Sicurezza informatica

Ogni rete informatica, da quelle più semplici a quelle complesse, presentano vulnerabilità potenziali che devono essere risolte per garantire un sufficiente grado di sicurezza.

Per sicurezza informatica o information security si intende: “l’insieme dei mezzi e delle tecnologie tesi alla protezione dei sistemi informatici in termini di disponibilitàconfidenzialità e integrità dei beni o asset informatici; a questi tre parametri si tende attualmente ad aggiungere l’autenticità delle informazioni“. Insomma, dati ed accessi devono essere garantiti.

SP Group e la sicurezza informatica

Le informazioni aziendali, in qualunque forma rappresentate (supporto cartaceo o elettronico), costituiscono un bene aziendale e devono essere protette da accessi, modifiche, rivelazioni, distruzioni non autorizzati, sia intenzionali che accidentali.

Le informazioni aziendali possono essere divulgate all’interno o all’esterno solo in relazione a specifiche direttive e modalità predefinite e in presenza di accordi di riservatezza o di espliciti conferimenti di incarico.

Per garantire la sicurezza informatica le informazioni contenute nella rete aziendale devono presentare le seguenti caratteristiche:

  • riservatezza: orientata ad assicurare che l’informazione sia disponibile solo agli utenti autorizzati alla consultazione e al loro utilizzo, evitando gli accessi impropri;
  • integrità: volta alla riduzione del rischio di manomissioni o modifiche di informazioni a seguito sia di fatti accidentali e/o naturali, che di atti dolosi di soggetti non autorizzati;
  • disponibilità: finalizzata ad assicurare che gli utenti autorizzati abbiano accesso alle informazioni, ogniqualvolta necessario per le esigenze lavorative;
  • verificabilità: la garanzia di poter ricostruire, all’occorrenza e anche a distanza di tempo, eventi connessi all’utilizzo del sistema informativo e al trattamento di dati;
  • accountability: identificare, in maniera univoca, un singolo utente e le relative responsabilità in termini di utilizzo e trattamento delle informazioni.

Tutti i sistemi che non riescono a soddisfare questi parametri, devono essere integrati con interventi opportuni. SP Group è il partner perfetto per garantire la sicurezza della tua rete.

Sicurezza informatica SP Group

Procedure correttive

In specifico riferimento alla infrastruttura IT, è necessario implementare le seguenti misure tecniche:

  • aggiornamento programmi e sistema operativi;
  • processo di gestione dei dati;
  • meccanismo per la registrazione o memorizzazione degli accessi informatici;
  • registrazione crittografata delle password; cambio forzato password con il primo login e ad intervalli regolari; processo standardizzato di assegnazione delle password;
  • processo per il blocco dell’account utente (ad esempio dopo un numero determinato di tentativi falliti);
  • meccanismo di tracciatura delle richieste di autorizzazione ad un accesso;
  • processo di analisi periodica dei log di sistema;
  • piattaforme criptate per lo scambio dei dati;
  • meccanismo di crittografie delle mail;
  • autorizzazioni limitate per il download, la stampa ed il salvataggio dei dati
  • meccanismo per la registrazione dei flussi di trasmissione; processo di verifica e valutazione dei flussi trasmessi; meccanismo di segnalazione automatizzata dei flussi di trasmissione ritenuti anomali;
  • meccanismi di registrazione login e log out di ciascun accesso;
  • backup e meccanismi di disaster recovery con piani di emergenza;
  • firewall;
  • programmi antispam;
  • sistemi IDS (sistema in grado di individuare e segnalare in tempo reale i tentativi di accesso non autorizzato)/IPS ( sistema in grado di bloccare autonomamente gli attacchi rilevati da dispositivo IDS, fornendo così una protezione real-time);
  • software per il “data wiping” dei dispositivi di memoria prima dello smaltimento;
  • meccanismo di cifrature delle cartelle contenenti dati personali;
  • regole per la gestione (custodia, uso e riutilizzo) di supporti removibili in presenza di dati sensibili/particolari;
  • linee di comunicazione dedicate VPN o MLPS;
  • vulnerability assessment/penetration test.

Questa traccia può essere adottata per analizzare le specifiche caratteristiche della propria rete informatica. Genericamente dovrebbero essere soddisfatti tutti i punti riportati, nelle specifiche realtà operative possono essere aggiunti ulteriori argomenti di indagine ed intervento. SP Group non solo analizza questi parametri ma propone anche le azioni correttive e le soluzioni più adatte per la tua realtà operativa.

Sicurezza informatica - SP Group

Normative per la sicurezza informatica

Esistono precise normative che indicano quali sono le caratteristiche da soddisfare per le reti informatiche.

ISO27001

ISO 27001 - SP Group

La Norma è stata redatta e pubblicata nell’ottobre 2005 (la versione italiana UNI è del 2006) a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione.

La norma ISO 27002:2007 è una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non è certificabile in quanto è una semplice raccolta di raccomandazioni.

La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT.

ISO29134

ISO 29134

“Valutazione d’Impatto sulla Protezione dei Dati” (“DPIA – Data Protection Impact Assessment” o “PIA – Privacy Impact Assessment”), cioè le nuove ISO/IEC 29134:2017 e, soprattutto, le Linee Guida DPIA proposte dal Gruppo Articolo 29 dei Garanti privacy europei.

In particolare lo standard ISO 29134 considera la PIA come un processo che deve iniziare prima dell’effettuazione del trattamento dei dati personali, quando vi è ancora la possibilità di indirizzare il  trattamento stesso. Tale  processo considera anche l’impatto potenziale degli asset utilizzati per il trattamento dei dati quali altri processi, servizi IT e relativa infrastruttura IT (HW, SW, connettività in un’ottica di “privacy by design”.  Il risultato del processo di valutazione di impatto è quindi un report (“PIA Report”).

PCI DSS

PCI DSS SP Group

La Guida alla pianificazione della conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) è stata pensata per aiutare le organizzazioni ad adempiere ai requisiti dello standard PCI DSS (Payment Card Industry Data Security Standard).

In particolare, questa guida è dedicata ai commercianti che accettano le carte di pagamento, agli istituti finanziari che elaborano le transazioni con carte di pagamento e ai provider di servizi, ovvero alle aziende che offrono servizi di elaborazione delle transazioni con carte di pagamento o di archiviazione dei dati.

GDPR

GDPR SP Group

Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.

Con questo regolamento, la Commissione europea si propone come obiettivi quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE), restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE.

Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’Unione europea) che trattano dati di residenti nell’Unione europea ad osservare e adempiere agli obblighi previsti.


Richiesta informazioni

* Campo obbligatorio
A quale servizio sei interessato?

Seleziona le preferenze di contatto:

La compilazione del presente modulo è indispensabile per darci la possibilità di fornirti una risposta. Potrai sempre revocare il permesso utilizzando l’apposito comando presente in tutti i messaggi. Per informazioni sulla privacy consulta la pagina dedicata sul nostro sito web.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp’s privacy practices here.