Introduzione alla sicurezza informatica

Con lo sviluppo dell'uso di internet, sempre più aziende aprono i propri sistemi di informazione ai partner e fornitori, diventa quindi essenziale conoscere le risorse aziendali per la protezione e la gestione del controllo degli accessi e i permessi degli utenti del sistema d'informazione. Ovviamente si intende la stessa cosa per l'accesso dell'azienda ad Internet.

Inoltre, con il nomadismo, che consiste nel permettere al personale di connettersi al sistema di informazione indipendentemente dal luogo in cui si trovi, il personale «trasporterà» una parte del sistema di informazione fuori dall'infrastruttura resa sicura dell'azienda.

Introduzione alla sicurezza

Il rischio in termini di sicurezza è generalmente caratterizzato dalla seguente equazione:

rischio = (minaccia * vulnerabilità) / contromisura

La minaccia (in inglese «threat») rappresenta il tipo di azione suscettibile a nuocere nell'assoluto, mentre la vulnerabilità (in inglese «vulnerability», detta talvolta falla o breccia) rappresenta il livello di esposizione rispetto alla minaccia in un determinato contesto. Infine la contromisura è l'insieme delle azioni attuate per prevenire la minaccia.

Le contromisure da attuare non sono unicamente delle soluzioni tecniche ma anche delle misure di formazione e di sensibilizzazione rivolte agli utenti, nonché un insieme di regole ben definite.

Per poter rendere sicuro un sistema, è necessario identificare le minacce potenziali, e quindi conoscere e prevedere il modo di procedere del nemico. Lo scopo di questo dossier è quindi di dare una visione delle eventuali motivazioni dei pirati, di classificarli, e infine di dare un'idea sul loro modo di procedere per capire meglio come si possano limitare i rischi di intrusione.

Obiettivi della sicurezza informatica

Il sistema di informazione è generalmente definito dall'insieme dei dati e delle risorse hardware e software dell'azienda che permettono di memorizzarle o di farle circolare. Il sistema di informazione rappresenta un patrimonio essenziale per l'azienda, che ha tutto l'interesse di proteggere.

La sicurezza informatica, in modo generale, consiste nell'assicurare che le risorse hardware e software di un'organizzazione siano usate unicamente nei casi previsti. La sicurezza informatica punta solitamente a cinque obiettivi principali:

L'integrità, cioè garantire che i dati siano effettivamente quelli che si pensano; la confidenzialità, che consiste nell'assicurare che solo le persone autorizzate abbiano accesso alle risorse scambiate; la disponibilità, che permette di mantenere il corretto funzionamento del sistema d'informazione; il non ripudio, che permette di garantire che una transazione non possa essere negata e l'autenticazione, che consiste nell'assicurare che solo le persone autorizzate abbiano accesso alle risorse.

La confidenzialità

La confidenzialità consiste nel rendere leggibile l'informazione solamente agli attori della transazione.

L'integrità

Verificare l'integrità dei dati consiste nel determinare se i dati non siano stati alterati durante la comunicazione (in maniera fortuita o intenzionalmente).

La disponibilità

L'obiettivo della disponibilità è di garantire l'accesso ad un servizio o a delle risorse.

Il non ripudio

Il non ripudio dell'informazione è la garanzia che nessuno dei corrispondenti potrà negare la transazione.

L'autenticazione

L'autenticazione consiste nell'assicurare l'identità di un utente, cioè nel garantire a ciascun corrispondente che il suo partner sia effettivamente quello che crede. Un controllo di accesso può permettere (ad esempio attraverso una password criptata) l'accesso a delle risorse soltanto a persone autorizzate.

Necessità di un approccio globale

La sicurezza di un sistema informatico è spesso oggetto di metamorfosi. In effetti, la si paragona spesso ad una catena spiegando che il livello di sicurezza di un sistema è caratterizzato dal livello di sicurezza dell'anello più debole. Così, una porta blindata è inutile in un edificio se le finestre che danno direttamente sulla strada sono aperte. Questo significa che la sicurezza deve essere abbordata in un contesto globale e soprattutto considerando i seguenti aspetti:

La sensibilizzazione degli utenti ai problemi di sicurezza;

La sicurezza software, cioè la sicurezza a livello dei dati, soprattutto quelli aziendali, le applicazioni o ancora i sistemi operativi;

La sicurezza delle telecomunicazioni, tecnologie di rete, server aziendali, reti di accesso, e così via;

La sicurezza hardware, ossia la sicurezza a livello delle infrastrutture hardware, sala securizzata, luoghi aperti al pubblico, spazi aziendali comuni, postazioni di lavoro del personale, ecc.

