Il presente promemoria è rivolto alle PMI svizzere e ha lo scopo di aiutarle a migliorare la sicurezza dell’informazione all’interno della loro impresa.
Il promemoria è suddiviso in:
- misure organizzative, volte a migliorare o a garantire la sicurezza dell’informazione;
- misure tecniche, volte a migliorare o a garantire la sicurezza dell’infrastruttura informatica.
Le misure tecniche contribuiscono in modo essenziale a garantire la sicurezza dell’informazione, ma devono essere completate da provvedimenti di carattere organizzativo. In particolare quando si tratta di misure molto onerose in termini di costi e/o di personale, ogni impresa deve soppesare i costi del provvedimento e i rischi in cui incorre se quest’ultimo non viene adottato. Le misure non attutate comportano i cosiddetti «rischi residui», che la direzione deve decidere se accettare, oppure predisporre le risorse necessarie per minimizzarli. Sebbene i rischi di carattere tecnico dei sistemi informatici rappresentino una parte importante della sicurezza dell’informazione, un’impresa non dovrebbe focalizzare la sua attenzione unicamente su questa parte dei rischi o addirittura definire la divisione IT come l’unica soggetta a rischi. La responsabilità della gestione dei rischi, la classificazione delle informazioni così come l’impiego graduale delle misure di sicurezza a disposizione rientrano tra i compiti principali della direzione.
