Il valore della sicurezza

Transcript

1 Il valore della sicurezza Stefano Vanzini Nel mondo dell informatica, come in parecchi altri settori della vita, spesso gli argomenti seguono la moda. Ultimamente le problematiche, le tecniche e gli strumenti relativi alla sicurezza informatica delle reti, dei server e dei dati sono costantemente presenti sulle riviste o come tema centrale di convegni, nel corso dei quali si annunciano ad esempio nuove tecnologie. Qualche anno fa l argomento principe era senz altro Internet, e il web in particolare. In quel periodo, sulle riviste di settore certo non mancavano gli articoli sul web, solo che quasi sempre questi trattavano argomenti che solo gli informatici di professione potevano trovare interessanti: come scrivere una pagina html, le differenze tra la versione 2.x e la 2.x.1, le performance in pagine al secondo del tale web server, etc. In seguito, si dice che il fenomeno sia maturato; qualsiasi cosa questo significhi, non si può negare che almeno la diffusione dell accesso alla rete è aumentata drasticamente in molti paesi, così come la sua velocità. In realtà la tecnologia soggiacente non è cambiata di molto negli ultimi dieci anni. Quella che si è creata invece, almeno in alcuni strati delle società occidentali, è una nuova percezione del concetto stesso di comunicazione a distanza. Lo strumento tecnico ha generato un fenomeno sociale e nuove forme di comunicazione; spazi e fenomeni virtuali vengono percepiti come reali a tutti gli effetti. L aumento del costo del collegamento ad Internet ci sembra quasi importante quanto quello della benzina! A questo punto, Internet è diventata una cosa seria, troppo seria per lasciarla solo agli informatici: si studiano le nuove opportunità e i nuovi rischi, i problemi etici legati intrinsecamente all anima anarchica della rete, che d altra parte ne costituisce contemporaneamente motivo di forza e di debolezza. La crescita di Internet, in senso più qualitativo che quantitativo, ha sottolineato l importanza della sicurezza informatica: non diciamo niente di nuovo, è però importante osservare che, come per il fenomeno Internet, oggi la stessa nozione di sicurezza è profondamente cambiata. I problemi relativi al controllo delle informazioni che la rete riesce a carpire ai propri seguaci, non sono solo tecnici, ma sono prima di tutto di tipo etico. Privacy e sicurezza sono due necessità spesso inconciliabili e il problema della relazione tra questi due aspetti fondamentali della conservazione delle informazioni si concretizza in modo emblematico nell Internet globale. È sufficiente pensare all uso improprio che è stato fatto di Internet per le più disparate attività criminali, dallo spionaggio industriale, alla diffusione di virus informatici, dal terrorismo alla pedofilia. Certo queste cose sarebbero state possibili anche senza Internet, ma è innegabile 26

2 La sicurezza informatica non è un costo, è un opportunità. La sua presenza (o la sua mancanza) caratterizza fortemente un azienda e ne condiziona i processi: non è una regola che può essere imposta ad una struttura che non ne percepisce o non ne condivide il valore. che oggi Internet è ormai uno strumento potente, nel bene come nel male. Così ora anche quello della gestione della sicurezza è diventato un argomento maturo: il tema deve ancora essere sviluppato completamente, ed il processo non è semplice perché per sua natura la questione è disseminata di tecnologia, di sigle, di descrizioni di protocolli complessi. È indispensabile procedere ad una traduzione del linguaggio prettamente tecnico, usato dagli informatici, in una forma comprensibile per il management delle aziende, in modo da rendere possibile a quest ultimo l elaborazione di piani strategici che comprendano la gestione della sicurezza. Lo sforzo, come spesso accade, deve essere fatto da tutte e due le parti: i tecnici devono relegare sigle e protocolli ad una fase di implementazione successiva alla progettazione, evidenziando gli