Prodotti - Sicurezza Informatica

Sicurezza Informatica

  • Che cos'è la sicurezza?
    • "La sicurezza è lo stato in cui ci si trova quando non si hanno punti deboli". L'affermazione è meno banale di quanto sembri e, nell'opinione di Vulcano, è l'unico modo di vedere le cose nella giusta ottica.
      La domanda da porsi, anche dopo avere installato un firewall, un antivirus, e altri programmi legati alla sicurezza, è: "Cosa potrebbe essere ancora insicuro?". Sono le risposte a questa domanda che permettono di migliorare continuamente nel tempo la sicurezza del proprio sistema.

      Quando si pensa alla sicurezza informatica, si tende a pensare sempre e soltanto a due "pericoli", che pur essendo senz'altro significativi, non sono gli unici: i virus e gli attacchi che un cracker potrebbe portare dall'esterno alla vostra struttura.
      Purtroppo basta riflettere un po' più sull'argomento per rendersi conto che le minacce, sotto forma di errori involontari o di azioni dolose, vengono non solo dall'esterno, ma anche dall'interno delle organizzazioni, e coinvolgono non soltanto le strutture informatiche in senso stretto, ma anche le strutture fisiche (porte, finestre,...) e senza dimenticare il più debole di tutti gli anelli di questa catena: le persone.

      E` sufficiente una piccola dimenticanza, una svista nella configurazione di un sistema, un banale errore di sintassi per rendere inefficace un sistema di sicurezza costato decine di migliaia di euro; basta che un utente usi come password un nome banale o la comunichi all'amico ed il proprio accesso può essere compromesso a prescindere da ogni altra contromisura.
      "L'unico computer sicuro è quello spento".

      Per minimizzare i rischi, occorre non solo scegliere i prodotti migliori, più sicuri e più stabili, ma anche seguire l'evoluzione dei "nemici" da cui ci si vuole proteggere. A tal scopo è necessario applicare gli aggiornamenti che i produttori di software provvedono ai loro utenti, essere tempestivamente informati di essi e affidarsi solo a fornitori affidabili e seri.
      La sicurezza, una volta raggiunta, va mantenuta.

      Il progresso non porta solo vantaggi ma anche nuove sfide. Ogni modifica all'organizzazione aziendale, ai processi produttivi, ai flussi delle informazioni all'interno dell'azienda, sia che coinvolga solo le macchine sia che coinvolga anche le persone, potrebbe creare nuove falle nella sicurezza. Inoltre, anche in assenza di cambiamenti all'interno della propria struttura, i cambiamenti avvengono all'esterno, sotto forma di nuovi virus e nuove tecniche di intrusione.

      Una massima corretta è "La sicurezza è un processo, non uno stato"; per questo motivo è necessario, quando si opera una innovazione o un cambiamento, soffermarsi a pensare a quali ripercussioni questo cambiamento avrà sullo stato della sicurezza, ed agire di conseguenza.
  • Come posso proteggermi allora?
    • Tenendo bene in mente che la sicurezza "assoluta" è impossibile da ottenere, occorre prima di tutto effettuare una valutazione del rischio, ovvero quantificare il valore monetario di ciò che si vuole proteggere, quantificare il costo di un eventuale incidente (fuga di informazioni, distruzione dei dati, ecc), e considerare qual'è la probabilità che la propria azienda sia bersaglio di tentativi di attacco.

      La nostra risposta è un insieme di servizi offerti nel campo della sicurezza e coadiuvato da professionisti dell'ambito legale tra i qualisi annovera anche il documento programmatico sulla sicurezza, così come lo studio dello stato di sicurezza di una rete informatica o l'istallazione di antivirus e firewall.

      E` nostra profonda convinzione che l'unico approccio giusto al problema della sicurezza informatica sia l'approccio multidisciplinare, ove le questioni sono affrontate sia dal punto di vista tecnico del problema informatico, sia dal punto vista legale dell'ambito normativo: uno solo dei due approcci, senza l'altro, rischia di non essere sufficiente.
    Quali Leggi?
    • Da qualche anno anche in Italia sono in vigore delle leggi pertinenti alcuni aspetti della sicurezza informatica. La legge principale, in tale contesto, è il decreto legge 675/96 "Tutela delle persone e di altri soggetti rispetto ai trattamenti di dati personali" del 31 dicembre 1996.

      Il regolamento attuativo determina le norme minime di sicurezza che devono essere garantite in una struttura informatica e i soggetti incaricati alla loro applicazione. Le norme sono differenziate a seconda che la struttura informatica abbia o meno una certa topologia di rete, ovvero che gli archivi contenenti dati personali siano o meno accessibili da altri calcolatori.
  • Che fare?
    • Rispettare le leggi, ovviamente. Come? Purtroppo, in verità anche a causa della mutevolezza del panorama sul quale la legge è chiamata ad agire, non vi sono se non alcune norme che la legge impone ad un sistema informatico che sia utilizzato allo scopo di trattare dati personali per fini non esclusivamente personali.

      Alcune precisazioni sono d'obbligo: la prima è che la legge, per sua imprecisione, permette di avere sistemi informatici che siano nominalmente rispondenti alle normative di legge ma effettivamente insicuri, ossia soggetti ad un uso improprio da parte di personale non autorizzato.

      La seconda precisazione, è che è altresì possibile costruire invece strutture sicure (per lo meno secondo standard di qualità internazionalmente riconosciuti) e mancare di soddisfare la legge. E` vero però che in quest'ultimo caso, il problema sarebbe facilmente risolubile, essendo una questione, essenzialmente, di mancanza di definizione esplicita di ruoli e compiti che la struttura sicura già per sua natura prevede (livelli di accesso definiti per parole chiave, responsabilità degli addetti alla manutenzione, eccetera)

      La terza precisazione, più importante, forse, per lo meno per le implicazioni metodologiche, è che non è possibile pensare che il problema della sicurezza di una struttura informatica sia diretto (unicamente) dalla legislazione. Tale considerazione porta quindi Vulcano a definire un processo operativo che considera l'aspetto legale come uno degli aspetti da soddisfare per minimizzare il rischio di una struttura, e non l'unico parametro contro il quale misurarsi.