L'ampia diffusione di Internet e l'organizzazione delle imprese sempre più rivolta verso l'esterno, con condivisione delle informazioni con fornitori, clienti e partner, ha da una parte moltiplicato le opportunità di affari e dall'altra anche la possibilità di attacco ad opera di agenti esterni (intrusioni e virus informatici, furti di proprietà intellettuale, ecc.), interni (errore o malafede degli utenti) o naturali (disastri, interruzione dei servizi).

Per affrontare in modo idoneo queste problematiche, molte aziende hanno compreso la necessità di dotarsi di un sistema sicuro di gestione delle informazioni, fondamentale per essere competitivi sul mercato e per gestire al meglio l'operatività e le risorse.

Realizzare un sistema sicuro non è semplice: è necessario disporre di competenze specifiche in hardware, software, integrazione di sistemi informatici, sistemi di sicurezza fisica, gestione d'impresa, adempimenti legali. Per affrontare in maniera sistematica la progettazione della sicurezza delle informazioni e per valutarne i risultati, nel corso degli anni si sono consolidati metodi specifici, indicati come analisi e gestione del rischio.

Questo libro illustra alcuni di questi metodi di lavoro, considerando sia gli aspetti legati alla gestione delle informazioni su supporti informatici, che su quelli di altro tipo: carta, microfiches, fotografie, ecc. Sono quindi affrontati i temi relativi alle misure di sicurezza logiche, fisiche e organizzative, ai disaster recovery e business continuity, alla normativa italiana (Legge sulla privacy, D. Lgs. 231/2001, norme sulla firma digitale), agli standard internazionali (BS 7799, ISO 17799, Common Criteria, Capability Maturity Model), fino alla certificazione dei sistemi di sicurezza.

Il libro, rivolto a consulenti, responsabili della sicurezza, personale operativo e direttivo, si propone di essere sia un utile primo approccio al tema, sia un approfondimento su come impostare progetti di analisi e realizzazione della sicurezza delle informazioni.

Cesare Gallotti ha lavorato per Securteam e Finmatica, offrendo servizi di consulenza sulla sicurezza delle informazioni. È autore della Metodologia per la Progettazione del Sistema di Gestione per la Sicurezza delle Informazioni di Finmatica (2002). Attualmente lavora per l'organismo di certificazione DNV e si occupa di certificazioni ISO 9001 e BS 7799, oltre ad attività legate alla tecnologia dell'informazione. È Certified Information System Auditor (CISA) secondo lo schema dell'ISACA.