Il valore dell’informazione assume sempre maggior rilevanza nella società attuale, tanto che lo stesso legislatore, negli ultimi dieci anni (la prima legge è stata la 547/1993 sulla criminalità informatica), ha mostrato sempre più interesse alle garanzie che devono essere poste nella sua gestione, tecnica ed organizzativa.
Il corpo di leggi attuali impone alle aziende, pubbliche e private, una serie di requisiti ai quali ottemperare, sia per garantire il trattamento riservato necessario ai dati sensibili del singolo (la notissima 675 e sue evoluzioni), sia per “proteggere” le aziende stesse da malversazioni compiute contro di esse (la 547) o tramite esse (legge 300/2000 sulla responsabilità penale delle aziende e decreto 231/2001 collegato).
Le leggi, tuttavia, come spesso accade in campo tecnico (e vista l’esperienza del Dpcm sulla firma digitale è meglio così...) sono carenti dal punto di vista delle soluzioni da adottare.
Gli enti di normazione nazionali ed internazionali, per fortuna, si sono occupati del problema della sicurezza delle informazioni già da una ventina d’anni (es. ISO/IEC TC1/SC 27), mettendo a disposizione degli interessati non solo una cospicua serie di norme squisitamente tecniche, ma anche dei riferimenti che rendono le aziende che li adottano suscettibili di certificazione di terza parte.

Le certificazioni di sicurezza nell’ambito dell’IT
Le prime certificazioni nel campo della sicurezza informatica risalgono agli anni ’70, negli U.S.A., con l’emanazione di standard (es. l’Orange Book) volti a definire delle “classi” di sicurezza per i prodotti (in particolare i sistemi operativi).
Negli anni ’80 anche l’ISO e l’Europa si muovono in tal senso, con la definizione e l’emanazione delle norme ITSEC, ITSEM ed i Common Criteria.
Queste norme, tuttavia, risentivano dell’impostazione data all’epoca al problema della sicurezza nell’IT (Information Technology), che veniva vista essenzialmente (ma, per fortuna, non solo) come aspetto tecnologico: le norme, quindi, consentivano di certificare la sicurezza di un sistema o di un prodotto.
Solo negli anni ’90 si comincia ad intravedere la sicurezza come processo, che coinvolge non solamente aspetti tecnici, ma anche tutti quelli che fino ad allora erano stati considerati di “contorno”, cioè l’organizzazione e la gestione. Si comincia, inoltre, a considerare il valore dell’informazione sotto qualsiasi forma essa venga prodotta e gestita, quindi non solo nell’ambito della Information and Communication Technology (ICT).
Nasce, a tal fine, in Inghilterra la norma BS7799.

BS7799: un po’ di storia
L’avvio dei lavori, per la produzione della norma, risale agli inizi degli anni ’90 quando il DTI (Department of Trade and Industry) britannico istituì un gruppo di lavoro finalizzato a fornire alle aziende una guida per il governo della sicurezza del loro patrimonio informativo. Il gruppo pubblicò nel 1993 una raccolta di best practice, intitolata Code of practice for information security management, che costituì la base per la norma vera e propria pubblicata dal BSI (British Standards Institution) nel 1995.
Nel febbraio 1998 fu aggiunta una seconda parte alla norma intitolata Specification for information security management che fu poi sottoposta ad una revisione complessiva conclusasi con il ritiro di tale versione e la pubblicazione, nell’aprile del 1999, della nuova.
Nonostante che la BS7799 fosse una norma nazionale britannica, suscitò subito, fin dalla prima versione, un certo interesse anche al di fuori della Gran Bretagna, tanto che alcuni paesi, Olanda e Svezia, la usarono come base di propri schemi di certificazione. Nel 1995 la Gran Bretagna sottopose la norma BS7799 all’ISO/IEC affinché venisse recepita come norma internazionale ma la proposta, seppur di stretta misura, fu respinta.
Un analogo tentativo, avvenuto nell’autunno del 1999, ebbe invece esito positivo.
La parte 1 della BS7799 è divenuta la norma internazionale ISO/IEC 17799 a dicembre del 2000. Il 5 settembre 2002 è stata pubblicata la nuova versione della parte 2, che molto probabilmente sarà recepita anch’essa dall’ISO/IEC.

