La gestione della sicurezza informatica (in inglese 'Information Security Management' o 'ISM') riguarda le pratiche utilizzate da una organizzazione per garantire la difesa della riservatezza, disponibilità e integrità delle risorse informatiche da minacce (in inglese 'threats') e vulnerabilità.
Per estensione, la gestione della sicurezza include l'analisi dei rischi informatici, un processo che implica la valutazione dei rischi che corre una organizzazione, e la distribuzione della responsabilità di gestione del rischio a tutti i diretti interessati.
A sua volta, l'analisi dei rischi comporta una attenta valutazione del valore dell'azienda e delle sue risorse, per dare il giusto peso al valore dei dati e delle risorse informatiche.
Per gestire la sicurezza informatica, una organizzazione può strutturare un Sistema di Gestione della Sicurezza delle Informazioni o SGSI, e allinearsi a un sistema di norme tecniche o standard di sicurezza informatica, come può essere la serie ISO 27000.
Standard di riferimento
Gli standard di sicurezza informatica descrivono metodologie, indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla.
Alcuni standard utilizzati sono:
- la serie ISO 27000
- gli Standard of Good Practice (SoGP) promossi dall'Information Security Forum (ISF)
- le indicazioni del NIST, tra cui le pubblicazioni 800-12 e 800-26, che fornisce dei consigli sulla gestione della sicurezza informatica.
- la IT Baseline Protection Manual, ossia il Manuale per la protezione di base IT (in tedesco 'IT-Grundschutzhandbuch') dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca.
Note