aspetti sostanziali, i pro e i contro delle varie soluzioni, i costi e i benefici; i manager devono accettare di occuparsi anche di queste problematiche, probabilmente per loro tediose, come aspetti imprescindibili della loro attività. Se è vero che Internet esiste e funziona da parecchi anni, allora perché l argomento sicurezza è oggi così attuale? Ciò che è nettamente aumentato, oltre al numero delle persone che possono usufruire di Internet, è il numero delle cosiddette connessioni permanenti, che lasciano collegati singoli server, ma anche intere reti, senza interruzione mantenendo costanti anche gli indirizzi. Questo è chiaramente un ottimo aiuto per gli hacker intenzionati a collegarsi o a danneggiare dei sistemi: quando sono riusciti a trovare il modo, sono sicuri che il bersaglio è sempre visibile, collegato alla rete e facilmente contattabile. La gestione della sicurezza mutua i termini da altri ambiti, meno virtuali e purtroppo sempre attuali, per cui si parla da un lato di attacco, attacco distribuito, virus, cavalli di troia, bombe, e dall altro di difesa, reazione, antivirus, intrusion detection, firewall. Questi termini, seppur un po sinistri, rendono bene l idea di cosa sia la gestione della sicurezza: un processo dinamico ed adattativo, non solo la realizzazione di un infrastruttura statica e sicura. L attenzione ad eventuali violazioni delle nostre reti da parte di malintenzionati esterni all azienda (o hacker) è solo un aspetto della questione, la cosiddetta difesa perimetrale. Vedremo come una gestione efficace debba prevedere un approccio globale, o meglio sistemico, a varie problematiche, evitando di occuparsi per l appunto solo di ciò che è oggi di moda. Non ha molto senso prevedere firewall costosi e sofisticati e poi impostare password prevedibili, oppure acquistare dispositivi costosi per il backup dei dati ed utilizzare sempre il solito vecchio nastro, magari da qualche tempo difettoso, senza 27

3 Il valore della sicurezza operare alcun tipo di verifica. Sicurezza è la capacità di un azienda, o di un organizzazione più in generale, di utilizzare i propri strumenti e i propri beni in modo continuativo, facendo fronte ai problemi che possono presentarsi dall esterno o dall interno della stessa, per effetto di azioni più o meno volontarie, di guasti o d incidenti. Gli strumenti che permettono di raggiungerla rappresentano le policies di sicurezza, gli apparati hardware, le componenti software e le loro specifiche configurazioni, le attività di planning, monitoraggio, reporting e reazione agli incidenti. DOVE STA IL VALORE? Se affermo che un sistema sicuro ha una maggiore qualità intrinseca rispetto ad uno insicuro, in molti si dichiareranno d accordo. Lo stesso si può dire per un azienda: meglio sicura, che insicura, è ovvio. Ma le aziende sono fatte per produrre e guadagnare, dunque non è chiaro in quale senso la sicurezza possa costituire un elemento sostanziale. Per la maggior parte degli imprenditori la sicurezza delle strutture informatiche al più può essere assimilata ad un costo necessario (spesso neanche questo), per cautelarsi dal rischio di subire attacchi di pirati informatici o danni a seguito di guasti, insomma per non perdere del denaro. Questo è senza dubbio l atteggiamento più diffuso, del tutto ragionevole finché si continuerà a pensare a tutto l apparato di sicurezza solamente come a qualcosa che ci protegge da possibili problemi: ma, come abbiamo visto, le cose oggi non stanno più così, basti pensare a cosa accade nelle aziende orientate al web. È cosa nota che gli informatici amano creare sigle per qualunque cosa, e che su questa mania si costruiscono numerosi giochi. Quindi l equivalenza OO + NT = COO, come può essere letta? Pressappoco così: se ad una Old Organization aggiungiamo della New Technology cosa otteniamo? Semplice, una Costly Old Organization. Il concetto è più interessante di quanto appaia a prima vista. Se aggiungiamo la componente sicurezza ad una azienda con struttura