Security Policy Organizzative
Da Wikipedia, l'enciclopedia libera.
Con Security Policy s'intende la politica di sicurezza. In un contesto informatico, essa serve a proteggere l'attività nonché il flusso di informazioni, spesso archiviate, che muovono la comunicazione e le organizzazioni e i sistemi che ne fanno parte. Ognuno infatti, dall'azienda al singolo utente, fa parte di quell'immenso sistema comunicativo che è oggi in gran parte rappresentato da internet (ma anche da altri mezzi come la telefonia).
La sicurezza informatica (detta Information Security) è sempre più spesso associata a tecnologie come antivirus, antispam e firewall, nonostante questi strumenti ormai non siano più sufficienti a garantire la protezione del patrimonio informativo dai più comuni rischi informatici. Si rendono pertanto necessarie altre tecnologie quali, ad esempio, software per la gestione delle vulnerabilità, per la protezione dagli spyware, per la gestione delle identità o per la gestione degli eventi di sicurezza. L’Information Security può quindi essere definita come "l’insieme delle misure tecnologiche, organizzative, procedurali e legali che consentono a un’organizzazione di gestire i rischi a cui un sistema informativo è sottoposto".
Per gestire tutto questo c'è bisogno di quelle che abbiamo già definito come politiche di sicurezza. A tal proposito esistono diversi livelli di policy di sicurezza: - di alto livello (high level policy) e - funzionali (functional policy). A loro volta, come nello standard "ISO/IEC TR 13335: GMITS (Guidelines for the Management of IT security)", le politiche di alto livello vengono distinte in -policy di primo livello e -politiche generali, applicabili all’intera organizzazione, nonché siti, divisioni, dipartimenti, ecc. Nelle voci sottostanti passeremo in rassegna le politiche di sicurezza soffermandoci sulle implicazioni all'interno di una azienda.
La parte organizzativa delle politiche di sicurezza descrive gli elementi che illustrano l'organizzazione della CA (Certification Authority) e le modalità di utilizzo dei servizi offerti. E’ importante che ogni utente conosca il funzionamento della struttura, venga informato della qualifica del personale della CA e della qualità del materiale crittografico utilizzato (questo perché possa determinare, da solo o con l'aiuto di esperti, se la CA in considerazione sia adatta ai propri scopi).
[modifica] Livelli di sensibilità
Uno degli impegni maggiori dell’Information Security è quello di riuscire a creare il giusto livello di sensibilità, nelle organizzazioni, verso il tema della sicurezza. E' quindi importante che tutti, dai dipendenti ai collaboratori, siano consapevoli che i dati aziendali sono un patrimonio da proteggere. Questo è la funzione delle politiche di alto livello, che danno lo spunto alla definizione delle politiche funzionali; all'interno di esse si inserisce l’analisi e la gestione dei rischi. Infatti se le politiche di alto livello sono considerate come la dichiarazione d’intenti, l’analisi e la gestione dei rischi sono i processi per giungere alla definizione delle politiche funzionali: queste ultime costituiscono quindi l’insieme delle regole atte a definire il comportamento di persone, risorse ed enti, coinvolti nella gestione del sistema informativo dell’azienda.
[modifica] Politiche di alto livello
Con una politica di alto livello s'intende l’insieme dei principi generali per orientare le misure di sicurezza. Tra gli obiettivi ci può essere quello di assicurare la tutela del personale addetto, l’integrità e la disponibilità delle risorse informatiche, la disponibilità delle informazioni, ecc. Una politica di alto livello deve essere approvata della direzione di riferimento, pubblicata, divulgata, ed eventualmente aggiornata. Deve inoltre essere espressa tramite un documento. Viene solitamente definita cercando di rispettare alcuni requisiti fondamentali: - l’ambito di applicabilità, - la dichiarazione di intenti della direzione, - la descrizione dei principi generali e dei requisiti di sicurezza, - la definizione dei ruoli e delle responsabilità ed altri elementi importanti.
