Sicurezza dei dati e delle informazioni
Proteggere il valore delle informazioni aziendali attraverso la ISO 27001

Quale deve essere l’investimento che un’azienda deve dedicare alla sicurezza dei propri dati e delle informazioni? Come valutare se sono state prese le contromisure per tutelare il proprio business e quello degli stake holders?

Se si deve riconoscere un pregio all’attuazione del DL 196/03 – Codice in materia di protezione dei dati personali – è sicuramente quello di aver diffuso la consapevolezza che le informazioni hanno un’importanza non trascurabile e vanno tutelate. Il decreto legislativo, però, si occupa solamente di tutelare gli interessi dei singoli individui e delle organizzazioni riguardo ai cosiddetti “dati sensibili” mentre non si cura di fornire indicazioni sulla protezione dei dati e delle informazioni strategiche per l’azienda.

Il valore delle aziende infatti è di gran lunga superiore agli asset tangibili di cui sono costituite perché si deve considerare anche il valore della conoscenza, dei dati e delle informazioni in esse residenti. In più, le aziende che manipolano i dati dei propri clienti (progetti tecnici, dati economici, strategie di mercato, archivi cartacei o informatici) sono depositarie di un valore che può essere oggetto di contenzioso qualora venisse reso inutilizzabile o divulgato alla concorrenza.

Da quanto osservato in questi ultimi mesi tutto lascia supporre che da qui in avanti vi sarà un aumento delle cause connesse ad una gestione impropria, dolosa o colposa, di informazioni ritenute riservate. Per tutelare la propria azienda da questi rischi è necessario predisporre contromisure adatte ad archiviare, conservare, proteggere e gestire i dati e le informazioni.

Quale deve essere l’investimento che un’azienda deve dedicare alla sicurezza, come valutare se sono state prese tutte le contromisure per tutelare il proprio business e quello dei propri stakeholders?

A questa domanda viene in aiuto una norma di recente pubblicazione: la ISO/IEC 27001 – Requisiti dei sistemi di gestione della sicurezza dei dati e delle informazioni. Il modello per realizzare un sistema atto a proteggere i dati aziendali è basato sul principio della valutazione del rischio. Attraverso la valutazione del rischio è possibile definire un programma di controllo e un sistema di obiettivi di sicurezza tali da permettere di valutare l’opportunità di prendere opportune contromisure o accettare il rischio residuo. Infatti quando il costo del sistema di prevenzione è superiore al rischio economico conviene accettare il rischio residuo o trasferirlo all’esterno con una opportuna copertura assicurativa.
M&IT Consulting ha messo a punto un sistema di calcolo del rischio che permette di quantificare economicamente il rischio in “euro/anno” permettendo al management aziendale di pianificare i propri investimenti sulla sicurezza dei dati ottimizzando il rapporto costo/risultato. Il procedimento messo a punto da M&IT prevede i seguenti passi:

  • definire lo scopo del sistema di sicurezza (quali sono i dati e le informazioni importanti per l’azienda)
  • definire l’estensione del sistema: estensione fisica e informatica, i punti di accesso e le aree di interscambio delle informazioni
  • valutare economicamente il valore di ogni classe di dati e il valore medio di un singolo record
  • individuare i processi di gestione dei dati e delle informazioni
  • valutare i pericoli che si corrono per ciascuna fase del processo
  • definire l’entità economica del danno in base alla classe dell’informazione ed alla sua estensione rispetto alla totalità dell’archivio
  • definire la probabilità di accadimento di una minaccia volta a sfruttare la vulnerabilità di una risorsa aziendale – la probabilità di accadimento viene valutata in termini di “numero di accadimenti all’anno”

A questo punto il rischio connesso al manifestarsi di una minaccia è dato dal prodotto della probabilità di accadimento per il valore economico della gravità degli effetti ed è proprio espresso in “euro all’anno”. A fronte delle diverse minacce vengono ricercate opportune contromisure. Il criterio di scelta di una contromisura è proprio quello di valutare economicamente il vantaggio economico (riduzione del rischio) rispetto al costo della contromisura stessa Il risultato dell’analisi è una valutazione economica delle contromisure ordinate per priorità. Il procedimento messo a punto da M&IT è molto efficace perché permette in breve tempo di acquisire una profonda conoscenza dei propri punti di debolezza e al tempo stesso di individuare gli interventi a maggior valore aggiunto.

Modulo di contatto
Dati personali
Contatti
INFORMATIVA RICHIEDENTI INFORMAZIONI

Tipologie di dati raccolti e finalità del trattamento
I dati personali raccolti tramite questo form sono finalizzati a ricevere informazioni relativamente ai servizi di consulenza e formazione offerti da M&IT Consulting Srl.
Il conferimento dei dati è rimesso alla volontà dell'interessato. Il mancato conferimento dei dati richiesti comporta l'impossibilità di procedere all'invio delle informazioni richieste.

Consenso al trattamento
Il consenso al trattamento dei suddetti dati è necessario in quanto gli stessi sono raccolti fuori da accordi contrattuali pregressi. Si prega pertanto di spuntare sulla casella PRESTO IL CONSENSO.

Per tutte le altre informazioni in merito al trattamento dei dati raccolti, si rimanda alla Privacy Policy pubblicata sul presente sito.

(* dati obbligatori)

M&IT Consulting Srl
via R. Longhi, 14/a - 40128 Bologna - tel. 051 6313773 - fax 051 4154298
Email: info@mitconsulting.it - PEC: mitconsulting@pec.it
Iscritta al R.I. di Bologna | C.F. 91197950370 | P.I. 02086101207 | Capitale sociale € 100.000,00 i.v.