Non è un caso se l’OCSE, il principale punto di riferimento nel controllo della crescita economica mondiale, si occupi di sicurezza dei sistemi informatici. Tra gli obiettivi dell’organizzazione v’è lo sviluppo armonico delle parti, un miglioramento qualitativo degli apparati, una sana distribuzione delle risorse: l’informatica deve dunque fare coscienza delle responsabilità ricoperte e sviluppare una cultura che l’OCSE dichiara senza mezzi termini “della sicurezza”.
Le linee guida sviluppate trovano la loro motivazione nel fatto che nel tempo lo sviluppo dell’informatica è stato prepotente ed ora v’è la necessità che “i governi, le imprese, le altre istituzioni e i singoli utenti che sviluppano, possiedono, forniscono, gestiscono, procedono alla manutenzione e utilizzano i sistemi e le reti d’informazione, dedichino maggiore attenzione alla sicurezza.”
Le linee guida sono costituite da 9 principi di cui l’OCSE sottolinea la complementarità, come a costituire un unico progetto di formazione:
- Sensibilizzazione – Le parti in causa devono prendere coscienza della necessità di tutelare la sicurezza dei sistemi in uso ed intraprendere le iniziative necessarie al fine di migliorare tale aspetto;
- Responsabilità – Le singole entità devono assumersi singole responsabilità, assicurando assistenza quotidiana ed aggiornamenti tempestivi dei prodotti;
- Risposta – Le parti in causa devono agire con sollecitudine ed in uno spirito attivo e cooperativo di prevenzione;
- Etica – Le parti interessate devono rispettare i legittimi interessi di ogni singola parte in causa;
- Democrazia – La sicurezza dei sistemi e delle reti d’informazione deve essere compatibile con i valori fondamentali di una società democratica;
- Valutazione dei rischi – Le parti devono procedere alla valutazioni di minacce e vulnerabilità, procedendo con modalità adeguatamente estese in modo da coprire ogni singolo fattore di rischio;
- Concezione e applicazione della sicurezza – Le parti interessate devono integrare la sicurezza quale elemento essenziale dei sistemi e delle reti d’informazione. La sicurezza deve divenire dunque requisito imprescindibile di ogni prodotto informatico;
- Gestione della sicurezza – La gestione della sicurezza deve essere dinamica e globale, anticipando le risposte alle minacce emergenti ed inoltre prevenendo, rilevando e risolvendo i possibili incidenti;
- Rivalutazione – Come dinamici sono le minacce ed i pericoli emergenti, così dinamica e prolungata nel tempo deve essere la valutazione della messa in sicurezza dei prodotti, intervenendo eventualmente a risoluzione dei problemi insorti.
In conclusione l’OCSE consiglia ai paesi membri di adottare tali consigli come un vero e proprio protocollo, intervenendo a favore della sicurezza con interventi diretti e campagne di sensibilizzazione. Tali linee guida hanno preso corpo nel 1992, sono state riesaminate nel 1997 ed ora trovano nuova approvazione in seguito ai lavori iniziati nel 2001 ed accellerati di fronte alle evidenti nuove necessità sorte con gli eventi dell’11 Settembre.