statica e scarsa fantasia nell utilizzo dei nuovi strumenti (ad una OO per intendersi), vale sicuramente l interpretazione della sicurezza come costo, o male necessario. Viceversa la sicurezza può diventare l elemento abilitante di nuove forme di comunicazione, di relazione e in ultima analisi di business. Tutto dipende dalla prospettiva a partire dalla quale si inizia il ragionamento. A titolo di esempio, è più corretto affermare che una banca che offre servizi di web-bank deve sopportare alti costi per garantire la sicurezza delle transazioni oppure che una banca, grazie ad un investimento che le ha consentito di creare canali sicuri per le transazioni elettroniche può finalmente offrire ai propri clienti un servizio ad alto valore aggiunto come l accesso web al proprio conto corrente? Così un azienda tradizionale isolata dalle reti (eccezion fatta per qualche modem che viene utilizzato per leggere la posta elettronica) non necessita di grossi investimenti in sicurezza. Se questa stessa azienda affitta una linea Internet, inserisce un firewall, ristruttura la propria rete, adotta delle politiche di sicurezza, aggiunge un web server pubblico e delle procedure di accesso controllato ai dati aziendali da parte di partner certificati, senza dubbio spenderà molto di più. Se questo permetterà all azienda in questione di fornire delle situazioni in tempo reale ai partner e magari di ricevere dati automaticamente sul proprio sistema informativo (dati che precedentemente venivano inseriti manualmente da un certo numero di dipendenti), molto probabilmente la cosa cambia. È possibile realizzare un progetto così ambizioso se l infrastruttura informatica non è aggiornata, non si gestiscono le password, non si fanno i backup, non si dispone di antivirus in azienda? In questo caso forse è meglio lasciar perdere. Ribadisco il concetto: un aumento del livello di sicurezza nelle infrastrutture informatiche aziendali è senza dubbio uno degli elementi che permettono alle aziende di evolvere, in quanto intrinsecamente ne aumenta la qualità. Il valore sta in questo. Un ultima considerazione a riguardo: molto probabilmente in futuro ci saranno sempre più aziende sicure. La sicurezza è un sistema aperto: non si limita al singolo server, alla rete, alla 28

4 Intranet, alla sala macchine, all edificio o all azienda. Una azienda sicura necessiterà sempre più di collaborare con partner, clienti e fornitori, tutti con un livello di sicurezza certificato. Se non posso evadere un ordine perché il mio fornitore è da una settimana bloccato dai virus informatici avrò il mio bel da fare per convincere i clienti del livello di sicurezza e della qualità della mia azienda. Quando la percezione della sicurezza come valore sarà metabolizzato maggiormente, questo stesso valore sarà un elemento indispensabile per accedere ad alcuni mercati. QUANDO INTRODURRE LA SICUREZZA Qual è il momento "giusto" per rendere sicuro un sistema, una rete, un architettura hardware e software complessa? Conviene prima realizzare un prototipo funzionante e poi "aggiungere" la sicurezza, o sin dall inizio lavorare con tutte quelle regole e password e scomodità che necessariamente la gestione della sicurezza comporta? Insomma meglio prima o meglio poi? I pro e i contro sono evidenti: nel primo caso potrebbe non essere possibile rendere sicuro un sistema insicuro, se questo non lo prevedeva sin dall inizio. Nel secondo caso, si corre il rischio di lavorare molto e impegnare molte risorse prima di vedere qualche risultato. Spesso l introduzione della sicurezza, anche delle semplici password di accesso ai sistemi, viene sistematicamente rimandata perché non c è tempo o perché a quel punto si genererebbero dei disservizi non tollerabili. Come sempre è impossibile identificare una regola valida in modo generale e per tutti i casi, ma a priori tra subito e dopo il momento migliore è prima, ovvero in fase di progetto. La realizzazione di un progetto, può convenientemente passare attraverso fasi