datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Integrità dell' informazione

André Saeckel

Esperto DQS per la sicurezza delle informazioni
nov 11 , 2022
# Sicurezza delle informazioni vs. sicurezza informatica

Gli obiettivi di protezione della sicurezza delle informazioni sono i punti chiave elementari per la protezione delle informazioni. Le informazioni rappresentano un valore economico significativo per ogni azienda, e non solo da oggi. Sono il fondamento della loro esistenza e quindi un prerequisito essenziale per il successo del business. È quindi ovvio - o almeno auspicabile - che le informazioni debbano essere protette. Tuttavia, esiste ancora un ampio divario tra il desiderio e la realtà.

CONTENUTO

Quali sono gli obiettivi di protezione della sicurezza delle informazioni?

A causa di una sicurezza inadeguata nel trattamento delle informazioni, ogni anno vengono causati danni per miliardi di dollari. Ma come si può ottenere un'adeguata protezione del patrimonio organizzativo? E qual è il modo migliore per un'azienda di iniziare ad affrontare il tema della sicurezza delle informazioni?

Un sistema di gestione della sicurezza delle informazioni (ISMS) ben strutturato, conforme alla norma ISO/IEC 27001, costituisce una base ottimale per l'attuazione efficace di una strategia di sicurezza olistica. Lo standard fornisce un modello per l'introduzione, l'implementazione, il monitoraggio e il miglioramento del livello di protezione. Per raggiungere questo obiettivo, le aziende e le organizzazioni devono innanzitutto affrontare i tre obiettivi di protezione fondamentali della sicurezza delle informazioni:

  • riservatezza
  • integrità
  • Disponibilità

La nostra guida all'audit ISO 27001 - Allegato A, è stata creata da esperti di grande rilievo come aiuto pratico all'implementazione ed è ideale per comprendere meglio i requisiti dello standard selezionato. La guida non fa ancora riferimento alla revisione della ISO 27001 prevista per la fine del 2022. 

Scaricalo gratuitamente

Obiettivi di protezione della sicurezza delle informazioni: Riservatezza delle informazioni

L'obiettivo è quello di proteggere i dati riservati da accessi non autorizzati, sia per motivi legati alle leggi sulla protezione dei dati sia sulla base di segreti commerciali coperti, ad esempio, dalla legge sui segreti commerciali . La riservatezza delle informazioni e dei dati sensibili è quindi garantita se solo le persone autorizzate possono accedervi. Per accesso si intende, ad esempio, la lettura, la modifica (cambiamento) o addirittura la cancellazione.

Le misure adottate devono quindi garantire che solo le persone autorizzate abbiano accesso alle informazioni riservate - in nessun caso le persone non autorizzate. Questo vale anche per le informazioni su carta, che possono rimanere senza protezione su una scrivania e invitare alla lettura, o per la trasmissione di dati che non possono essere accessibili nel corso della loro elaborazione.

L'implementazione e l'efficacia delle misure messe in atto da un'azienda per raggiungere questi obiettivi di protezione sono una caratteristica fondamentale del suo livello di sicurezza delle informazioni.

Molto utile per chi utilizza (o è interessato a farlo) lo standard di sicurezza delle informazioni ISO 27001, riconosciuto a livello internazionale, è l'allegato A. Questo allegato fornisce obiettivi e misure di riferimento per le situazioni più importanti relative alla sicurezza delle informazioni.

Per le persone autorizzate, è necessario specificare anche il tipo di accesso che devono avere, cosa è loro consentito o richiesto di fare e cosa non possono fare. Si deve garantire che non possano fare ciò che non sono autorizzate a fare. I metodi e le tecniche utilizzati in questo processo sono diversi e in alcuni casi specifici per l'azienda.

Se si tratta "solo" di visualizzare o divulgare informazioni non autorizzate (anche durante la trasmissione, un classico: il traffico e-mail!), si possono utilizzare misure crittografiche per proteggere la riservatezza, ad esempio. Se l'obiettivo è impedire la modifica non autorizzata delle informazioni, entra in gioco l'obiettivo di protezione "integrità".

ISO/IEC 27001:2022 - Sicurezza delle informazioni, cybersecurity e tutela della privacy - Sistemi di gestione della sicurezza delle informazioni - Requisiti

Lo standard ISO rivisto è stato pubblicato il 25.10.2022. La norma ISO/IEC 27001:2013 è ancora valida per un periodo di transizione di tre anni, fino a ottobre 2025.

Lo standard è disponibile sul sito web di ISO

Obiettivi di protezione della sicurezza delle informazioni: Integrità delle informazioni

Il termine tecnico integrità è legato a più requisiti contemporaneamente:

  • Le modifiche non intenzionali alle informazioni devono essere impossibili, o almeno rilevabili e rintracciabili. In pratica, si applica la seguente gradazione:
    - L'integrità elevata (forte) impedisce le modifiche indesiderate.
    - L'integrità bassa (debole) può non impedire le modifiche, ma garantisce che le modifiche (non intenzionali) possano essere rilevate e, se necessario, rintracciate (tracciabilità).
  • L'affidabilità dei dati e dei sistemi deve essere garantita.
  • Deve essere garantita la completezza delle informazioni.

Le misure volte ad aumentare l'integrità delle informazioni riguardano quindi anche la questione dell'autorizzazione all'accesso, insieme alla protezione dagli attacchi esterni e interni.

