SICUREZZA INFORMATICA
SICUREZZA INFORMATICA
In tempi relativamente recenti il "Legislatore" sia italiano che europeo ha introdotto una serie di norme che rappresentano un'interpretazione di quelle che sono state da sempre (anche le nostre) buone procedure di lavoro aziendale.
Molte di queste normative, recependo l'importanza del dato digitale nella vita del singolo, delle Aziende e della Pubblica Amministrazione, hanno introdotto degli obblighi in merito alla sicurezza del dato informatico.
La sicurezza informatica in genere si divide in due grandi
ambiti: la protezione dei dati e la prevenzione o lotta alle intrusioni
di soggetti non autorizzati.
Per protezione dei dati si intende il garantire che i dati in Azienda vengano sempre conservati in modo affidabile e confidenziale.
I nostri pilastri operativi sono:
- la disponibilità dei dati,
- la loro integrità
- il controllo dei livelli di accesso ai sistemi ed alle
informazioni.
Per disponibilità dei dati informatici si intende che il
sistema informativo debba essere sempre in grado di consentire l'accesso
ai dati alle procedure ed agli utenti, quindi poter offrire garanzie di
continuità dei servizi, di scalabilità ed affidabilità.
Garantire l'integrità dei dati significa consentire agli utenti
ed ai sistemi di poter fare affidamento sulle informazioni estratte,
garantire in modo deterministico che, facendo due volte la stessa
domanda al sistema in momenti diversi, si otterrà la stessa identica
risposta!
Per controllare i livelli di accesso ai sistemi ed alle informazioni occorre che sia le infrastrutture che i sistemi informativi
vengano progettati con questi requisiti in primo piano. Nessun utente
deve poter accedere liberamente a dati e/o funzionalità non collegati
alle sue esigenze lavorative. Sia per questioni di privacy che di tutela
aziendale, le informazioni contenute negli archivi devono poter essere
accessibili, in modo controllato, solo alle persone con le opportune
autorizzazioni. Tipicamente le informazioni sulle autorizzazioni sono
acquisite in corso di progettazione delle infrastrutture IT, ma devono
sempre poter essere gestite in modo dinamico nel corso del ciclo di vita
dei sistemi. Una soluzione di controllo degli accessi hard coded
rappresenta un difetto e non una funzionalità di un sistema!
Proteggere una infrastruttura da accessi non autorizzati,
attacchi volti a creare disservizi, utilizzo indebito è fondamentale
per garantire continuità all'attività azienda e, aspetto non secondario,
tutelarsi dalle conseguenze dei reati informatici.
Questa sicurezza
non è facile da raggiungere per le Aziende, specie in Italia dove il
principale ostacolo è la mancata percezione del problema!
Citando dal rapporto Clusit: "In base alla frequenza stimata, gli attacchi informatici sono oggi diventati la prima tipologia di reato della quale un cittadino italiano può essere vittima."
Questo
è vero soprattutto perchè le Aziende sono insensibili alle informazioni
in materia, non considerano gli investimenti in sicurezza come veri
investimenti, salvo poi trovarsi con dati e/o sistemi indisponibili e,
eventualmente, ricattati da soggetti criminali per ri-ottenere gli
accessi al loro sistema.
In DSA ci occupiamo di protezione delle infrastrutture informatiche
fin dall'inizio, con un approccio complesso che integra differenti
aspetti: le policy aziendali, la sicurezza fisica e logica dei sistemi e
l'ingegneria sociale. Nelle aziende che seguiamo abbiamo iniziato
censendo sistemi ed attrezzature da proteggere, per continuare
raccogliendo le criticità evidenti ed implementato tutto quanto
necessario a mitigare i rischi. In alcuni casi siamo intervenuti anche
alterando l'infrastruttura del cliente, quando i dati trattati ed il
livello di sicurezza richiesto non erano compatibili con i metodi di
lavoro dell'Azienda.
Non basta un firewall perfettamente configurato con UTM (Unified Threat Management), antivirus a bizzeffe, quando poi ci sono in Azienda Access Point wireless raggiungibili dall'esterno che sono senza password!
Per
questi motivi in DSA operiamo sia sull'aspetto puramente informatico
che su quello di formazione e sensibilizzazione degli utenti...cercando
di instillare negli utenti un po' di sana attenzione alle informazioni
che devono maneggiare.
Spesso ci è capitato, purtroppo, di essere
chiamati a violazione avvenuta, in questi casi forniamo supporto alle
Aziende nel raccogliere le evidenze di quanto accaduto e affianchiamo il
management nei rapporti con le Forze dell'Ordine.
