Lo standard ISO 27000 per la protezione delle informazioni BIM

Roberto Baldo Ingegnere, Tecno Piemonte Spa,Antonio Muscillo Ingegenre, Libero professionista 07/09/2017 5149
Il BIM (Building Information Modeling) sta ormai da tempo assumendo un ruolo sempre più centrale all’interno degli studi professionali. L’introduzione del BIM dà infatti la possibilità di realizzare progettazioni integrate tra più studi posti in diverse parti nel mondo, che si scambiano un elevato flusso di informazioni  (dati, disegni, documenti) tutti all’interno di un unico cloud o server.
 
Un passo fondamentale nella diffusione di questo metodo di lavoro è avvenuta a fine luglio 2017 con la pubblicazione del primo bando di gara pubblico su progetto BIM: realizzazione del ponte ciclopedonale della Navetta nel Comune di Parma (per maggiori approfondimenti si veda l’articolo
 
 
(Immagine tratta da /Img?name=Diapositiva15.PNG)
 
Inoltre, sempre grazie al BIM, è oggi possibile gestire in remoto le fasi di realizzazione in cantiere, gestendo le squadre di operai, l’avanzamento dei lavori, la sicurezza in cantiere, le forniture, le prove su materiali attraverso l’uso di semplici smartphone o tablet: questo consente al Cliente, alle Imprese e alla Direzione Lavori il pieno e costante controllo della situazione.
La gestione di un elevato numero di informazioni integrate porta con se il problema di come conservare efficacemente queste informazioni. Come evitare ad esempio che domani mattina un Ransomware, un particolare tipo di malware capace di criptare i nostri file e chiedere un riscatto per essere rimosso, colpisca uno dei PC dello studio professionale in cui lavoriamo e da lì si propaghi al server in cui sono contenute tutte le informazioni vitali del nostro progetto? Spesso anche dopo il pagamento del riscatto non si è sicuri che le tutte informazioni ci vengano restituite. Una situazione di questo tipo porterebbe, oltre che un dispendio economico, anche una perdita del business, in quanto non saremmo più in grado di poter gestire la commessa in tempo reale o non potremmo accedere ad informazioni importanti per il prosieguo della stessa.
Molte aziende e studi professionali cercano di affrontare queste situazioni con metodi tradizioni, quali ad esempio l’installazione di antivirus e antimalware, il backup delle informazioni da proteggere, la limitazione degli accessi a queste informazioni. Tutti metodi validi che se però non vengono usati in maniera intergrata e strutturata rischiano di perdere la loro efficacia. Questo è il motivo per cui sempre più esperti di IT consigliano di salvaguardarsi dalle minacce legate alla sicurezza delle informazioni attraverso l'implementazione di un sistema di gestione secondo quello che è lo standard ISO/IEC 27000 “Sistemi di gestione della sicurezza dell'informazione”.
 
Lo standard ISO/IEC 27000.
Lo standard fornisce una visione di alto livello dei Sistemi di Gestione per la Sicurezza delle Informazioni SGSI o ISMS (dall'inglese Information Security Management System), è applicabile a tutti i tipi di realtà organizzative di qualunque dimensione (imprese commerciali, enti governativi, organizzazioni no-profit, ecc.), laddove le informazioni detenute ed elaborate sono soggette a minacce di attacco, perdite accidentali e vulnerabilità inerenti il loro utilizzo.
Nello standard vengono inoltre definiti i termini e le definizioni di tutte le norme della stessa famiglia, per una migliore e piena comprensione dei requisiti della ISO/IEC 27001 e dei controlli di sicurezza della ISO/IEC 27002.
 
Come può lo standard ISO/IEC 27000 aiutare a gestire la sicurezza delle nostre informazioni?
Delle norme che fanno parte della famiglia, la ISO 27001 definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni. Come per tutte le norme della serie ISO si applica il cosiddetto modello PDCA (Plan, Do, Check, Act), che consente tramite l’applicazione della sequenza logica dei quattro punti ripetuti, il raggiungimento dell’obiettivo del miglioramento continuo.
 
 
 
Come per i recenti aggiornamenti della altre norme ISO, la 27001 basa già dalla prima emissione tutto sulla valutazione del rischio. In particolare nel paragrafo 6, forti sono i richiami allo standard ISO 31000 “Risk Management” e alla definizione di quelle che sono le probabilità che un evento dannoso, attribuibile al sistema informativo, possa essere più o meno impattante per l’organizzazione.

La cosa più interessante e innovativa ai fini della protezione dei dati e delle informazioni è sicuramente la serie di controlli previsti dall’allegato A, una sorta di “best practice” da utilizzare ed applicare in funzione di quella che è la valutazione del rischio effettuata.  

Quali e quanti sono i controlli previsti dall’allegato A dello standard ISO 27001?
Cosa garantisce l’applicazione di un SGSI e quali sono i vantaggi?
Come implementare un SGSI?
Come posso strutturare un SGSI per proteggere le informazioni del mio BIM?
 
LE RISPOSTE ALL'INTERNO DEL PDF.