What's about :

Data Security (D.lgs. n. 196/03)
The continuous evolution of ICT puts an organization at the risk of data protection violation due to security problems, thus jeopardizing the company/entity’s image.In view of the various types of information, it is important to take the right protection measures.Creasys’s service is based on technical and organisational advice, on the secure management of resources and corporate data, in accordance with all the data protection regulations in force.

The proposal foresees:

• to perform an organisation’s operations survey
• to carry out a risk analysis exercise
• to plan and implement penetration tests to check the levels of network security and the security of other information technology equipment, this will be done using specialized tools vetted by the company’s software testing laboratory
• the implementation of an emergency plan that identifies the normal organisational and technical practices for safeguarding the organisation’s provision of service in case of failure or malfunctioning of the automated information systems
• to carry out of a third party audit on the security systems, independent from those implementing the project

Main Advantages:

• managing in an integrated and compliant manner, the company/entity’s safety and security aspects within legislative requirements
• optimise the time required to implement the necessary measures

La sicurezza aziendale: vedere e rispettare le risorse
per quello che sono e non per quello che dovrebbero essere

Dopo anni di teorie, metodologie, tecnologie complesse ed avanzate, elaboratori sempre più potenti, strumenti di comunicazione fantascientifici, utenti che ne sanno più di ingegneri siamo arrivati al momento in cui abbiamo compreso che il “tallone di Achille” dei nostri sistemi è a volte così banale che nessuno ci aveva pensato.
Finalmente si è capito che la sicurezza non è più una moda o un fiore all’occhiello ma una necessità improrogabile.

Lo stato di Sicurezza si raggiunge quando si garantisce il valore dei propri beni con l’adozione delle misure idonee a fronteggiare/ridurre le potenziali minacce.

Questa frase introduce tutti gli aspetti fondamentali di un progetto di sicurezza: “bene” (computer, conoscenze, risorse umane, tecnologie), “garantisce” (controllare preventivamente, rilevare, correggere), “misure” (controlli, contro misure) “a fronteggiare” (gestire, ridurre, delegare a terzi) “le potenziali minacce” (frodi, disastri naturali, sabotaggi).

La minaccia può essere contrastata solo aumentando le difese cioè diminuendo le vulnerabilità.

Quali sono le conseguenze di una perdita dei beni?

Poiché il bene è di tipo informativo, la perdita riguarderà la perdita di integrità, di coerenza, di accessibilità e di disponibilità e comporterà perdite economiche, di immagine, affidabilità, clientela e partnership. Poiché i beni informativi non sono solo computer, ma sistemi, tecnologia, risorse umane, conoscenze aziendali è molto difficile e importante saperne valutare il valore e individuare le misure per proteggerlo.

La privacy è un aspetto della sicurezza e garantisce il cittadino che le informazioni personali e riservate siano usate con correttezza, senza abusi e fornendo trasparenza al possessore dei dati (interessato). Le informazioni devono essere trattate garantendo l’integrità, la disponibilità, l’accessibilità a chi è autorizzato.
L’interessato, attraverso una richiesta ai responsabili ha il diritto di vedere i suoi dati, di consentire e di revocare il trattamento (raccolta, registrazione, elaborazione, consultazione, diffusione, cancellazione e distruzione) effettuato dall’ente.

La figura che segue mostra un modello della privacy. Il punto critico sono le risorse: il possessore dei dati (Interessato), l’ente che attraverso i propri dipendenti (responsabili e incaricati) garantisce il trattamento conforme a quanto dichiarato al garante. I dati personali e sensibili devono essere gestiti per garantirne integrità, correttezza e accessibilità solo alle persone autorizzate.

BS7799 è una famiglia di standard che, laddove applicata, consente di mettere in sicurezza l’azienda o le parti più strategiche di essa, rispettando i requisiti cogenti.
L’azienda è costituita da: l’organizzazione, gli uomini, le tecnologie, le procedure (informatizzate e non), i sistemi (computer, rete) tutti orientati al raggiungimento degli obiettivi.

Lo standard ha 134 dettagliati controlli che si basano su 11 principi:

Ognuno di questi insiemi rappresenta una categoria di beni, che l’azienda deve salvaguardare per mantenere il suo business.
La messa in sicurezza è un processo ciclico, che non può avere termine perché cambiano gli obiettivi aziendali, le leggi, le organizzazioni, le tecnologie, gli investimenti e pertanto deve avere un continuo riciclo monitorando l’implementazione dei piani con audit periodici.
Gli audit devono essere fatti da persone con le conoscenze e gli strumenti idonei per garantirne l’oggettività.

La figura seguente rappresenta in sintesi le fasi di un processo di messa in sicurezza.

La fase di avvio è la fase più critica perché oltre a censire tutti i requisiti regolatori e legali, definisce con estrema chiarezza gli obiettivi del progetto di sicurezza e i requisiti che si vogliono implementare.
La difficoltà di un progetto di sicurezza è rappresentata dalla necessità di effettuare un’analisi organizzativa per individuare correttamente l’organizzazione da responsabilizzare.

Dopo l’avvio devono essere effettuate due analisi: una per individuare le minacce e l’altra per censire tutti i beni informativi, il possesso e le eventuali vulnerabilità rispetto alle minacce. I rischi sono il risultato di una funzione che lega la probabilità che accada una minaccia al valore del bene.

L’azienda darà priorità nel proteggere i beni di valore più alto con minacce più probabili.
Per proteggere il bene, si dovranno associare ad esso dei controlli e le contromisure da mettere in pratica.

I rischi residui e i controlli non applicabili dovranno essere chiaramente documentati ed accettati dalla Direzione.

Creasys ha due tipologie di progetto: una tipologia prevede la messa in sicurezza, l’altra l’audit.

Nella prima tipologia:

Nell’altra tipologia si esegue un AUDIT sul sistema di sicurezza, garantendo l’indipendenza rispetto a chi ha realizzato il progetto.

In entrambe le tipologie di progetto Creasys, rispetta i valori che scaturiscono dalla sua mission, cercando di far riconoscere il principio che tutte le risorse vanno valutate per quello che sono e non per quello che dovrebbero essere o rappresentare, in particolare le risorse umane, che spesso non vengono considerate nell’analisi dei beni di un’azienda. Le risorse umane sono un patrimonio di valore e di conoscenza che riesce a far superare eventuali assenze di documentazione e di errori di sistemi complessi.

“La sicurezza parte dall’attenzione, cura e salvaguardia di tutte le risorse interne, vedendo e rispettando le risorse per quello che sono, e non per quello che dovrebbero essere o rappresentare, a partire dalle persone”.