Sistemi di Gestione della Sicurezza delle Informazioni
 

Gruppo di Ricerca: coordinato da Carrozzi Luigi.

Partecipanti:
Tomassi  Antonio ( GRTN)
Zambon Loris (BNL)
Bianco Michele (BULL)
Cheyne James A. W. (NCR)
Silvano Bari (Alitalia)

Il gruppo di lavoro ha concluso le attività. I risultati, raccolti in un White Paper, sono stati presentati nella sessione di studio a Roma, del 2 dicembre 2004.
 

Presentazione del progetto:

Gli standard e i riferimenti metodologici degli Information Security Management System (ISMS)  di cui disponiamo (es.: BS7799/ISO17799) trovano ancora ridotti livelli di adozione da parte delle aziende nonostante offrano autorevoli modelli di governance della sicurezza ICT e siano in grado di influire in maniera profonda sulla protezione e sullo sviluppo del business aziendale.

La comunità professionale degli Information System Auditors non può che trarre vantaggio dalla loro diffusione. L'adozione di tali sistemi consente infatti non solo di praticare le relative attività di audit ma anche di offrire servizi di  supporto al management aziendale per le attività di disegno e implementazione degli ISMS. Vengono quindi a crearsi nuove opportunità di coinvolgimento degli auditor, fermo restando il doveroso rispeto della separazione di ruoli tra chi progetta il sistema gestionale  e chi lo verifica.

Obiettivo del GdR è quello di identificare i percorsi di promozione degli ISMS focalizzando le nuove opportunità per gli Information Systems Auditors.

Le attività si sono svolte secondo i seguenti tre passi.

1. Gli ISMS: strumenti per la qualità e continuità del business aziendale. Enunciare importanza e vantaggi degli approcci strutturati e integrati per la  gestione della sicurezza delle informazioni. L'obiettivo è quello di presentare con chiarezza ed efficacia quali potenti strumenti di coordinamento e controllo tali sistemi rendano disponibili al management. In tale contesto diviene preziosa la competenza ed il ruolo degli auditor che possono divenire 'interpreti e garanti' del modello manageriale di riferimento.

2. Comprendere le barriere all'adozione degli ISMS Condurre  un' analisi delle barriere (non ultime quelle culturali) alla introduzione degli ISMS nelle aziende. L'obiettivo è quello di comprendere cosa blocchi o rallenti l'adozione di tali strumenti facendo riferimento, laddove possibile, anche alle caratteristiche di filiera e dimensione aziendale. Le modalità di analisi saranno definite dal gruppo nel corso dei lavori. E' comunque prevedibile l'utilizzo di questionari specifici da proporre ad aziende e/o manager di riferimento.

3. Suggerimenti /Action list. Si tratta di formulare delle possibili soluzioni agli ostacoli identificati al punto precedente. L'obiettivo è quello di fornire  al management suggerimenti e possibili percorsi soluzione (es.: action list: to-do/not-to-do) per superare i fattori limitanti  individuati.
 

I risultati sono stati raccolti in un 'Manuale di facilitazione all' introduzione degli ISMS' che è stato presentato in una sessione di studio ed inviato a tutti i soci.