"Mentre i termini " riservatezza" e "disponibilità" sono facilmente comprensibili, quasi autoesplicativi, in termini di obiettivi classici di protezione della sicurezza delle informazioni, il termine tecnico"integrità" richiede qualche spiegazione. Si tratta di correttezza (dei dati e dei sistemi), completezza o tracciabilità (delle modifiche)."

Obiettivi di protezione della sicurezza delle informazioni: Disponibilità delle informazioni

Disponibilità delle informazioni significa che queste, compresi i sistemi informatici necessari, devono essere accessibili a qualsiasi persona autorizzata in qualsiasi momento e utilizzabili (funzionali) nella misura richiesta. Se un sistema si guasta o un edificio non è accessibile, le informazioni richieste non sono disponibili. In alcuni casi, ciò può portare a interruzioni con conseguenze di vasta portata, ad esempio nel mantenimento dei processi.

È quindi opportuno condurre un'analisi dei rischi per valutare la probabilità di un guasto del sistema, la sua possibile durata e gli eventuali danni causati da una mancanza di sicurezza informatica. Dai risultati si possono ricavare contromisure efficaci da attuare nel caso in cui si verifichi il peggio.

Quali sono gli obiettivi di protezione "estesi"?

Oltre agli obiettivi di sicurezza di riservatezza, integrità e disponibilità, esistono altri tre obiettivi di sicurezza. Questi includono i due aspetti di "impegno" e "responsabilità", che si completano a vicenda. Il primo significa garantire che un attore non possa negare la propria azione, il secondo che tale azione possa essere attribuita in modo affidabile. Entrambi si riducono all'identificabilità univoca degli attori, e l'emissione di password univoche è un requisito minimo per questo.

Il terzo obiettivo di protezione estesa è l'"autenticità", cioè la genuinità. Una domanda semplice in questo contesto è: Le informazioni sono autentiche - provengono effettivamente dalla fonte specificata? Questo obiettivo di protezione è importante per valutare l'attendibilità della fonte.

Man and a woman with a laptop in a server room

Le informazioni di valore sono l'oro di oggi e anche un bene da proteggere per la vostra azienda. Leggete qui le risposte alle domande più importanti sulla ISO 27001.

Obiettivi di protezione della sicurezza delle informazioni: Conclusione

I tre obiettivi di protezione più importanti della sicurezza delle informazioni sono "riservatezza", "integrità" e "disponibilità".

Riservatezza: Per poterla garantire, è necessario definire chiaramente chi è autorizzato ad accedere ai dati sensibili e in che modo. Ciò è legato ad appropriate autorizzazioni di accesso e all'uso di tecniche crittografiche, ad esempio.

Perintegrità si intende la protezione da modifiche e cancellazioni non autorizzate delle informazioni, oltre all'affidabilità e alla completezza delle informazioni. È quindi importante che la vostra azienda prenda le precauzioni necessarie per rilevare rapidamente le modifiche ai dati o per impedire la manipolazione non autorizzata fin dalle fondamenta.

Disponibilità significa che le informazioni, i sistemi e gli edifici devono essere sempre disponibili per le persone autorizzate. Poiché i guasti ai sistemi, ad esempio, sono associati a rischi importanti, è necessario effettuare un'analisi dei rischi per questo complesso di argomenti. In questa sede è necessario registrare la probabilità di guasto, il tempo di inattività e il potenziale di danno dei sistemi più necessari.

Impegno, responsabilità e autenticità sono obiettivi di protezione "estesi".

L'impegno è inteso come garanzia che un attore non possa negare le proprie azioni. La responsabilità completa questo obiettivo di protezione esteso identificando chiaramente tale attore. L'autenticità pone la domanda: Un'informazione è autentica o degna di fiducia?

DQS - Cosa potete aspettarvi da noi

La sicurezza delle informazioni è un argomento complesso che va ben oltre la sicurezza informatica. Comprende aspetti tecnici, organizzativi e infrastrutturali. Lo standard internazionale ISO/IEC 27001 è adatto a misure di protezione efficaci sotto forma di un sistema di gestione della sicurezza delle informazioni (ISMS).

DQS è il vostro specialista per gli audit e le certificazioni di sistemi e processi di gestione. Con 35 anni di esperienza e il know-how di 2.500 auditor in tutto il mondo, siamo il vostro partner di certificazione competente e forniamo risposte a tutte le domande relative alla ISO 27001 e ai sistemi di gestione della sicurezza delle informazioni.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Siamo lieti di rispondere alle vostre domande

Quanto impegno dovete aspettarvi per ottenere la certificazione del vostro sistema di gestione della sicurezza delle informazioni secondo la norma ISO 27001? Scopritelo. Senza impegno e gratuitamente.

Contattaci!

Fiducia e competenza

I nostri testi e opuscoli sono redatti esclusivamente dai nostri esperti di standard o auditor con molti anni di esperienza. Se avete domande sul contenuto del testo o sui servizi offerti al nostro autore, non esitate a inviarci un'e-mail.

Autore
André Saeckel

Responsabile di prodotto DQS per la gestione della sicurezza delle informazioni. Come esperto di norme per il settore della sicurezza delle informazioni e del catalogo di sicurezza IT (infrastrutture critiche), André Säckel è responsabile, tra l'altro, delle seguenti norme e standard specifici del settore: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (sicurezza delle informazioni nell'industria automobilistica). È anche membro del gruppo di lavoro ISO/IEC JTC 1/SC 27/WG 1 come delegato nazionale dell'Istituto tedesco di normazione DIN.

Hai delle domande?

Siamo qui per te.
Contattaci