Definizione dei bisogni in termini di sicurezza informatica
La fase di definizione dei bisogni in termini di sicurezza è il primo passo verso l'attuazione di una politica di sicurezza.
Fase di definizione
L'obiettivo consiste nel determinare i bisogni dell'organizzazione facendo un vero e proprio rapporto sulla situazione del sistema d'informazione, poi studiare i differenti rischi e la minaccia che essi rappresentano per adoperare una politica di sicurezza appropriata. La fase di definizione comporta quindi tre tappe: identificazione dei bisogni, analisi dei rischi e definizione della politica di sicurezza.
Identificazione dei bisogni
La fase di identificazione dei bisogni consiste in un primo tempo nel fare l'inventario del sistema di informazione, soprattutto per i seguenti elementi: personale e funzioni; hardware, server e servizi rilasciati; mappe di rete (piano di indirizzamento, topologia hardware, topologia software, ecc.); lista di nomi di dominio dell'azienda; infrastrutture di comunicazione (router, commutatori, ecc.) e dati sensibili.
Analisi dei rischi
La tappa di analisi dei rischi consiste nel repertoriare i differenti rischi occorsi, nella stima della loro probabilità e infine nello studio del loro impatto. Il miglior approccio per analizzare l'impatto di una minaccia consiste nello stimare il costo dei danni che potrebbe causare (ad esempio attacco su un server o deterioramento di dati vitali per l'azienda).
Su questa base, può essere interessante redigere una tabella dei rischi e del loro potenziale, cioè la loro probabilità di prodursi, attribuendo loro dei livelli scaglionati secondo un criterio da definire, ad esempio:
Senza oggetto (o improbabile), la minaccia non ha ragione d'essere;
Debole, la minaccia ha poche possibilità di prodursi;
Media, la minaccia è reale;
Alta, la minaccia ha elevata possibilità di prodursi.
Definizione della politica di sicurezza
La politica di sicurezza è il documento di riferimento che definisce gli obiettivi perseguiti in materia di sicurezza e i mezzi posti in essere per assicurarli. La politica di sicurezza definisce un certo numero di regole, procedure e pratiche che permettono di assicurare un livello di sicurezza conforme ai bisogni dell'organizzazione.
Un documento simile deve necessariamente essere trattato come un vero progetto che associ i rappresentanti degli utenti e rivolto al più alto livello gerarchico, affinché possa essere accettato da tutti. Una volta terminata la politica di sicurezza, si devono comunicare le clausole che riguardano il personale, per poter dare alla politica di sicurezza il massimo impatto possibile.
Metodi
Esistono numerosi metodi che permettono di mettere a punto una politica di sicurezza tra i quali La norma ISO 17799.
Foto: © Martial Red – Shutterstock.com
Il documento intitolato « Definizione dei bisogni in termini di sicurezza informatica » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.