Politica della Information Security vs politiche specifiche nella sicurezza delle informazioni
A volte le Organizzazioni, che si approcciano per la prima volta alla Norma ISO 27001 e alla sua linea guida ISO 27002, non colgono immediatamente la distinzione tra la Politica della Information Security, di cui la ISO 27001 parla al punto 5.2 e le politiche specifiche per argomento, richiamate dalla linea guida (al dominio di controllo 5.1 e in più punti seguenti).
Livelli di dettaglio e approvazione
Eppure, la ISO 27002 lo specifica chiaramente (nel prospetto 1 del controllo 5.1) che la politica di IS e le politiche specifiche si differenziano tra loro per:
In particolare, la politica di IS tratta temi definiti* ma a un livello generale, senza scendere nei particolari è dunque una policy di alto livello, perciò viene stabilita, emessa e approvata dall’alta Direzione (*per il dettaglio cfr dominio di ctrl 5.1 lettere da a) a g)). La norma esige che sia messa a disposizione delle terze parti interessate e, per questo spesso, le Organizzazioni, per comodità scelgono di pubblicarla sul sito aziendale. In termini di classificazione si tratta pertanto di un documento pubblico.
Immaginate quali scenari si aprirebbero se questa politica fosse maggiormente dettagliata e pubblicata sul sito aziendale…
Le politiche specifiche si pongono a un livello più operativo, entrano nel dettaglio e sono generalmente stabilite e approvate dalle funzioni che hanno le competenze tecniche per occuparsi dei temi/misure di cui la politica tratta e che ricoprono un adeguato livello manageriale. In altre parole, le persone che le emettono e approvano devono essere competenti in materia e avere l’autorità per definire intenti e indirizzi di tipo tecnico-operativo. Visto il livello di approfondimento di questi documenti, si configura la necessità di tenerli al riparo da occhi indiscreti: la loro classificazione non potrà essere “pubblica” e anzi si dovrà fare attenzione a condividerle coi soli interessati per competenza o necessità.
La forma
Anche la forma tra le due tipologie di politiche mostra una qualche differenza, che ci sembra opportuno sottolineare che: la politica per la sicurezza delle informazioni esprime in modo formale intenti e indirizzi, le politiche specifiche per argomento hanno forma simile a quella di istruzioni, di regole operative di dettaglio.
In ambedue i casi, comunque, l’obiettivo dell’Organizzazione deve essere quello della comprensibilità (che significa usabilità): pertanto ciò che interessa della forma di entrambe è che sia pertinente, accessibile e comprensibile per i destinatari previsti.
Dal che se ne deduce che:
Documenti diversi che non hanno relazioni tra loro?
Assolutamente no.
Tra policy e politiche c’è una corrispondenza biunivoca: la prima fornisce un indirizzo generale, le altre si focalizzano su determinate aree di sicurezza e, in questo modo, sostengono e amplificano la portata della politica generale.
Riesami e audit delle politiche
In ogni caso, l’Organizzazione deve preoccuparsi che tra policy e politiche ci siano, dal momento dell’emissione e successivamente in modo costante, adeguati allineamento e complementarità. Ciò significa che, a intervalli pianificati e quando si verificano cambiamenti significativi, tutte le policies vanno riesaminate per confermarne idoneità, adeguatezza, pertinenza, efficacia, allineamento, coerenza, integrazione.
Anche i momenti di audit possono risultare estremamente importanti al fine di confermarne questi elementi, anche in relazione agli indirizzi della Direzione e ai requisiti di business, cogenti, regolamentari e contrattuali applicabili.