La norma
L’oggetto della norma BS7799 è l’informazione, sotto qualsiasi forma o supporto, per la quale devono essere garantiti:

• la riservatezza;
• l’integrità;
• la disponibilità.

La parte prima che, ricordiamo, è stata recepita dall’ISO/IEC, ha come scopo di fornire una serie di raccomandazioni riguardanti la gestione della sicurezza dell’informazione per garantire la possibilità di organizzare tale gestione su una base comune, condivisa ed efficace.
La parte seconda, sulla quale è incentrato il processo di certificazione del sistema di gestione della sicurezza, mette a disposizione le specifiche per progettare, attuare, gestire, monitorare, revisionare ed aggiornare un sistema correttamente documentato, orientato ai rischi di business dell’azienda.
Fornisce, inoltre, un elenco di controlli adeguati a garantire a clienti e terze parti interessate la corretta gestione delle informazioni in base ai requisiti di sicurezza individuati: la BS7799-2, quindi, è una norma di riferimento per lo sviluppo di un sistema di gestione certificabile.
Il modello proposto è un modello dinamico nel quale vengono identificate 10 aree di intervento (descritte in dettaglio nella parte prima) e 6 fasi di analisi dalle quali deve emergere il sistema di gestione. I risultati delle analisi vengono permanentemente messe in discussione in modo da garantire la capacità dell’azienda di mantenere nel tempo la sicurezza del proprio patrimonio informativo anche in presenza degli inevitabili cambiamenti.
Il valore aggiunto di questa normativa è proprio nell’invito a considerare tutti gli aspetti legati alla sicurezza delle informazioni, anche quelli che la maggior parte delle aziende non hanno mai valutato, ma che, se si verificassero, potrebbero creare notevoli danni all’organizzazione stessa, economici, legali e d’immagine sul mercato.

Le 10 aree di intervento, sulle quali sono mappati (nell’Annex A) 127 controlli, sono elencate di seguito.

1. Politica in materia di sicurezza delle informazioni
   L’obiettivo è quello di fornire le direttive di gestione e di supporto per la sicurezza dell’informazione.
2. Principi organizzativi per la gestione della sicurezza delle informazioni
   Regolamentazione organizzativa: norme, standard e metodologie; definizione dei compiti e relative responsabilità; anche quando la responsabilità dell’elaborazione dell’informazione è stata conferita a terzi.
3. Controllo e classificazione del patrimonio informativo
   La classificazione delle informazioni costituisce l’attività basilare per la valutazione del rischio associato; l’obiettivo è garantire che l’assetto delle informazioni riceva un appropriato livello di protezione.
4. Sicurezza relativa al personale che gestisce le informazioni
   Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori, accertarsi che i dipendenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano impegnati a sostenere la politica della società sulla sicurezza nello svolgimento del loro lavoro.
5. Sicurezza fisica e ambientale
   L’obiettivo è impedire l’accesso, il danneggiamento e l’interferenza dei non autorizzati all’interno del flusso delle informazioni del business, impedire le manomissioni e il furto delle informazioni.
6. Gestione delle comunicazioni e delle attività operative
   Accertarsi del corretto funzionamento e della facilità di elaborazione dell’informazione, mi-nimizzare il rischio di guasti di sistemi, mantenere l’integrità e la validità dei processi di elaborazione dell’informazione e della comunicazione, garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto.
7. Controllo degli accessi alle informazioni
   L’obiettivo è impedire l’accesso non autorizzato ai sistemi d’informazione, gestire e controllare le rilevazioni di identificazione e di autenticazione.
8. Sviluppo e manutenzione dei sistemi informativi
   Lo sviluppo e la manutenzione dei sistemi informativi non deve alterarne la sicurezza e l’integrità; tutte le attività di sviluppo e di manutenzione devono essere controllate, tracciate e storicizzate.
9. Gestione continuativa dei processi operativi
   L’obiettivo è neutralizzare le interruzioni alle attività economiche ed ai processi critici del business, a causa di eventi accidentali o fraudolenti.
10. Controlli di conformità
    Garantire il rispetto delle leggi civili, penali, contrattuali e di qualsiasi requisito di sicurezza, in pratica di tutti quei requisiti che possono essere definiti “cogenti”.

