CENNI SU SISTEMI DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI E STANDARD DI SICUREZZA INFORMATICA. Salvaguardare integrità, riservatezza e disponibilità dei dati raccolti nei sistemi informativi, limitando, quindi, minacce e rischi di attacchi informatici, è uno dei motivi principali per cui le aziende, di cui quelle sanitarie rappresentano un campione cospicuo sul fronte pubblico nazionale, implementano sistemi di gestione della sicurezza delle informazioni (o “Information Security Management System”); beneficiari dell’adozione di tali strumenti sono prevalentemente gli stessi enti, che, grazie al controllo dei flussi informativi, possono accrescere le proprie performance e strategie di marketing. Per quanto, invece, concerne gli utenti, in generale, essi traggono vantaggio dalla sicurezza dei sistemi soltanto in modo indiretto198; una delle rilevanti differenze tra l’adozione di strumenti a tutela della “security” e della “privacy” consiste, infatti, proprio in questo: la tipologia di dati protetti è, nel primo caso, riferita alla società, nel secondo, al singolo individuo. Quanto evidenziato avvalora la tesi della complementarietà tra le misure in esame (già sinteticamente introdotta in figura 2) nonché l’importanza di adottare un approccio olistico nella definizione teorica delle stesse, approccio, peraltro, egualmente assunto nel design degli strumenti di Information and Communication Technology. La complessità e la trasversalità del dominio in esame hanno richiesto agli esperti un impegno esclusivo, volto a considerare, non soltanto i profili più propriamente tecnologici della sicurezza delle informazioni, ma anche quelli organizzativi e procedurali, di cui, a titolo esemplificativo, valutazione e gestione del rischio figurano come problemi emergenti e prioritari. Per ottemperare alle summenzionate esigenze, e, in particolare, per implementare sistemi di gestione della sicurezza delle informazioni uniformi, sono stati predisposti gli standard internazionali di sicurezza informatica, di cui la famiglia ISO/IEC 27000, 198 A titolo esemplificativo, la predisposizione di buone misure di sicurezza può contenere, fino ad annullare, i casi di c.d. “furto d’identità”, come il “phishing”. sviluppata da “International Organization for Standardization” - “Joint Technical Committee Information Technology”, è un significativo esempio199. Ai fini del presente studio è rilevante menzionare: ISO/IEC 27001:2005, “Information security management systems - Requirements”, norma che specifica i requisiti (soprattutto in termini di sicurezza fisica, organizzativa e log...
