Sicurezza dei dati e delle informazioni
Proteggere il valore delle informazioni aziendali attraverso la ISO 27001

Quale deve essere l’investimento che un’azienda deve dedicare alla sicurezza dei propri dati e delle informazioni? Come valutare se sono state prese le contromisure per tutelare il proprio business e quello degli stake holders?

Se si deve riconoscere un pregio all’attuazione del DL 196/03 – Codice in materia di protezione dei dati personali – è sicuramente quello di aver diffuso la consapevolezza che le informazioni hanno un’importanza non trascurabile e vanno tutelate. Il decreto legislativo, però, si occupa solamente di tutelare gli interessi dei singoli individui e delle organizzazioni riguardo ai cosiddetti “dati sensibili” mentre non si cura di fornire indicazioni sulla protezione dei dati e delle informazioni strategiche per l’azienda.

Il valore delle aziende infatti è di gran lunga superiore agli asset tangibili di cui sono costituite perché si deve considerare anche il valore della conoscenza, dei dati e delle informazioni in esse residenti. In più, le aziende che manipolano i dati dei propri clienti (progetti tecnici, dati economici, strategie di mercato, archivi cartacei o informatici) sono depositarie di un valore che può essere oggetto di contenzioso qualora venisse reso inutilizzabile o divulgato alla concorrenza.

Da quanto osservato in questi ultimi mesi tutto lascia supporre che da qui in avanti vi sarà un aumento delle cause connesse ad una gestione impropria, dolosa o colposa, di informazioni ritenute riservate. Per tutelare la propria azienda da questi rischi è necessario predisporre contromisure adatte ad archiviare, conservare, proteggere e gestire i dati e le informazioni.

Quale deve essere l’investimento che un’azienda deve dedicare alla sicurezza, come valutare se sono state prese tutte le contromisure per tutelare il proprio business e quello dei propri stakeholders?

A questa domanda viene in aiuto una norma di recente pubblicazione: la ISO/IEC 27001 – Requisiti dei sistemi di gestione della sicurezza dei dati e delle informazioni. Il modello per realizzare un sistema atto a proteggere i dati aziendali è basato sul principio della valutazione del rischio. Attraverso la valutazione del rischio è possibile definire un programma di controllo e un sistema di obiettivi di sicurezza tali da permettere di valutare l’opportunità di prendere opportune contromisure o accettare il rischio residuo. Infatti quando il costo del sistema di prevenzione è superiore al rischio economico conviene accettare il rischio residuo o trasferirlo all’esterno con una opportuna copertura assicurativa.
M&IT Consulting ha messo a punto un sistema di calcolo del rischio che permette di quantificare economicamente il rischio in “euro/anno” permettendo al management aziendale di pianificare i propri investimenti sulla sicurezza dei dati ottimizzando il rapporto costo/risultato. Il procedimento messo a punto da M&IT prevede i seguenti passi:

  • definire lo scopo del sistema di sicurezza (quali sono i dati e le informazioni importanti per l’azienda)
  • definire l’estensione del sistema: estensione fisica e informatica, i punti di accesso e le aree di interscambio delle informazioni
  • valutare economicamente il valore di ogni classe di dati e il valore medio di un singolo record
  • individuare i processi di gestione dei dati e delle informazioni
  • valutare i pericoli che si corrono per ciascuna fase del processo
  • definire l’entità economica del danno in base alla classe dell’informazione ed alla sua estensione rispetto alla totalità dell’archivio
  • definire la probabilità di accadimento di una minaccia volta a sfruttare la vulnerabilità di una risorsa aziendale – la probabilità di accadimento viene valutata in termini di “numero di accadimenti all’anno”

A questo punto il rischio connesso al manifestarsi di una minaccia è dato dal prodotto della probabilità di accadimento per il valore economico della gravità degli effetti ed è proprio espresso in “euro all’anno”. A fronte delle diverse minacce vengono ricercate opportune contromisure. Il criterio di scelta di una contromisura è proprio quello di valutare economicamente il vantaggio economico (riduzione del rischio) rispetto al costo della contromisura stessa Il risultato dell’analisi è una valutazione economica delle contromisure ordinate per priorità. Il procedimento messo a punto da M&IT è molto efficace perché permette in breve tempo di acquisire una profonda conoscenza dei propri punti di debolezza e al tempo stesso di individuare gli interventi a maggior valore aggiunto.

Modulo di contatto
Dati personali
Contatti

(* dati obbligatori)

M&IT Consulting Srl
Sede di Bologna: via R. Longhi, 14/a - 40128 Bologna - tel. 051 6313773 - fax 051 4154298
Sede di Monza: via Borgazzi, 27 - 20900 Monza - tel. 039 9718531
Iscritta al R.I. di Bologna | C.F. 91197950370 | P.I. 02086101207 | Capitale sociale € 100.000,00 i.v.