Il Cineca ha scelto lo standard inglese BS 7799:-2:2002 (Information Security Management Systems), quale modello di riferimento per garantire un alto livello di protezione per le informazioni più sensibili e critiche.
Il percorso di implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), secondo i requisiti di tale standard è iniziato nel Settembre del 2005, con il conseguimento della certificazione di conformità alla BS 7799:2002.
Il sistema si è poi evoluto con l'adeguamento allo standard internazionale ISO 27001:2005; quest'ultimo recepisce buona parte dei principi e controlli del precedente standard inglese, con l'aggiunta di un importante requisito: la necessità di definire misure di efficacia per tutti i controlli, o gruppi di controlli di sicurezza, adottati dall'organizzazione.
Nel luglio 2006 il Cineca ottiene quindi la certificazione ISO 27001, con il superamento di una verifica ispettiva effettuata dal RINA, in qualità di primo organismo di certificazione in Italia ad avere ottenuto l'accreditamento presso il SINCERT (Sistema Nazionale per l'Accreditamento degli Organismi di Certificazione e Ispezione) al rilascio di tale tipologia di certificazione.
Dal 2005 ad oggi, il campo di applicazione del SGSI è stato esteso più volte, includendo ulteriori ambito di attività. Attualmente il campo di applicazione della certificazione ISO 27001 riguarda:
•Analisi, progettazione, sviluppo, manutenzione ed erogazione di servizi di decision support system e di infrastrutture tecnologiche e di sistemi informativi per la conduzione, il monitoraggio e l'analisi di sperimentazioni cliniche, registri epidemiologici, prestazioni sanitarie e studi epidemiologici rivolti a organizzazioni operanti nel settore sanitario a cura del dipartimento Sistemi informativi e servizi per la sanità del Cineca;
•Erogazione di servizi infrastrutturali per sistemi ICT, con particolare riferimento all'housing, connettività di rete, sicurezza fisica e logica, servizi tecnici di supporto (Eyes and hands)
L'implementazione ed il mantenimento del SGSI, in conformità con la standard ISO 27001, coinvolge fattivamente i seguenti dipartimenti del Cineca:
•Il dipartimento Sistemi informativi e servizi per la Sanità, responsabile della progettazione, sviluppo, manutenzione ed erogazione della componente applicativa del servizio
•il dipartimento Sistemi e Tecnologie, responsabile della applicazione delle misure di sicurezza relative alla infrastruttura ICT (hardware; sistemi operativi; data base; apparati di rete; middleware; facilities; sicurezza fisica)
. Perché la certificazione ISO 27001 ?
Perché il CINECA ha scelto tale standard, quale punto di riferimento per il governo dei processi connessi alla sicurezza dei dati? La risposta è insita nel titolo della norma, che richiama il concetto di sistema di gestione, mutato dal mondo della qualità, che impone all'organizzazione una visione della sicurezza delle informazioni come un insieme di processi da regolamentare tramite la definizione di ruoli, responsabilità, interfacce di comunicazione e procedure operative.
La sicurezza dunque non solo come insieme di contromisure di carattere tecnologico, ma anche di misure di carattere comportamentale ed organizzativo, da definire all'interno di procedure operative documentate.
Per rendersi conto della completezza dello standard, basti elencare le 11 macrocategorie di controlli in cui è strutturato l'Annex A (sezione della ISO 27001:2005 che elenca i 134 controlli e obiettivi dei controlli da valutare ed implementare, in base alle esigenze dell'organizzazione):
- A.5 Security policy
- A .6 Organizzazione della sicurezza delle informazioni
- A.7 Gestione delle risorse
- A.8 Sicurezza delle risorse umane
- A.9 Sicurezza fisica e ambientale
- A.10 Gestione delle comunicazioni e della operatività
- A.11 Controllo accessi
- A.12 Acquisizione, sviluppo e manutenzione dei sistemi informativi
- A.13 Gestione degli incidenti di sicurezza delle informazioni
- A.14 Gestione della continuità aziendale
- A.15 Conformità.
In conclusione, la conformità allo standard garantisce la clientela sul fatto che l'integrità, disponibilità e riservatezza delle informazioni sono tra le priorità del Consorzio; il sistema di gestione implementato consente infatti di prevenire o comunque di ridurre notevolmente i rischi di incidenti di sicurezza grazie anche ad pronta reazione verso qualsiasi nuova minaccia o vulnerabilità.
