Elenco delle minacce alla sicurezza delle informazioni, per valutare i rischi per la riservatezza, l’integrità e la disponibilità delle informazioni. Individuiamo i comportamenti pericolosi e le motivazioni più comuni alla base degli attacchi informatici
Per affrontare la valutazione dei rischi per la sicurezza delle informazioni prevista al punto 6 della norma ISO 27001:2017, elenchiamo una serie di minacce che potrebbero provenire dal comportamento delle risorse umane e dalle condizioni legate agli asset della sicurezza e al loro funzionamento.
Ricordiamo che i pericoli, a differenza dei rischi che riguardano sempre e comunque la perdita di riservatezza, dell’integrità e della disponibilità delle informazioni, sono rappresentati dalle cause o dalle circostanze per le quali un determinato evento negativo (pregiudizievole per la sicurezza delle informazioni) può verificarsi.
Pericoli (minacce) ascrivibili al comportamento umano
- Insufficiente affidabilità
- Superficialità e sbadatezza (es: rivelazione volontaria o accidentale della password)
- Assenza di motivazione al rispetto delle politiche di sicurezza da parte del personale in generale
- Inconsapevolezza della criticità delle informazioni e delle procedure di trattamento
- Presenza di vulnerabilità tecniche nei processi di gestione e protezione delle informazioni
Pericoli (minacce) ascrivibili alle condizioni fisiche ed ambientali e agli asset della sicurezza
- Temperatura e umidità
- Incendio
- Esplosione
- Allagamento
- Cali di tensione dell’energia elettrica
- Interruzione dell’energia elettrica
- Terremoto
- Deterioramento
- Presenza di vulnerabilità tecniche nei processi di gestione e protezione degli asset
- Intrusione e spostamento di estranei all’interno della struttura
La criticità delle informazioni ed i livelli di rischio
All’individuazione dei pericoli (minacce), segue la fase della valutazione dei rischi. L’entità del rischio dipende dall’importanza strategica delle informazioni da proteggere. Più “critica” è l’informazione da proteggere più è alto risulta il rischio connesso alla sua compromissione.
Dopo aver compreso da dove derivano le minacce per la sicurezza delle informazioni passiamo adesso ad elencare quali sono i bersagli più comuni di eventuali attacchi informatici o comunque quali sono in generale le informazioni per le quali i rischi di perdita di riservatezza, integrità e disponibilità risultano più elevati.
Le informazioni aziendali critiche per le quali deve essere effettuata la valutazione dei rischi di solito riguardano:
- Dati commerciali
- Contratti
- Accordi di partnership
- Progetti
- Requisiti di progetti
- Modalità di progettazione
- Strategie e fabbisogni
- Lancio di nuovi prodotti
- Costi e tempi di produzione
- Informazioni finanziarie e contrattuali
- Nominativi di clienti e fornitori
- Dati tecnici
- Brevetti, anche in corso di registrazione
- Progettazioni e soluzioni di progettazione
- Piani e schemi di produzione
- Piani e schemi di progettazione
- Piani e schemi di analisi e sviluppo requisiti
- Capitolati di fornitura e d’opera
- Disegni tecnici
- Specifiche di algoritmi
- Performance dei progetti (tempi, tecnologie, risultati)
- Piani e modalità di controllo in generale delle attività produttive
- Processi, formule
- Dati personali particolari “sensibili” secondo l’Art. 9 del Regolamento Europeo 2016/679 (GDPR)
- La proprietà intellettuale disciplinata dal titolo IX del Codice civile – dei diritti sulle opere dell’ingegno e sulle invenzioni industriali