Questa storia appartiene alla categoria Internet e domain 

Un certificato per l’ufficio di registrazione

L'ufficio di registrazione dei nomi a dominio è certificato ISO27001. Perché?

Testo: Christa Falkensammer, pubblicato il 08.09.2014

L'incaricata della sicurezza di SWITCH risponde alle principali domande sul sistema di gestione della sicurezza delle informazioni presso l'ufficio di registrazione dei nomi a dominio.

Perché SWITCH si è fatta certificare?

Il sistema dei nomi a dominio, che è gestito da SWITCH, fa parte delle infrastrutture critiche della Svizzera. Un'interruzione avrebbe gravi conseguenze per la popolazione e l'economia. Per questo motivo, SWITCH ha predisposto un meccanismo di protezione ridondante e a più livelli per il sistema dei nomi a dominio (vedi articolo "Quando l'affidabilità non è dovuta al caso"). Abbiamo voluto creare anche un livello di sicurezza aggiuntivo sotto forma di un sistema di gestione della sicurezza delle informazioni (ISMS), che abbiamo fatto certificare secondo ISO27001. ISO27001 è la norma applicata su scala mondiale per la certificazione di un ISMS. In base a un'analisi dei rischi aziendali, l'ISMS si prefigge lo scopo di proteggere le informazioni, per garantirne la riservatezza, l'integrità e la disponibilità.

In cosa consiste l'impostazione e la certificazione di un ISMS?

L'anno scorso SWITCH ha istituito un comitato per la sicurezza delle informazioni (CSI), che a livello di management elabora delle direttive di sicurezza, valuta le analisi del rischio e pianifica le misure volte a migliorare la sicurezza delle informazioni. Il comitato CSI è diretto dall'incaricata della sicurezza, che riceve mandati dal CSI ed è responsabile dell'esercizio e del costante miglioramento dell'ISMS.

Per individuare i processi aziendali critici abbiamo svolto un'analisi di Business Impact, in base alla quale abbiamo definito gli scenari di emergenza e le misure destinate a contenere i danni. Per poter ripristinare al più presto l'esercizio aziendale in caso di guasti ed emergenze abbiamo definito un processo di Incident Management orientato alla prassi e lo abbiamo testato più volte con esercitazioni di emergenza.

La ditta di consulenza AWK Group ha appoggiato SWITCH nella messa in opera dell'ISMS. Dopo questo intenso lavoro, l'impresa SQS ha certificato SWITCH secondo ISO 27001. Contiamo così tra i primi uffici di registrazione europei dotati di un ISMS certificato.

Cosa significa tutto ciò per il futuro?

Condividiamo le nostre esperienze con altri uffici di registrazione, per assicurare la sicurezza dell'intero sistema dei nomi a dominio e portarlo al prossimo livello. L'introduzione di un ISMS è sul tappeto anche delle università svizzere. SWITCH trasmetterà loro le sue esperienze in questo campo.

SWITCH non intende però riposare sugli allori: il miglioramento costante è uno degli elementi chiave dell'ISMS ed è ancorato in tutte le fasi e i processi. La sicurezza non è uno stato che viene raggiunto, ma è un processo. Il prossimo audit intermedio da parte di SQS è già alle porte: alla certificazione segue la certificazione.

Sull’autore
Christa   Falkensammer

Christa Falkensammer

Christa Falkensammer è responsabile presso SWITCH del sistema di gestione della sicurezza delle informazioni e svolge il ruolo di incaricata della sicurezza (CISO). Prima di venire a SWITCH ha studiato alla Fachhochschule Nordwestschweiz, dove ha ottenuto un Bachelor e un Master of Science in informatica economica.

E-mail
Altri contributi