prototipali, nelle quali si realizzano solo una parte delle caratteristiche o delle funzionalità del prodotto definitivo, e questo vale anche e soprattutto per un architettura informatica. Ha quindi sicuramente senso in alcuni casi, anche se in generale non è raccomandabile, fare a meno della sicurezza per le fasi iniziali di progetto. Se però la gestione integrata della sicurezza non è stata prevista in fase progettuale quasi sempre ci sono grossi problemi e costi in fase di implementazione UN PROCESSO CIRCOLARE E ADATTATIVO Allora, abbiamo capito tutto. Meglio prevedere dall inizio una architettura sicura, gestire le password correttamente, i backup, i piani di recovery, redigere le policies aziendali e implementare il tutto in stile perfettamente bottom-up, dalle fondamenta, in modo da non doversi più preoccupare in seguito. Giusto? Sarebbe bello! Per prima cosa, dobbiamo fare i conti con la rapidità con la quale evolvono gli standard, le applicazioni, e quindi le opportunità e i benefici (ma anche i problemi correlati) di qualunque soluzione informatica. Ma anche la nostra azienda si modifica, cambiano i processi, i vincoli, le strategie di business. Con questo approccio non si parte mai, a metà lavoro bisogna riprogettare un pezzo della rete, e questo a volte comporta dei passi indietro. In secondo luogo, continua ad essere vero il fatto 29

5 Il valore della sicurezza che una sicurezza completa non è realizzabile, e che quindi bisogna prevedere e valutare quale sia il livello di sicurezza ottimale per l azienda in un dato momento. La situazione può cambiare. Tutti i modelli di sicurezza, di conseguenza, prevedono che l azienda implementi al suo interno un processo continuo, che permetta la necessaria flessibilità ed evoluzione dell infrastruttura. Uno dei modelli più accreditati prevede di usare uno schema circolare, in modo da ripercorrere continuamente varie fasi di progetto in modo ciclico. Questo permette anche di valutare con efficacia l effettiva utilità di azioni o di modelli implementati nel passato, per poi correggere il tiro. LA CATENA DELLA SICUREZZA Avete presente cosa succede solitamente quando una catena si rompe? Si apre una maglia e si separa in due pezzi. Probabilmente allora è vero quello che si dice a proposito delle catene: la loro resistenza è pari a quella della maglia più debole. Si tratta di un caso in cui l unione non fa la forza, ma la debolezza. Questo succede anche con la sicurezza; basti pensare al solito esempio della casa con la porta blindata sprangata e la finestra aperta per non avere dubbi. In fase di progettazione e di investimento allora bisogna prestare attenzione al ripartire correttamente le risorse tra i vari anelli di questa catena cercando, quando possibile, di renderli tutti uguali. Avremo ottenuto così un sistema sicuro? Non è detto, e tra l altro bisogna pensare che i sistemi non sono sicuri o insicuri, come le catene non sono forti o deboli. Ha più senso la domanda: quanta sicurezza avrò ottenuto in questo modo? La risposta è: la massima sicurezza possibile con quell investimento. SICUREZZA PERIMETRALE Questo, rifacendoci a quanto scritto sopra, è sicuramente uno degli argomenti più di moda: i router, i firewall, i proxy server, le configurazioni degli apparati di rete in generale devono garantire che nessuno dall esterno dell azienda possa accedere al sistema informativo interno, ma solo ad applicazioni specificatamente costruite per fungere da interfaccia. Si controlla per l appunto il perimetro dell azienda, in modo da rendere possibili solo alcuni passaggi di Planning Audit Protection Recovery User Education Figura 1 Response Detection 30

