(LV3/SAF/AUD/SRV/ITA/001)
Per un ente o un'azienda garantire la sicurezza della propria rete è diventato un obbligo imprescindibile. Il concetto stesso di sicurezza si è poi allargato e non comprende solamente la protezione dalle intrusioni illecite, ma anche altri aspetti, come la privacy e la disponibilità dei dati. La privacy in particolare ha assunto una grande importanza dopo la pubblicazione del Decreto Legislativo 196/3, in materia di trattamento dei dati personali.
Proteggere una rete o, meglio, l'intero complesso dei sistemi informatici di un ente o un'azienda non è solo questione di comperare e installare prodotti tecnologici. Sempre più si avverte infatti la necessità di gestire la sicurezza in un contesto unificato, utilizzando procedure e controlli per garantire il funzionamento e l'applicazione delle tecnologie.
Molte delle verifiche necessarie a valutare il grado di sicurezza di protezione di una rete possono essere fatte in proprio, ma farle effettuare da una parte indipendente garantisce una superiore obiettività. In questo contesto si inserisce il Servizio “Audit di Sicurezza” fornito dal CILEA.
L'obiettivo di un processo di auditing in questo ambito è quello di effettuare un'indagine strutturata e metodica per segnalare eventuali vulnerabilità, per quanto riguarda la sicurezza informatica, o il mancato rispetto di normative e leggi specifiche. L'Audit del CILEA non si limita a segnalare i problemi, ma fornisce precise indicazioni sugli interventi da attuare per risolverli, una volta completata l'analisi.
Gli Audit di Sicurezza sono estremamente utili per gestire sia le attività di consulenti e fornitori di soluzioni informatiche (che saranno più efficaci nel loro lavoro), che l'effettiva sicurezza dei dati personali (gli interventi tecnici e organizzativi saranno mirati dove effettivamente servono). Inoltre, in caso di outsourcing del trattamento di dati sensibili, è necessario definire per via contrattuale il rapporto tra le parti coinvolte in merito alla sicurezza dei dati, e gli Audit di Sicurezza si rivelano uno strumento prezioso anche in questo ambito.
Il servizio di Audit, mettendo in luce le criticità e le aree di rischio cui si è esposti, consente tra le altre cose di ottimizzare le risorse già investite o da investire per la sicurezza. Il servizio di Audit è quindi un prezioso strumento per il responsabile dei sistemi informativi e, più in generale, per la Direzione, che risponde in prima persona, ad esempio per tutto ciò che riguarda la privacy, e deve quindi governare in maniera efficace sia risorse tecnologiche che gestionali.
In generale il servizio di Audit di Sicurezza del CILEA è rivolto a Enti e Aziende che vogliano avere una verifica “super-partes” dello stato della sicurezza della propria infrastruttura, sia dal punto di vista tecnico che procedurale. In particolare il servizio di Audit di Sicurezza si rivolge a quelle realtà che interpretano la sicurezza in maniera dinamica, come un processo in costante miglioramento per raggiungere un livello adeguato di protezione, bilanciando opportunamente i costi che necessariamente la sicurezza comporta.
Il servizio Audit di Sicurezza del CILEA si rifà allo standard ISECOM-OSSTMM 2.2, per la parte tecnologica, e all'ISO 27001, per la parte procedurale e di gestione di processo. In particolare un Audit di Sicurezza prevede diverse fasi:
- Raccolta di informazioni sull'organizzazione in esame, mediante interviste mirate e analisi della documentazione pertinente (es. Documento Programmatico per la Sicurezza)
- Intervento on-site, di durata commensurata alle dimensioni dell'organizzazione, volto a valutare vulnerabilità note di server, postazioni di lavoro e infrastruttura di rete
- Intervento off-site per la verifica di vulnerabilità note sui sistemi esposti su Internet
- Redazione di un Executive Summary e di un Technical Summary
Le verifiche vengono effettuate non solo con strumenti automatizzati, ma anche mediante approfondimenti effettuati manualmente dagli specialisti CILEA.
