Articles

Che cosa sono i controlli di sicurezza delle informazioni?

Published novembre 18, 2019 • 2 min read

I controlli di sicurezza delle informazioni sono misure adottate per ridurre i rischi per la sicurezza delle informazioni come violazioni dei sistemi informativi, furti di dati e modifiche non autorizzate a informazioni o sistemi digitali. Questi controlli di sicurezza hanno lo scopo di aiutare a proteggere la disponibilità, la riservatezza e l’integrità dei dati e delle reti e sono in genere implementati dopo una valutazione del rischio per la sicurezza delle informazioni.

I tipi di controlli di sicurezza delle informazioni includono politiche di sicurezza, procedure, piani, dispositivi e software destinati a rafforzare la sicurezza informatica. Esistono tre categorie di controlli di sicurezza delle informazioni:

  • Preventive, controlli di sicurezza, progettato per prevenire il cyber incidenti di sicurezza
  • Detective controlli di sicurezza, finalizzata alla rilevazione di un cyber tentativo di violazione della sicurezza (“evento”) o di successo violazione (“incidente”) mentre è in corso, e avvisi di sicurezza informatica per il personale
  • Correttive controlli di sicurezza, dopo un cyber security incident per aiutare a ridurre al minimo la perdita di dati e danni al sistema o di rete, e il ripristino di sistemi di business critici e processi il più rapidamente possibile (“resistenza”)

I controlli di sicurezza si presentano sotto forma di:

  • controlli di Accesso, comprese le restrizioni di accesso fisico come guardie di sicurezza a ingressi dell’edificio, le serrature e recinzioni perimetrali
  • controlli Procedurali, quali la sicurezza, l’educazione alla consapevolezza, quadro di protezione conformità di formazione, e la risposta agli incidenti di piani e procedure
  • controlli Tecnici, come multi-fattore di autenticazione utente in fase di login (login) e logico, controlli di accesso, software antivirus, firewall
  • controlli di Conformità, come le leggi sulla privacy e cyber framework e standard di sicurezza.

I framework e gli standard di sicurezza delle informazioni più utilizzati includono:

  • Il National Institute of Standards and Technology (NIST) Pubblicazione speciale 800-53, Controlli di sicurezza e privacy per i sistemi informativi e le organizzazioni federali. Questo documento elenca i requisiti di sicurezza utili non solo per le agenzie federali, ma per i programmi di gestione del rischio di sicurezza delle informazioni di tutte le organizzazioni.
  • L’Organizzazione Internazionale per la standardizzazione (ISO) standard ISO 27001, Gestione della sicurezza delle informazioni, che fornisce indicazioni sulla sicurezza informatica e sicurezza informatica.
  • Il Payment Card Industry Data Security Standard (PCI DSS), che stabilisce i requisiti di sicurezza e controlli di sicurezza per la protezione dei dati sensibili associati con carta di credito personale e di pagamento carta di informazione;
  • La Health Insurance Portability e Accountability Act (HIPAA), una legge federale che regolano la sicurezza e la riservatezza delle tutele per la salute personale informazione;

i Quadri e gli standard sono sistemi che, se seguite, aiutare un’entità coerente per gestire i controlli di sicurezza delle informazioni per tutti i loro sistemi, reti e dispositivi, inclusa la gestione della configurazione, la sicurezza fisica, la sicurezza del personale, la sicurezza della rete e i sistemi di sicurezza delle informazioni. Definiscono ciò che costituisce buone pratiche di sicurezza informatica e forniscono una struttura che le entità possono utilizzare per gestire i loro controlli di sicurezza delle informazioni.