6 PLANNING PROTECTION EDUCATION DETECTION RESPONSE RECOVERY AUDITING È la fase progettuale, ma non solo. È importante che in questa fase vengano scritte le regole da seguire in tutto il progetto successivo, le policies di sicurezza. In questa fase si stimano anche gli investimenti e si produce la macro analisi. È la fase prettamente operativa. Si completa l analisi, si scelgono i dispositivi hardware, il software di protezione e di gestione, si concretizzano in configurazioni e procedure le linee guida previste dalle policies. Si eseguono i primi test di affidabilità. È una delle attività più importanti. La sicurezza deve fare parte del patrimonio etico dell azienda, deve necessariamente essere condivisa per essere effettiva; diversamente sono solo delle regole scritte e dei programmi. La fase di monitoraggio delle soluzioni e dell area di insicurezza residua accompagna l intero progetto. I risultati ottenuti, sommati a quelli dell auditing, costituiscono il materiale su cui basare il planning successivo. Se siamo stati attaccati non c è molto da discutere: per prima cosa dobbiamo tentare di tappare la falla. Questa risposta all attacco spesso è rozza e magari presenta delle controindicazioni di altro tipo, ma in un dato momento è considerata il male minore. Risolto il problema, almeno temporaneamente si ricostruisce ciò che è andato danneggiato o perso. Per queste operazioni sono fondamentali il backup dei dati, dei sistemi, ed i relativi recovery plans. La fase di auditing serve per mettere alla prova l effettivo livello di sicurezza raggiunto, e per controllare se l implementazione risulta coerente con la fase di progetto. I report che ne derivano si aggiungono alla lista dei problemi emersi (rilevati con i meccanismi di intrusion detection) per la successiva fase di progettazione e planning. informazione e non altri, e molte volte solo in un verso. A questo proposito, non vi è molto da aggiungere senza entrare inevitabilmente nei dettagli tecnici, se non la precisazione che, ultimamente, stiamo assistendo ad una inversione completa dell approccio a queste problematiche (probabilmente un effetto indiretto del fatto che oggi la sicurezza è una componente imprescindibile di qualunque architettura informatica): se qualche anno fa i dispositivi di sicurezza dovevano "chiudere" a chiave le porte delle comunicazioni a rischio, ora si dà in qualche modo per scontato che queste siano già chiuse. Si è passati in sostanza dal "tutto ciò che non è esplicitamente negato è permesso", all attuale e più cautelativo "tutto ciò che non è esplicitamente permesso è negato". Per questo motivo oggi i sofisticati dispositivi che garantiscono la sicurezza perimetrale alla nostra rete aziendale vengono visti in funzione non tanto della loro capacità di vietare il traffico relativo a comunicazioni provenienti dall esterno, quanto di rendere possibili tutte e sole quelle volute. Una soluzione valida deve garantire flessibilità: in questo senso sarà possibile chiudere la porta agli sconosciuti ed aprirla invece a chi vuole interagire con noi nel modo corretto. SICUREZZA DEI SISTEMI Diversamente dal punto precedente, qui siamo nel campo dell informatica tradizionale. Generalmente i sistemi informativi aziendali sono basati tutti su sistemi operativi (Unix, Linux, Windows NT, Novell) che implementano un livello di sicurezza catalogato C2 dai militari americani. Senza addentrarci negli aspetti tecnici, come promesso, questo vuol dire che più o meno tutti i sistemi informativi aziendali rendono possibile una gestione della sicurezza dei sistemi server di livello molto elevato. Il fatto che ciò sia possibile purtroppo non significa affatto che la cosa sia molto diffusa. Quando si parla di garantire la sicurezza di un sistema spesso, erroneamente, si pensa alla necessità di garantire una corretta gestione delle 31

