3. IN DISCOTECA…
3
Sicurezza fisica
In una discoteca le porte
devono essere aperte, le
porte antincendio
sbloccate, le persone
devono poter entrare ed
uscire dagli ambienti.
Sicurezza delle
informazioni e della
Privacy
In una discoteca bisogna
controllare gli accessi,
creare delle aree interne
riservate per la privacy
di alcune persone.
4. CLASSICO… AUDIT 27001 IN AZIENDA
INFORMATICA DI LIVELLO INTERNAZIONALE!!!
4
Audit ISO/IEC in sala riunioni:
Classica richiesta dell’Auditor: «Posso collegarmi a
internet?»
Il cliente fornisce la password per la rete internet e
lì si scatena l’inferno…
5. IL LEAD AUDITOR, UN IT ENG., NEL COLLEGARSI
ALLA RETE SI ACCORGE CHE HA VISIBILITÀ DEI
TERMINALI AZIENDALI… TENTA DI ACCEDERE AL
CUORE DEL LORO SISTEMA INFORMATICO PROVA CON
LA PASSWORD È 123456… È DENTRO E VEDE TUTTI I
DATI DEI CLIENTI… ALLORA CHIEDE SE SIA STATO
FATTO UN PENETRATION TEST E IL CONSULENTE GLI
MOSTRA UNA RELAZIONE CON ANALISI DEI RISCHI E
PIANO DI MITIGAZIONE…
5
6. LA TENTAZIONE…
6
L’auditor è tentato di
dire tutto al R.ISMS
ma fa una cosa più
intelligente… chiede
una pausa e chiama la
Direzione di SV.
7. ATTENZIONE…
7
L’auditor non aveva il
permesso da parte
dell’azienda di forzare
il sistema, quindi
aveva commesso un
reato, ha fatto bene a
non dire nulla al
cliente.
Con la direzione SV si è
deciso la linea da seguire
e come instradare
l’azienda verso la
protezione della sua rete
internet, facendo
domande e dicendo che
nello Stage 2 sarebbero
state verificate anche le
vie di accesso al loro
sistema partendo dalle
aree pubbliche.