Cosa è il contesto nella sicurezza delle informazioni 27001

Per contesto si intende l’insieme dei fattori interni ed esterni all’organizzazione che possono essere influenti nella sicurezza delle informazioni ISO 27001

Elenca i fattori che influiscono sulla sicurezza delle informazioni (la consapevolezza dei rischi, lo stato della tecnologia impiegata, il budget disponibile) e documenta la dinamica di questa influenza. Poi elenca le parti interessate e le loro esigenze

Seguendo l’articolo riuscirai a sviluppare un’efficace analisi di contesto secondo quanto richiesto al punto 4 della ISO 27001:2017. Bastano 4 semplici passi e otterrai un documento efficace dal quale partirai per identificare i pericoli e valutare i rischi per la sicurezza delle informazioni.

Riunisci il gruppo di lavoro (alta direzione, responsabili di processo, IT manager, amministratore di sistema, responsabile del sistema di gestione per la sicurezza delle informazioni, etc.) e procedi come segue:

1. Individua i fattori che influenzano la sicurezza

I fattori che notoriamente influenzano la sicurezza delle informazioni, all’interno di un’organizzazione, sono i seguenti:

Consapevolezza dei rischi da parte delle persone
Consapevolezza dei rischi da parte dell’alta direzione
Formazione delle persone nell’ambito della sicurezza delle informazioni e la sicurezza informatica
Evoluzione tecnologica del settore della sicurezza nella gestione delle informazioni
Adeguatezza tecnologica dei dispositivi per la protezione fisica e logica dei dati
Budget disponibile da impiegare in investimenti per la sicurezza delle informazioni

2. Descrivi l’influenza esercitata dal fattore

Per ciascun fattore individuato, spiegare l’influenza esercitata sull’organizzazione in riferimento alla sicurezza delle informazioni, come negli esempi riportati di seguito:

DENOMINAZIONE DEL FATTORE: Consapevolezza dei rischi da parte delle persone

Descrizione dell’influenza:

Nessuna soluzione tecnologica può sopperire a comportamenti sbagliati (indotti o volontari che siano), così come nessuna tecnologia riuscirà a resistere ad un attacco di Social Engineering (ben strutturato e preparato). L’organizzazione ritiene che lavorare sulle persone, sui comportamenti e le abitudini può dare maggiore sicurezza all’efficacia dei controlli posti in essere per scongiurare i rischi per le informazioni.

La consapevolezza dei rischi da parte delle persone che presiedono il funzionamento dei controlli assume una tale incidenza che l’organizzazione ritiene che la sicurezza non è necessariamente “sistema-centrica” ma anche (e sempre più) “persona-centrica”.

Investimenti costosissimi per la sicurezza in infrastrutture tecnologiche all’avanguardia possono essere facilmente bypassati da comportamenti pericolosi dettati dalla percezione errata del rischio ma anche da comportamenti condizionati dall’ambizione sul lavoro, dalla paura del superiore gerarchico, dalla necessità di affermazione, etc.

DENOMINAZIONE DEL FATTORE: Consapevolezza dei rischi da parte dell’alta direzione

Descrizione dell’influenza:

Per l’alta direzione è fondamentale essere consapevole dei rischi per la sicurezza delle informazioni in quanto il funzionamento efficace del sistema di gestione rientra tra le sue responsabilità. Tale consapevolezza deve riguardare anche i rischi provenienti dal comportamento dei i propri collaboratori e consulenti. La consapevolezza dei rischi da parte dell’alta direzione incide non poco sui poteri autorizzativi o di delega che l’alta direzione attribuisce al suo staff. La consapevolezza della direzione si riferisce a quella relativa in materia di impatti ed effetti nel caso di compromissione delle informazioni, incluse le eventuali conseguenze di carattere legale (D.Lgs.n.231/2001 etc.)

3. Parti interessate

a. Individua le parti interessate

A titolo di esempio, le parti interessate e le loro esigenze che influenzano la capacità dell’organizzazione di conseguire i risultati attesi per il proprio sistema di gestione per la sicurezza delle informazioni sono le seguenti:

Clienti
Compagine societaria/proprietaria dell’organizzazione
Investitori
Persone dell’organizzazione

b. Descrivi le esigenze e le aspettative delle parti interessate che possono influire sulla sicurezza delle informazioni

Come per i fattori di contesto, anche per ciascuna delle parti interessate l’organizzazione deve procedere a comprendere e a documentare le relative esigenze che possono condizionare la gestione della sicurezza delle informazioni. Di seguito riportiamo alcuni esempi:

DENOMINAZIONE DELLA PARTE INTERESSATA: Clienti

Esigenze, aspettative e potenziali effetti sulla capacità dell’organizzazione

L’esigenza dei clienti è quella di poter contare sulla sicurezza dei propri dati che vengono forniti all’organizzazione per poter essere analizzati. L’esigenza di sicurezza riguarda soprattutto la riservatezza in quanto, ove tali dati dovessero accidentalmente o volontariamente venire diffusi ed entrare in possesso delle aziende concorrenti, il cliente potrebbe subire dei significativi pregiudizi economici tra i quali la perdita della quota di mercato. L’esigenza del cliente relativa alla riservatezza dei dati della sua organizzazione incide profondamente sulle scelte degli investimenti in nuove tecnologie da parte dell’organizzazione che, della riservatezza, fa un fattore prestazionale del proprio servizio.

DENOMINAZIONE DELLA PARTE INTERESSATA: Compagine societaria/proprietaria dell’organizzazione

Esigenze, aspettative e potenziali effetti sulle capacità dell’organizzazione

I soci proprietari dell’organizzazione sono interessati a proteggere dalla divulgazione le informazioni relative ai propri processi di analisi dei dati. Tali informazioni, alla stessa stregua di quelle del committente, se entrassero in possesso di aziende concorrenti, potrebbero minare la business continuity e compromettere il rapporto che l’organizzazione intrattiene con il proprio segmento di mercato. Gli algoritmi e le procedure di analisi dati devono essere protetti anche da eventi che possono comprometterne l’integrità. L’organizzazione adotta il sistema di gestione per la sicurezza delle informazioni, applicando tutti i controlli previsti dalla Norma ISO 27001:2017 per tutelare il proprio know-how che rappresenta il vero capitale dell’organizzazione.

L’analisi del contesto dell’organizzazione faciliterà l’individuazione dei pericoli per la sicurezza delle informazioni e la predisposizione dei necessari controlli per scongiurare i rischi di perdita di riservatezza, integrità e disponibilità.

DIMOSTRATIVI ED ESEMPI DELLA SEZIONE PROCEDURE GESTIONALI | PROCEDURE ISO/IEC 27001:2017

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Come sviluppare il contesto nella 27001 per la sicurezza delle informazioni

Questo sito utilizza i cookies