Analizzare e gestire i sistemi è fondamentale
per garantire la sicurezza informatica

Attività di analisi che individua e classifica i beni aziendali (asset) da proteggere come ad esempio:

• Dipendenti e collaboratori esterni
• Pc, server e dispositivi mobile
• Router e dispositivi di rete
• Informazioni digitali

Attività di studio che individua le possibili minacce e le vulnerabilità dei sistemi informatici che potrebbero mettere
a rischio di sicurezza:

• Informazioni digitali
• Produttività aziendale
• Identità del personale

Attività di studio che consiste nella valutazione del rischio, ossia:

• Focalizzare le aree da proteggere
• Calcolare le probabilità e il danno economico di un incidente informatico

Attività di test, verifica e validazione delle politiche di sicurezza aziendali implementate nei sistemi informatici.
I controlli di prevenzione devono essere eseguiti periodicamente.

La gestione continua e proattiva previene gli eventi che possono compromettere la sicurezza e la stabilità dei sistemi informatici e delle informazioni digitali.

Ogni azienda deve prevedere le proprie regole di sicurezza utili a identificare e classificare le risorse da proteggere.

Le regole di sicurezza, o politiche aziendali, sono fondamentali per:

• Progettare e collaudare la sicurezza di un sistema informatico
• Diminuire il rischio di minacce e attacchi informatici
• Ridurre la fuga di dati e informazioni riservati (data breach)

Queste regole devono coinvolgere, inoltre, Management, dipendenti e collaboratori esterni dell’azienda perché,
ad esempio, il banale furto o smarrimento di un dispositivo in loro possesso può compromettere la sicurezza
delle informazioni digitali.

Occorre prestare attenzione al ruolo e alle responsabilità del personale aziendale, il quale deve adeguarsi alle regole
di sicurezza.

Le strategie del piano di protezione aziendale sono realizzate sulla base dei risultati ottenuti nella fase di analisi
di sicurezza.

Ecco alcuni esempi di strategie di sicurezza:

• Procedure di gestione di minacce e vulnerabilità (risk management)
• Procedure di ripristino dati dopo un incidente informatico (incident response)
• Procedure di ripristino dei sistemi dopo un disastro informatico (disaster recovery)
• Formazione continua di Manager e dipendenti sulla sicurezza informatica

Le regole di sicurezza aziendali sono implementate sotto forma di controlli software o hardware, con la garanzia (assurance) che siano rispettate al fine di tutelare la sicurezza dei sistemi e delle informazioni digitali.

Il team informatico deve essere, almeno in parte, composto da professionisti con forti competenze (hard skills) nel settore della sicurezza informatica e capaci di gestire eventuali incidenti e disastri informatici.

I professionisti in sicurezza informatica devono essere integrati nel processo di sviluppo del software, che prevede:

• Plan
• Security architect
• Design
• Test
• Run
• Proactive monitor

Un’informazione è composta da diversi dati in relazione tra di loro.

Ad esempio, il nome e il numero di carta di credito sono due forme di dati separati.

L’informazione sta nella combinazione fra questi dati.

Le informazioni possono essere in formato:

• Analogico (fornite da persone, in carta, in fotografia, ecc)
• Digitale (PC, USB, DVD, etc)

La sicurezza delle informazioni si estende a tutti i sistemi che gestiscono sia le informazioni digitali che quelle analogiche, garantendo i parametri RID.

In particolare la gestione delle informazioni comprende:

• Raccolta
• Modifica
• Conservazione
• Trasmissione
• Distruzione

La sicurezza informatica, invece, è limitata e va applicata soltanto ai sistemi che gestiscono le informazioni digitali
con lo scopo di garantire i parametri RID.

Esempio:

Nel 2016 alcuni appartamenti in Finlandia sono rimasti senza acqua calda per una settimana perché il sistema
di riscaldamento ha subito un attacco informatico.

In questo caso l’attacco ha preso di mira la disponibilità del servizio e non le informazioni.

Si parla, comunque, di incidente di sicurezza informatica.

Garantire la riservatezza/confidenza (privacy) significa limitare l’accesso a risorse e informazioni soltanto al personale autorizzato.

Le tecniche per garantire la riservatezza sono:

• Alterare la relazione tra i dati con metodi come anonimizzazione e pseudonimizzazione
• Rendere indecifrabili le informazioni con algoritmi di crittografia

La riservatezza è garantita anche dal fattore umano, che consiste nel:

• Custodire le password segrete
• Controllare gli accessi a reti e sistemi
• Negare le informazioni a sconosciuti (Social engineering e Phishing)
• Cifrare i documenti e i messaggi riservati

Violare le politiche di sicurezza aziendali significa imbattersi in un incidente o disastro informatico.

I dati e le Informazioni digitali sono considerati integri se:

• non sono alterati
• non sono cancellati
• non sono generati per errore/dolo (es: votazioni elettroniche)

Per mantenere integri il più possibile i sistemi informatici occorre che:

• Il Sistema operativo e le applicazioni siano configurate in modo sicuro
• I moduli del software siano abbastanza collaudati per ridurre il rischio di errori logici
• La manutenzione di hardware e software sia eseguita in maniera periodica
• I sistemi informatici siano in grado di rilevare e bloccare gli accessi non autorizzati alle risorse informatiche protette

La gestione della sicurezza informatica deve permettere alle informazioni e ai sistemi informatici di essere sempre accessibili (entro i tempi previsti) al personale autorizzato.

Gli strumenti necessari per avere i dati sempre disponibili sono:

• Sistemi di backup locale e remoto
• Ridondanza dei sistemi hardware e software
• Firewall, Ids e Router configurati per neutralizzare attacchi DoS (Denial of Service)
• Monitoraggio continuo delle prestazioni come metodo di prevenzione

I sistemi informatici di emergenza sono fondamentali per diminuire il rischio di incidente e disastro informatico.

All’interno di un sistema informatico la gestione delle informazioni digitali è soggetta a una durata limitata nel tempo.
Tale durata è stabilita in base allo scopo dei dati (data retention policy). In alcuni casi la normativa in materia di privacy prevede il diritto all’oblio, cioè l’obbligo di eliminare prima possibile le informazioni digitali per assicurare i diritti
delle persone interessate.

Autenticità e No-Ripudio sono considerati un’evoluzione dell’integrità delle informazioni digitali.

• L’autenticità garantisce che documenti, messaggi ed eventi siano attribuiti esclusivamente al legittimo autore
• Il no-ripudio impedisce che un evento o documento possa essere rinnegato dal suo autore

Un esempio di autenticità e no-ripudio è la firma digitale.

La firma digitale utilizza tecniche di hashing e crittografia forte per dimostrare che la provenienza e l’integrità
di un documento siano attribuite soltanto a un autore legalmente valido.

Esempio:

Mai lasciare la firma digitale al vostro commercialista, potrebbe cedere legalmente la vostra azienda!