Protezione contro il crimine informatico
Serie di norme ISO/IEC 2700x
En esempio di criminalità informatica organizzata, il termine "attacco del falso presidente" o frode del CEO non circola solo tra gli addetti ai lavori. Dipendenti autorizzati o anche amministratori delegati vengono contattati come al solito - via e-mail o fax - da persone che si spacciano per dirigenti di spicco della propria azienda. Il mittente chiede all'impiegato o al collega di effettuare una transazione finanziaria presumibilmente urgente e riservata su un conto estero.
Una volta che gli impiegati hanno trasferito il denaro, non c'è una conferma ufficiale. Al contrario, l'importo scremato viene rapidamente diviso in importi più piccoli e trasferito in conti non trasparenti. In Svizzera, secondo un rapporto della Handelszeitung, le aziende colpite hanno perso fino a cinque cifre di franchi per caso.
Due aziende tedesche sono state recentemente derubate per 40-50 milioni di euro. Dopo l'annuncio della perdita, i prezzi delle azioni delle società attaccate sono immediatamente scesi. Secondo le informazioni del loro sito web, le aziende tedesche colpite non erano ancora certificate secondo la serie di standard ISO/IEC 2700x al momento delle perdite
Sicurezza attraverso gli standard
La certificazione rafforza i controlli mirati per evitare danni - che possono essere causati da e-mail fittizie, per esempio. Gli standard europei ora proteggono anche le aziende dai metodi fraudolenti. Finora, la serie di norme ISO/IEC 2700x era disponibile solo in inglese. All'inizio del 2014, l'Istituto tedesco di normalizzazione (DIN), l'Istituto austriaco di normalizzazione (ASI) e l'Associazione svizzera di normalizzazione (SNV) hanno creato un gruppo di traduzione comune con l'obiettivo di produrre traduzioni uniformi di norme ISO e ISO/IEC selezionate per l'intera area di lingua tedesca.
Dopo più di un anno di lavoro intenso, una traduzione tedesca della norma ISO/IEC 27001:2013 è ora disponibile ed è stata adottata nel corpo di norme svizzere nel maggio 2015: SN ISO/IEC 27001:2015 (vedi box alla fine del testo).
Organizzare e controllare
La serie di norme ISO/IEC 27000 x costituisce una guida per i manager aziendali. Su questa base, i responsabili possono sviluppare un concetto e delle linee guida per l'azienda insieme agli specialisti IT. Questo richiede un approccio olistico per tutte le aree. È importante prendere in considerazione lo stato attuale dell'arte e, se necessario, pianificare e implementare le modifiche. Questo richiede un'analisi dei rischi e delle vulnerabilità, in ogni caso quando si introduce la ISO/IEC 27001 e altri standard.
Prima di tutto, il concetto di ISMS, cioè gli obiettivi, i processi e le procedure necessarie per la gestione del rischio, viene definito durante la certificazione.
Per raggiungere gli obiettivi definiti, può essere necessario cambiare l'organizzazione dei processi rilevanti nell'azienda. La documentazione delle misure e delle procedure dei processi digitali fa naturalmente parte della gestione della sicurezza e delle informazioni. Il monitoraggio continuo del funzionamento è il compito della cosiddetta "politica di sicurezza" secondo lo standard ISO/IEC 27003 "Information technology - IT security procedures - Information security management system implementation guideline".
Allo stesso tempo, non dovrebbe giocare al "Grande Fratello", ma controllare rigorosamente se gli obiettivi di sicurezza fissati sono stati raggiunti, se ci sono ancora punti deboli e dove sono possibili e necessari miglioramenti.
Nuova direttiva UE
Per le aziende che fanno affari all'estero, il diritto internazionale deve essere preso in considerazione. Nell'UE è recentemente entrata in vigore la direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016 sulle misure per garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell'Unione (direttiva NIS). Questo contiene regolamenti a livello europeo per la sicurezza informatica che sono incorporati nelle leggi nazionali
Il ruolo della Società Svizzera di Normalizzazione (SNV)
L'Associazione svizzera per la standardizzazione (SNV) rappresenta gli standard globali dell'ISO e gli standard europei (CEN) in Svizzera ed è coinvolta in numerose reti di standard nazionali e internazionali. Negli ultimi anni, il SNV Standards Committee INB/NK 149/UK 7 ha dato importanti contributi alla struttura e al contenuto di ISO/IEC 27001:2013 e ISO/IEC 27002:2013. SNV partecipa anche con impegno alla nuova edizione di ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005.
Alla SNV, le aziende o le associazioni possono diventare membri individuali o collettivi, a seconda delle loro dimensioni e attività. Più di 600 aziende e istituzioni svizzere godono già dei vantaggi dell'adesione alla SNV. Partecipando a un comitato di standard, beneficiano in una fase iniziale della conoscenza degli standard futuri. In questo modo, stabiliscono la rotta per la loro azienda nel ruolo di "early mover".
SNV offre interessanti corsi di formazione continua e, grazie ai suoi legami diretti con l'Organizzazione internazionale di normalizzazione (ISO) e il Comitato europeo di normalizzazione (CEN), dispone delle migliori fonti per informare i clienti non solo sui pericoli ma anche sulle norme più recenti e sulla loro applicazione pratica.
