Di qualsiasi settore o ambito si tratti, la totale eliminazione dei rischi è un obbiettivo (nei fatti) irraggiungibile. Ciò è ancora più vero nell’ambito della sicurezza delle informazioni.
È un settore in continuo mutamento, sia tecnico sia normativo e dove, nella maggior parte dei casi, le misure di protezione vengono sviluppate solo dopo che una minaccia si è già tramutata in danno. Pertanto, la fase dell’analisi del contesto di riferimento assume un ruolo determinante.
Il contesto di un’organizzazione è quella particolare combinazione di tutti fattori interni ed esterni che caratterizzano l’organizzazione medesima, in tutti i suoi aspetti, e che hanno degli effetti sull’operatività dell’organizzazione.
Possiamo individuare i fattori interni come tutti gli elementi propri di un’organizzazione che la caratterizzano e la distinguono rispetto alle altre: caratteristiche delle attività svolte dall’organizzazione, della sede e del lavoro, il sistema informativo utilizzato e le tipologie di informazioni trattate.
I fattori esterni sono invece quegli elementi che definiscono il contesto dell’organizzazione su cui la stessa non ha un diretto controllo: i concorrenti, attuali o potenziali, le norme applicabili, l’andamento del mercato e la situazione economica, politica e sociale, i clienti e i fornitori, ecc.
Sia i fattori interni sia quelli esterni influiscono, ciascuno in una certa misura, sulla sicurezza delle informazioni trattate dall’organizzazione. Occorre dunque avere una chiara immagine del contesto in cui l’organizzazione opera. Ciò in quanto, solo dopo aver analizzato il contesto, è possibile individuare i rischi e le fonti di rischio per la sicurezza delle informazioni. La corretta analisi dei fattori interni, potrà evidenziare le debolezze, le criticità e le vulnerabilità del sistema informativo adottato. O ancora, l’identificazione delle caratteristiche della sede e del lavoro svolto porteranno all’adozione di misure di protezione piuttosto che altre.