La classificazione delle informazioni è una delle parti più interessanti della gestione della sicurezza delle informazioni ma, allo stesso tempo, anche una delle più fraintese. Si tratta del processo mediante il quale le organizzazioni valutano i dati in loro possesso e il livello di protezione che dovrebbe essere loro fornito.
Solitamente, le informazioni vengono classificate dalle organizzazioni in base alla loro riservatezza, stabilendo a chi sia consentito visualizzarle. Questo processo si applica sia ai dati sia alle informazioni. In un contesto di classificazione, generalmente, i dati e le informazioni sono trattati allo stesso modo.
Un tipico sistema contiene quattro livelli di riservatezza:
- riservato (l’accesso è riservato alla dirigenza);
- con restrizioni (la maggior parte dei dipendenti può avervi accesso);
- interno (tutti i dipendenti hanno accesso);
- informazioni pubbliche (tutti hanno accesso)
Le organizzazioni più grandi e complesse potrebbero aver bisogno di più livelli che tengano conto di gruppi specifici di dipendenti che hanno bisogno di accedere a determinate informazioni. La ISO 27001, il principale standard per la sicurezza delle informazioni, descrive le migliori pratiche per la creazione e il mantenimento di un sistema per la gestione della sicurezza delle informazioni e la classificazione che abbiamo appena visto gioca un ruolo cruciale per ciò che riguarda la gestione delle informazioni che devono ricevere un livello di protezione appropriato.
La norma non spiega come farlo operativamente ma basta seguire quattro semplici passaggi:
- raccogliete tutte le informazioni in un unico registro, annotando chi ne è responsabile e in quale formato si trovano (documenti elettronici, database, documenti cartacei, supporti di archiviazione, ecc.); 2
- classificate le informazioni in base alle linee guida che la direzione avrà fornito nel frattempo e in base a ciò che ritengono giusto i responsabili di ciascuna tipologia di informazione sulla base dei possibili rischi legati alla loro diffusione. Le informazioni che sarebbero interessate da rischi più significativi se divulgate, solitamente dovrebbero sottostare a un livello di riservatezza più elevato. Ma attenzione, perché non è sempre così;
- stabilire per ogni tipologia di informazione la corretta gestione. Avrete bisogno di processi diversi per gestire le informazioni archiviate digitalmente e fisicamente ma i processi dovrebbero essere coerenti e chiari;
- stabilite regole chiare su come proteggere ogni risorsa in base alla sua classificazione e al formato. Ad esempio, potreste stabilire che i documenti cartacei interni devono essere conservati in un armadietto al quale tutti i dipendenti possono accedere. Al contrario, le informazioni riservate dovrebbero essere collocate in un armadietto chiuso a chiave e le informazioni riservate conservate in un luogo sicuro.
Dovrebbero essere stabilite regole aggiuntive per i dati in transito, indipendentemente dal fatto che vengano inviati tramite e-mail o che i dipendenti li portino con sé. E’ possibile tenere traccia di tutte queste regole utilizzando una semplice tabella che contenga tutte le informazioni per poterle rintracciare. Se avete implementato la ISO 27001 “Tecnologie informatiche – Tecniche di sicurezza – Sistemi di gestione per la sicurezza” e volete certificarvi, siamo il partner giusto per voi. Contattateci al telefono 02.58320936 o via email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., saremo lieti di offrirvi il nostro supporto!