Attuazione di una politica di sicurezza

La sicurezza dei sistemi informatici si occupa solitamente di garantire i permessi di accesso ai dati e alle risorse di un sistema attuando dei meccanismi di autenticazione e di controllo che permettono di assicurare che gli utenti delle dette risorse possiedano unicamente i permessi che gli sono stati concessi.

I meccanismi di sicurezza attuati possono tuttavia provocare un problema a livello degli utenti e le consegne e le regole diventano sempre più complicate man mano che la rete si estende. Così, la sicurezza informatica deve essere studiata in modo tale da non impedire agli utenti di sviluppare gli usi che sono loro necessari e di fare in modo che possano utilizzare il sistema d'informazione in piena fiducia.

Questa è la ragione per cui è necessario definire in un primo tempo una politica di sicurezza, la cui attuazione avviene nelle quattro tappe seguenti:

Identificare i bisogni in termini di sicurezza, i rischi informatici che pesano sull'azienda e le loro possibili conseguenze;

Elaborare delle regole e delle procedure da attuare nei diversi servizi dell'organizzazione per i rischi identificati;

Sorvegliare e identificare le vulnerabilità del sistema d'informazione e tenersi informati sulle falle delle applicazioni e dell'hardware utilizzati;

Definire le azioni da intraprendere e le persone da contattare in caso di identificazione di una minaccia.

La politica di sicurezza è quindi l'insieme delle orientazioni seguite da un'organizzazione (nel senso ampio del termine) in termini di sicurezza. In questo senso essa deve essere elaborata a livello della direzione dell'organizzazione interessata, dato che riguarda tutti gli utenti del sistema.

In quest'ottica, non sta ai soli amministratori informatici di definire i permessi di accesso degli utenti ma piuttosto ai responsabili gerarchici di questi ultimi. Il ruolo dell'amministratore informatico è quindi di assicurare che le risorse informatiche e i permessi di accesso a quest'ultime sono coerenti con la politica di sicurezza definita dall'organizzazione. Inoltre, dato che è il solo a conoscere perfettamente il sistema, sta a lui di mettere a conoscenza la sua direzione sulle informazioni riguardo alla sicurezza, eventualmente di consigliare i decisori sulle strategie da attuare, nonché di essere il punto focale rispetto alla comunicazione destinata agli utenti sui problemi e raccomandazioni in termini di sicurezza.

La sicurezza informatica dell'azienda si basa su una buona conoscenza delle regole da parte degli impiegati, grazie a delle azioni di formazione e di sensibilizzazione presso gli utenti, ma essa deve andare oltre e soprattutto coprire i seguenti campi:

Un dispositivo di sicurezza hardware e software, adatto ai bisogni aziendali e agli usi degli utenti;

Una procedura di management degli aggiornamenti;

Una strategia di backup correttamente pianificata;

Un piano di recupero dopo gli incidenti;

Un sistema documentato aggiornato;

Le cause dell'insicurezza

Si distinguono generalmente due tipi di insicurezza:

Lo stato attivo di insicurezza, ovvero la non conoscenza da parte dell'utente delle funzionalità del sistema, fra cui alcune possono essere nocive (ad esempio il fatto di non disattivare dei servizi di rete non necessari all'utente); Lo stato passivo di insicurezza, cioè la non conoscenza dei mezzi di sicurezza attuati, ad esempio quando l'amministratore (o l'utente) di un sistema non conosce i dispositivi per la sicurezza di cui dispone.

Foto: © Pixabay.

I nostri contenuti sono creati in collaborazione con esperti di high-tech, sotto la direzione di Jean-François Pillou, fondatore di CCM.net. CCM è un sito di high-tech leader a livello internazionale ed è disponibile in 11 lingue.
Il documento intitolato « Introduzione alla sicurezza informatica » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.