Audit su misure di sicurezza rispetto policy/procedure




Le attività di Information Security devono essere gestite in modo da essere allineate con la strategia di business dell'azienda: l'informatica deve semplicemente agevolare e supportare l'azienda nel raggiungimento dei propri obiettivi.

Per far questo occorre che anche le attività di security siano governate dal Management, il quale, avendone una visione chiara e coerente, ha la possibilità di imprimere la giusta direzione agli interventi, definendo scopi, obiettivi, investimenti, allocando le risorse necessarie, ricorrendo alle tecnologie più opportune e definendo le priorità che ritiene opportune: in altre parole si tratta di definire una Security Architecture.

Una volta definite le policies e gli obiettivi di lungo termine, grazie al confronto con gli standard e le best practice del settore (quali, a titolo esemplificativo, lo standard ISO 27001 e 27002, il framework Cobit, ITIL) diventa possibile dettagliare e parametrizzare le procedure formali, assicurando che queste siano allineate con la strategia adottata dal Management. Se le procedure sono formalizzate e risultano coerenti con l'apparato di sicurezza che si vuole implementare, diventa possibile attuare i necessari e opportuni controlli per verificarne l'efficienza, l'efficacia e l'aderenza al contesto operativo e aziendale.

L’adozione delle misure di sicurezza è quello di ridurre il livello del rischio rilevato dalle attività di risk analysis: grazie ad opportuni controlli e contromisure il rischio può e deve essere ridotto fintanto che non raggiunge i livelli che il Management ritiene accettabili.

Il livello del rischio deve essere stabilito dal Management come giusto equilibrio fra le esigenze di sicurezza e i costi implementativi, in accordo con la strategia e gli obiettivi aziendali. Tale equilibrio si concretizza in policy di sicurezza che, seppur di alto livello, si pongono come termine di paragone per verificare l’attuale livello di sicurezza. La verifica della loro efficacia e corretta implementazione va fatta per intervenire con ulteriori e continue azioni correttive.

Lo standard ISO 27002 prevede che la gestione della sicurezza sia un processo continuo che si compone di quattro passaggi: PLAN, DO, CHECK, ACT


Scopo dell'attività di analisi: verificare che le misure di sicurezza previste dalle policies e dalle procedure di supporto in cui vengono dettagliati i ruoli, i compiti e le azioni, siano esse tecnologiche, fisiche o organizzative, siano realmente implementate e al contempo siano davvero efficaci nel contrastare e ridurre il livello di rischio e aumentare il livello complessivo di sicurezza.

Output: documento di sintesi della situazione in essere con evidenza dello scostamento delle misure in essere rispetto alle security policy.