[modifica] Politiche funzionali
Le politiche funzionali costituiscono l’insieme delle regole atte a definire il comportamento di persone, risorse, enti coinvolti nella gestione dell’Information Security dell’azienda. Esse vengono aggregate secondo l’argomento trattato e raccolte in documenti. Le politiche funzionali sono vincolate all’architettura di sicurezza che s'intende realizzare, pertanto devono essere definite al termine delle fasi di analisi e gestione del rischio. Le principali politiche funzionali riguardano ad esempio:
- controllo accessi: identificazione, autenticazione e autorizzazione
- gestione utenti
- monitoraggio
- analisi e gestione dei rischi
- computer virus (virus e software maligno)
- sviluppo software (applicazioni)
- salvataggio e ripristino dei dati
- distribuzione del software e gestione delle licenze
- posta elettronica
- accessi in dial-up (utilizzo dispositivi dall’esterno)
- crittografia
- accessi alla rete
- connessioni a Internet
- gestione degli incidenti
- sicurezza fisica
- sicurezza del personale
- business continuity e disaster recovery
- gestione dei cespiti
- controllo dei cambiamenti
- disposizioni contrattuali con enti esterni (sempre in riferimento alla sicurezza)
- formazione.
I cambiamenti alle politiche funzionali di norma non devono richiedere variazioni alle politiche di alto livello: una politica funzionale detta i requisiti e le regole che devono essere rispettate per i vari ambiti della sicurezza. Per esempio una politica di gestione utenti definisce le regole che devono essere applicate nell’amministrazione delle utenze.
[modifica] Politiche di sicurezza per l'outsourcing
Un fenomeno abbastanza diffuso è quello di affidare a enti o società esterne tutte quelle attività (come possono essere l’amministrazione piuttosto che la logistica) che non rappresentano il cosiddetto "core business" dell’azienda, ovvero la parte principale dell'attività della azienda. E' quindi importante che le politiche di sicurezza decise dal committente vengano rispettate anche dall’outsourcer (colui a cui si affidono i servizi non strettamente core business): entrambi devono comprendere le implicazioni e le responsabilità inerenti all’accordo intrapreso. Solitamente si formalizza l'adesione alla politica di sicurezza già nel contratto tra le parti.
[modifica] Politiche di sicurezza per la posta elettronica in una azienda
La posta elettronica, si sa, è un mezzo di comunicazione importante, nonché veloce e flessibile. All'interno di una azienda favorisce la collaborazione e il coordinamento tra persone, quindi il lavoro di gruppo e la comunicazione con altre organizzazioni. E' dunque giusto che l’azienda promuova l’utilizzo della posta elettronica, imponendo allo stesso tempo il rispetto di alcune regole e raccomandazioni atte ad un impiego ottimale o quantomeno non distorto. La politica di sicurezza nella posta elettronica deve: - Essere applicabile a tutti gli utenti usufruitori del servizio e ai messaggi, con relativi allegati, trasmessi e/o ricevuti attraverso il sistema informatico dell’azienda; - Avere come quello di promuovere e assicurare l’utilizzo efficiente, etico e legale della posta elettronica da parte di tutti gli utenti; - Deve essere usato dagli utenti esclusivamente per il conseguimento di finalità aziendali; - L’utilizzo deve essere conforme agli standard informatici esposti nel “Manuale per l’utente della posta elettronica” e alle norme comportamentali aziendali. - La Direzione IT è responsabile degli strumenti atti a garantire il livello di integrità, riservatezza e disponibilità del servizio richiesto per l’uso lavorativo.
[modifica] Politiche di sicurezza per il computer di casa
Naturalmete le politiche di sicurezza non sono un argomento esclusivo delle aziende. Come singoli membri e clienti di servizi offerti da enti esterni, abbiamo il diritto di conoscere quali politiche di sicurezza sono in atto presso l’azienda che ci fornisce il servizio. Ci sono poi piccole accortezze che possiamo usare, per esempio evitare di installare programmi non necessari, soprattutto quelli la cui provenienza non è certa o potrebbe destare quantomeno dei sospetti.