Per ognuna delle aree esposte è definita una serie di controlli, non vincolanti, né esaustivi, ma soggetti alla realtà aziendale, per verificare il corretto livello di applicazione del sistema di gestione della sicurezza dell’informazione, in base a quanto stabilito dalla norma stessa (ad esempio, il punto A.3.1.1, relativo alla prima area, riguarda l’Information security policy document ed il controllo associato recita: “A policy document shall be approved by management, published and communicated, as appropriate, to all employees.”).
Per ogni controllo viene, inoltre, indicato il riferimento alla norma ISO/IEC 17799:2000 (nell’esempio citato il riferimento è al paragrafo 3.1.1).

Le 6 fasi previste per lo sviluppo del sistema di gestione della sicurezza, propedeutiche alla certificazione, sono le seguenti:

1) la delimitazione dell’ambito di competenza;
2) la definizione della politica di sicurezza ad alto livello;
3) l’analisi e la valutazione del rischio;
4) la gestione del rischio;
5) la scelta degli obiettivi e dei relativi controlli da realizzare;
6) la stesura della dichiarazione di applicabilità.

Ogni fase, come si vede in figura, deve essere debitamente documentata.

La principale innovazione della versione 2002 della norma riguarda il nuovo approccio, che si propone l’allineamento con le altre norme dei sistemi di gestione, come l’ISO 9001:2000 e l’ISO 14001:1996, facilitando quindi lo sviluppo di sistemi integrati e conformi.

A questo scopo è stato predisposto il modello PDCA (Plan, Do, Check, Act) così inteso:

1. pianificare: stabilire le politiche di sicurezza, gli obiettivi, i requisiti di sicurezza, i processi e le procedure rilevanti per controllare i rischi e migliorare la sicurezza dell’informazione ed ottenere risultati in conformità con le politiche e gli obiettivi di tutta l’organizzazione;
2. attuare: realizzare e rendere operative le politiche, quindi i processi e le procedure;
3. verificare: misurare e valutare le performance dei processi rispetto alla policy, gli obiettivi e l’esperienza pratica e riferire i risultati a chi prende le decisioni;
4. agire: decidere le azioni correttive e preventive per favorire il miglioramento delle performance dei processi.

Questo modello consente di garantire il monitoraggio ed il miglioramento continuo del sistema di gestione di sicurezza dell’informazione.

Il processo di certificazione
Come in tutti i processi di certificazione, anche per la BS7799 sono coinvolti diversi attori, come evidenziato in figura.
A livello nazionale, operano diversi organismi accreditati, mentre l’organismo accreditatore è il SINCERT.

Conclusioni
Se si considera, come accennato nella premessa, l’importanza sempre maggiore che il legislatore, ma anche la clientela (ad esempio quella che utilizza i servizi di Internet banking), sta ponendo nel richiedere alle aziende una gestione sicura delle informazioni, risulta subito evidente come l’attuazione della BS7799, e la certificazione, possano essere di ausilio alle aziende per dimostrare la loro ricerca delle soluzioni migliori.

Basti, ad esempio, esaminare l’art. 6 del D.Lgs 8 giugno 2001 n. 231 (attuativo della già citata legge 300/2000), che recita:

“1. Se il reato è stato commesso dalle persone indicate nell'articolo 5, comma 1, lettera a), l'ente non risponde se prova che:
a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell'organismo di cui alla lettera b).

2. In relazione all'estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze:
a) individuare le attività nel cui ambito possono essere commessi reati;
b) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire;
c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
d) prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
...”

per verificare che la necessità di gestire “a norma” e certificare il proprio sistema di gestione della sicurezza delle informazioni non sia uno sfizio o una pura operazione di immagine, ma possa diventare un modo di garantirsi contro guai peggiori.

Francesco Merlo
Direttore scientifico della rivista ICT Security
Professore a contratto presso l’Università di Torino