Linee guida per un'architettura e un quadro di sicurezza di protezione aziendale

Linee guida per un'architettura e un quadro di sicurezza di protezione aziendale

Il comitato tecnico ISO / TC 292 ha portato in dirittura d’arrivo lo sviluppo di una norma, che sarà preziosa per tutti i security manager, cui è affidata la progettazione di un’architettura di sicurezza aziendale.

Il titolo della norma, che desidero illustrare ai lettori, è la seguente:

ISO/DS 22340 - Security and resilience – Protective security – Guidelines for an enterprise protective security architecture and framework.

Il documento mira a soddisfare l’esigenza di organizzazioni, in ogni parte del mondo, di formulare ed attuare un piano di sicurezza, basato su principi di gestione del rischio e in grado di garantire la funzionalità, e in certi casi perfino la sopravvivenza, dell’organizzazione coinvolta.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Ecco gli aspetti principali che vengono presi in considerazione in questa norma, ormai giunta in dirittura d’arrivo. Essa:

• offre precise indicazioni su come un’organizzazione e il suo management possono attuare e gestire efficienti e coerenti misure di security,
• mostra come una gestione corretta della sicurezza deve essere sempre basata su un’analisi del rischio, garantendo che la security sia un elemento strategico operativo, e non solo una voce di spesa (!),
• definisce in dettaglio tutti gli elementi che compongono un intervento di security preventiva,
• dimostra l’importanza critica della attivazione di una cultura organizzativa, che sostiene atteggiamenti positivi nei confronti della security, condivisa da tutti i dipendenti ed altri soggetti coinvolti,
• infine, sottolinea l’importanza di un continuo miglioramento dei piani di security, per metterli sempre in grado di fronteggiare l’evoluzione degli scenari di attacco o di crisi.

Ecco perché il documento è articolato in varie parti, che prendono in considerazione, rispettivamente:

• la politica della security,
• la security del personale,
• la security dell’informazioni,
• la security informatica,
• la sicurezza fisica.

Chi scrive non è compiutamente d’accordo sull’ordine di elencazione dei vari argomenti, ma la valutazione è complessivamente realistica.

Ognuna delle cinque parti sopra illustrate viene trattata in uno specifico paragrafo, offrendo gli obiettivi della misura, le misure di controllo del rischio, le modalità di attuazione di queste misure.

Ricordo ai lettori che questa norma è ancora disponibile ai soli componenti del comitato tecnico, ma ogni imprenditore, sensibile a questi temi, può prendere contatto con il rappresentante del proprio paese, nel comitato tecnico internazionale, per essere costantemente aggiornato sullo sviluppo della norma ed essere pronto ad esaminarla, appena pubblicata.

Adalberto Biasiotti

Licenza Creative Commons