Due cose che vengono spesso confuse l'una con l'altra: sicurezza informatica (IT) e sicurezza delle informazioni. Nell'era della digitalizzazione, le informazioni vengono prevalentemente elaborate, immagazzinate o trasportate con l'aiuto dell'IT - ma spesso la sicurezza delle informazioni è più analogica di quanto si pensi! Fondamentalmente, la sicurezza informatica e la sicurezza delle informazioni sono strettamente collegate. Un approccio sistematico è quindi necessario per una protezione efficace delle informazioni confidenziali, così come dell'IT stesso.

Loading...

Sicurezza informatica vs. sicurezza delle informazioni

La sicurezza delle informazioni è più di una semplice sicurezza informatica. Si concentra sull'intera azienda. Dopo tutto, la sicurezza delle informazioni confidenziali non riguarda solo i dati elaborati dai sistemi elettronici. La sicurezza delle informazioni comprende tutti i beni aziendali che devono essere protetti, compresi quelli su supporti dati analogici come la carta.

"Sicurezza informatica e sicurezza delle informazioni sono due termini che non sono (ancora) intercambiabili".

Obiettivi di protezione della sicurezza dell'informazione

I tre obiettivi di protezione essenziali della sicurezza delle informazioni - riservatezza, disponibilità ed integrità - valgono quindi anche per una lettera contenente importanti documenti contrattuali, che deve arrivare puntuale, affidabile ed intatta alla porta del suo destinatario, trasportata da un corriere, ma interamente analogica. E questi obiettivi di protezione si applicano ugualmente ad un foglio di carta che contiene informazioni confidenziali, ma che giace su una scrivania incustodita alla vista di chiunque o aspetta nella fotocopiatrice, liberamente accessibile, per un accesso non autorizzato.

Quindi, la sicurezza delle informazioni ha una portata più ampia della sicurezza informatica. La sicurezza informatica, invece, si riferisce "solo" alla protezione delle informazioni sui sistemi informatici.

La sicurezza informatica secondo la definizione

Cosa dicono gli organismi ufficiali? La sicurezza informatica è "uno stato in cui i rischi presenti nell'uso delle tecnologie dell'informazione dovuti a minacce e vulnerabilità sono ridotti ad un livello accettabile da misure appropriate". La sicurezza informatica è quindi lo stato in cui la riservatezza, l'integrità e la disponibilità delle informazioni e delle tecnologie informatiche sono protette da misure appropriate". Secondo l'Ufficio federale tedesco per la sicurezza dell'informazione (BSI).

Sicurezza delle informazioni = sicurezza informatica più X

In pratica, a volte si adotta un approccio diverso, usando la regola empirica "sicurezza delle informazioni = sicurezza informatica + protezione dei dati". Tuttavia, questa affermazione, scritta come un'equazione, è abbastanza sorprendente. Certamente, la questione della protezione dei dati secondo il GDPR europeo riguarda la protezione della privacy, che richiede ai processori di dati personali di avere sia un IT sicuro che, per esempio, un ambiente di costruzione sicuro - escludendo così l'accesso fisico ai record di dati dei clienti. Tuttavia, questo lascia fuori importanti dati analogici che non richiedono la privacy personale. Per esempio, i piani di costruzione dell'azienda e molto altro.

Il termine sicurezza delle informazioni contiene criteri fondamentali che vanno oltre i puri aspetti informatici, ma li includono sempre. Così, comparativamente, anche semplici misure tecniche o organizzative nell'ambito della sicurezza informatica sono sempre prese sullo sfondo di un'adeguata sicurezza delle informazioni. Esempi di questo possono essere:

  • Assicurare l'alimentazione dell'hardware
  • Misure contro il surriscaldamento dell'hardware
  • Scansioni di virus e programmi sicuri
  • Organizzazione delle strutture delle cartelle
  • Impostazione e aggiornamento dei firewall
  • Formazione dei dipendenti, ecc.

È ovvio che i computer e i sistemi informatici completi di per sé non avrebbero bisogno di essere protetti. Dopo tutto, senza informazioni da elaborare o trasportare digitalmente, hardware e software diventano inutili.

Sicurezza informatica per legge, un esempio dalla Germania

Il tema di CRITIS: La legge sulla sicurezza informatica si concentra sulle infrastrutture critiche di vari settori, come l'elettricità, il gas e l'approvvigionamento idrico, i trasporti, la finanza, il cibo e la salute. Qui, l'obiettivo principale è quello di proteggere le infrastrutture IT contro la criminalità informatica per mantenere la disponibilità e la sicurezza dei sistemi IT. In particolare, gli attuali sistemi di telecontrollo controllati digitalmente devono essere protetti.

Questi obiettivi di protezione sono in primo piano (estratto):

  • Considerazione dei rischi di sicurezza IT
  • Creazione di concetti di sicurezza informatica
  • Creazione di piani di emergenza
  • Adozione di precauzioni generali di sicurezza
  • Controllo della sicurezza di Internet
  • Utilizzo di metodi crittografici, ecc.

