Ciascun rischio (o fonte di rischio) connesso all’attività svolta da un’organizzazione richiede l’adozione di una corrispondente misura di sicurezza vota a limitare la probabilità che il rischio si concretizzi. È possibile distinguere tre macro-tipologie di misure di sicurezza.
Rilevano le misure di natura tecnica misure volte a tutelare in maniera diretta e specifica il sistema informativo. Si tratta, in altre parole, della cassaforte dove le informazioni vengono mantenute. Vi sono numerose misure di carattere tecnico che operano su diversi livelli di protezione.
In secondo luogo, il rischio può essere limitato anche attraverso misure organizzative. L’organizzazione deve stabilire le regole di accesso e gestione del sistema informativo, così come tutte le necessarie procedure da applicarsi in tutte le situazioni che possono configurarsi. Le misure di carattere organizzativo hanno un duplice scopo. Da un lato offrono maggior tutela al sistema informativo dell’organizzazione in quanto permettono di identificare chiaramente i responsabili e i relativi compiti. Dall’altro, la creazione di sistema di organizzazione delle informazioni permette di migliorare l’efficienza dell’organizzazione, evitando così che ciascuno abbia accesso e utilizzi solo le informazioni effettivamente utili.
L’ultimo livello di protezione è garantito dalle misure contrattuali. Un’organizzazione deve sapere quali obblighi e responsabilità imporre a quali soggetti e come agire in caso di violazione.