Cosa si intende per sicurezza informatica?
In genere, si fa riferimento a questi aspetti:
Altre cose possono essere tenute in considerazione, come ad esempio:
Una efficace protezione dei dati ha a che fare con:
In Italia, aziende ed enti che trattano dati personali sono obbligate a misure minime di sicurezza dal Codice in materia di protezione dei dati personali.
Il codice prevedeva, tra l'altro, che venisse predisposto annualmente un Documento programmatico sulla sicurezza, ma il D.L. 5/2012, convertito con modificazioni dalla Legge 35/2012, ha abolito l'obbligo.
Le organizzazioni che vogliono certificare il loro sistema informatico come "sicuro" possono farlo seguendo le indicazioni dello standard ISO 27001:2005.
Ovviamente, tutte le organizzazioni possono seguire le buone pratiche definite nelle checklist anche senza puntare alla certificazione.
Assodato che la sicurezza assoluta non esiste, ciò a cui si punta è un sistema ragionevolmente sicuro.
Per ogni problema individuato, è possibile:
Per sicurezza fisica si intende la protezione materiale dei dati.
I possibili problemi fisici includono:
Per sicurezza logica si intende la protezione dei dati dall'accesso abusivo da parte di persone non autorizzate.
Per la sicurezza fisica, le buone pratiche consigliano sistemi integrati che consentono di tenere sotto controllo:
I calcolatori adibiti a server devono avere caratteristiche hardware adeguate e ridondate, in modo che sia possibile sopperire a problemi che si presentano senza che il servizio venga interrotto.
Vanno ridondati:
Vanno tenuti sotto controllo:
La gestione dei dati del server è particolarmente critica.
Le tecnologie da considerare sono:
Inoltre, andranno previste adeguate politiche di backup, possibilmente incrociato e/o geografico.
Nelle politiche di backup, va definito cosa va protetto e dov'è ciò che va protetto.
Le informazioni possono essere:
Il luogo (quale calcolatore? quale file e/o quale base di dati?) in cui si trovano le informazioni spesso non è così ovvio / noto.
Le credenziali di autenticazione si possono basare su:
In Italia, le credenziali di tipo biometrico sono implementabili solo in casi particolari, per questioni legate alla privacy.
Può essere utile usare un password manager.
In linea di massima, le buone pratiche suggeriscono che esista, nella rete aziendale, un dominio di autenticazione con una gestione centralizzata degli account.
In ambiente Linux, normalmente si usa un server LDAP.
Oltre ad essere autenticati (per l'accesso al calcolatore e/o alla rete), gli utenti devono essere autorizzati a compiere determinate operazioni.
Le autorizzazioni possono avere a che fare con l'accesso:
Al fine di garantire riservatezza e integrità dei dati si può ricorrere alla crittografia, che può essere simmetrica o asimmetrica.
Possono essere cifrati:
Le singole postazioni di lavoro andranno opportunamente configurate.
Vanno tenute in considerazione:
In ambiente Linux queste problematiche sono più facilmente gestibili che con altri sistemi operativi.
La sicurezza di rete può essere implementata con:
Il fattore umano rischia di essere comunque quello più vulnerabile, soprattutto perché non si possono mettere in atto sistemi automatici di verifica.
Le tecniche che sfruttano la fiducia umana per trarne un vantaggio indebito vanno sotto il nome di Social engineering (l'esempio più comune è il phishing).