italiano hanno sempre considerato centrale questo tema e lo dimostra il recente recepimento della EN ISO/IEC 27002.

Questo documento fornisce un insieme di controlli generici di riferimento per la sicurezza delle informazioni, comprensivi di linee guida per la loro implementazione. È stato realizzato per essere utilizzato dalle organizzazioni: 

Nell’ambito di un sistema di gestione per la sicurezza delle informazioni – SGSI basato su UNI CEI EN ISO/IEC 27001;

Per l’implementazione di controlli per la sicurezza delle informazioni basati sulle best practice riconosciute a livello internazionale;

Per lo sviluppo di linee guida per la gestione della sicurezza delle informazioni specifiche per l’organizzazione.

Un riferimento per ogni organizzazione

Il documento è progettato per organizzazioni di ogni tipo e dimensione. Dovrebbe essere utilizzato come riferimento per determinare e implementare i controlli per il trattamento del rischio relativo alla sicurezza delle informazioni in un sistema di gestione per la sicurezza delle informazioni (SGSI) basato sulla UNI CEI EN 1S0/IEC 27001. Può anche essere utilizzato come guida per le organizzazioni che determinano e implementano i controlli per la sicurezza delle informazioni comunemente accettati. Si prevede inoltre che venga usato per sviluppare linee guida per la gestione della sicurezza delle informazioni di settori e organizzazioni specifiche, tenendo in considerazione i loro specifici ambienti di rischio relativo alla sicurezza delle informazioni. Controlli specifici dell’organizzazione o dell’ambiente, diversi da quelli inclusi nel documento, possono essere determinati attraverso la valutazione del rischio, se necessario.

Le organizzazioni, di ogni genere e dimensione, comprese quelle dei settori pubblico e privato, commerciale e senza scopo di lucro, creano, raccolgono, elaborano, memorizzano, trasmettono ed eliminano informazioni in molte forme, incluse quelle elettroniche, fisiche  verbali (si pensi alle conversazioni e presentazioni).

Il valore dell’informazione va oltre le parole scritte, i numeri e le immagini: conoscenze, concetti, idee e marchi sono esempi di forme di informazione immateriali. In un mondo interconnesso, le informazioni e gli altri asset relativi meritano o richiedono protezione contro varie fonti di rischio, naturali, accidentali o intenzionali.

La sicurezza delle informazioni riveste pertanto una grandissima importanza; per ottenerla è fondamentale implementare un insieme adeguato di controlli, tra cui politiche, regole, processi, procedure, strutture organizzative e funzioni software e hardware.