ISO 27001 - la norma per la sicurezza delle informazioni

Cosa dice la ISO 27001? La norma riconosciuta a livello mondiale per un sistema di gestione della sicurezza delle informazioni (ISMS), con la ISO 27019, la ISO 27017 e la ISO 27701, si chiama:

ISO/IEC 27001:2022 - Sicurezza delle informazioni, sicurezza informatica e tutela della privacy - Sistemi di gestione della sicurezza delle informazioni. Sistemi di gestione della sicurezza delle informazioni - Requisiti 


La versione rivista è stata pubblicata il 25 ottobre 2022.  La versione attuale (ISO/IEC 27001:2013) rimarrà valida fino a ottobre 2025.

ISO/IEC 27001:2017 - Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti (ISO/IEC 27001:2013 incluso Cor 1:2014 e Cor 2:2015).

Il titolo di questa importante norma rende chiaro che la sicurezza informatica gioca un ruolo importante nella sicurezza delle informazioni oggi e continuerà a crescere di importanza in futuro. Tuttavia, i requisiti stabiliti nella ISO 27001 non sono direttamente rivolti solo ai sistemi informatici digitali. Al contrario:

"In tutta la ISO/IEC 27001, si parla di "informazioni" in modo trasversale, senza eccezioni".

In linea di principio, non viene fatta alcuna distinzione per quanto riguarda il modo analogico o digitale in cui queste informazioni vengono trattate o devono essere protette.

Un ISMS implementato con successo supporta una strategia di sicurezza olistica: comprende misure organizzative, una gestione del personale consapevole della sicurezza, la sicurezza delle strutture IT impiegate e il rispetto dei requisiti legali.

Loading...

Un know-how prezioso: La guida all'audit DQS

La nostra guida all'audit ISO 27001 - Allegato A è stata creata da esperti di primo piano come aiuto pratico all'implementazione ed è ideale per comprendere meglio i requisiti standard selezionati. La guida si basa sulla norma ISO/IEC 27001:2017. Poiché la versione rivista è stata pubblicata il 25 ottobre 2022, aggiungeremo informazioni sulle modifiche non appena saranno disponibili.

La sicurezza delle informazioni è spesso più analogica di quanto si pensi

Chiunque volesse potrebbe applicare i requisiti della norma ISO 27001 su un sistema completamente analogico e finire con lo stesso risultato di chi applica i requisiti a un sistema completamente digitale. È solo nell'allegato A della norma ISMS, che contiene obiettivi di misura e misure per gli utenti, che appaiono termini come telelavoro o dispositivi mobili. Ma anche le misure dell'allegato A della norma ci ricordano che in ogni azienda ci sono ancora processi e situazioni analoghe che devono essere prese in considerazione per quanto riguarda la sicurezza delle informazioni.

Chi parla ad alta voce di argomenti sensibili tramite smartphone in pubblico, per esempio in treno, forse sta usando canali di comunicazione digitali, ma il suo comportamento scorretto è in realtà analogico. E chi non pulisce la propria scrivania è meglio che chiuda a chiave il proprio ufficio per mantenere la riservatezza. Almeno la prima, come una delle misure singole più efficaci per proteggere in modo sicuro le informazioni, è di solito ancora fatta a mano, finora...

Sicurezza informatica vs. sicurezza delle informazioni - Conclusione

La sicurezza informatica e la sicurezza delle informazioni sono due termini che non sono (ancora) intercambiabili. Piuttosto, la sicurezza informatica è una componente della sicurezza delle informazioni, che a sua volta include anche fatti, processi e comunicazione analogici - che, per inciso, è ancora comune in molti casi oggi. Tuttavia, la crescente digitalizzazione sta avvicinando sempre più questi termini, così che la differenza di significato diventerà probabilmente più marginale a lungo termine.

Cosa potete aspettarvi da noi

DQS è il vostro specialista per audit e certificazioni - per sistemi di gestione e processi. Con 35 anni di esperienza e il know-how di 2.500 auditor in tutto il mondo, siamo il vostro partner di certificazione competente per tutti gli aspetti della sicurezza delle informazioni e della protezione dei dati.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Avete domande?

Contattateci!
Senza impegno e gratuitamente.

Noi non parliamo solo di competenza professionale, noi la possediamo: potete aspettarvi da tutti i nostri auditor DQS molti anni di esperienza professionale pratica. Raccolti in organizzazioni di ogni dimensione e di ogni settore. Grazie a questa diversità è garantito che il vostro lead auditor DQS si immedesimi nella vostra situazione aziendale individuale e nella vostra cultura di gestione. I nostri auditor conoscono i sistemi di gestione per esperienza personale, cioè hanno creato, gestito e sviluppato essi stessi gli ISMS - e conoscono le sfide quotidiane per esperienza personale. Non vediamo l'ora di parlare con voi.

Autore
Gert Krueger

Esperto e responsabile di progetto per la sicurezza delle informazioni, per BSI-KritisV e la protezione dei dati presso DQS. Inoltre, auditor storico per la gestione della qualità e dell'ambiente.

Loading...