7 Il valore della sicurezza password. Gestire correttamente le password è, in effetti, indispensabile per avere un sistema con un minimo di sicurezza, ma è solo una condizione necessaria, non certo sufficiente. Non possiamo affrontare in questa sede tutte le problematiche correlate a quest ampia tematica, mi limito perciò a seguire una sola linea guida, che si dimostra spesso illuminante: un sistema dovrebbe essere sempre installato e configurato in modo da realizzare tutte e sole le procedure e le modalità d uso previste dalle policies aziendali. Gli utenti dovrebbero poi essere dotati dei minimi privilegi possibili compatibilmente con le funzionalità necessarie allo svolgimento del loro lavoro. Se ad esempio un sistema ospita il database aziendale, ma non il web server, meglio disinstallare o per lo meno disattivare quest ultimo. Se un dipendente deve usare solo un programma di un sistema, perché non configurare il tutto in modo che per lui sia impossibile usare qualunque altro programma? La risposta è semplice: per installare e configurare al meglio un sistema bisogna disporre di informazioni dettagliate, conoscere con precisione quali procedure attivare, quali policies devono essere soddisfatte nell uso dello stesso da parte degli utenti, e soprattutto occorre avere molto tempo a disposizione. Oggi per comodità quasi tutti i sistemi operativi, i database e i software applicativi fanno uso di procedure di installazione di default che caricano tutto e permettono tutto (ultimamente, relativamente a questo aspetto, le distribuzioni di Linux, che presentano già all installazione un livello di sicurezza notevole, cominciano a differenziarsi). Disabilitare poi in un secondo tempo le componenti non necessarie diventa un lavoro estremamente lungo e difficile, senza dubbio più complesso della stessa installazione, perché bisogna conoscere in modo approfondito il ruolo di ogni componente. Va da sè che il più delle volte questa attività viene rimandata. La gestione di un sistema è un attività continuativa: il software di base va continuamente monitorato e aggiornato (la maggior parte di attacchi degli hacker sfrutta errori presenti nei programmi) caricando le cosiddette "security patch". L account degli utenti va immediatamente disabilitato quando questi non hanno più necessità di collegarsi ad un dato server o quando un dipendente cessa di far parte dell organico. Dunque, garantire e controllare la sicurezza di base di un sistema server è sicuramente un attività per la quale prevedere un opportuna allocazione di specifiche risorse aziendali, impegnate in modo continuativo. La fase di progettazione e installazione chiaramente comporterà un maggiore impegno, ma poi se a queste non segue una costante gestione si otterrà inevitabilmente un degrado del livello di sicurezza. SICUREZZA NELLA GESTIONE DELLE PASSWORD A rigore, questo punto farebbe parte del precedente, ma lo tratto a parte per evidenziare un aspetto fondamentale della sicurezza: la necessità che questa sia condivisa ed accettata all interno dell azienda. Uno dei capisaldi della gestione delle password è che queste dovrebbero essere non troppo semplici da indovinare, e dovrebbero essere modificate con una scadenza non troppo lunga. Quasi mai questa semplice linea guida viene seguita. In molte aziende (spesso nelle multinazionali) questa procedura viene imposta dal software di sistema, che ogni mese obbliga gli utenti a modificare la propria password. Il più delle volte si verifica una di queste due situazioni: la nuova password viene diligentemente scritta su un post-it e attaccata al monitor (alcuni, più maliziosi, la scrivono su un agenda che ripongono nel cassetto o appiccicano il post-it sotto la tastiera) oppure viene modificata due volte di seguito, reimpostando quella vecchia. Evidentemente in questi casi la fatica di mandare a memoria la nuova password viene ritenuta inutile o eccessiva rispetto rispetto a cosa? Perché mai un dipendente dovrebbe avere voglia di ricordare una nuova password tutti i mesi? È importante che le finalità che ci si propone impostando una politica di sicurezza, come avviene per qualunque altra norma di comportamento in azienda, venga spiegata chiaramente affinché venga completamente condivisa. A proposito delle password di accesso ai sistemi 32

8 poi ci sono varie teorie su come queste vadano conservate e sugli obblighi relativi. Va da sé che la password è segreta e non deve essere comunicata a nessuno (neanche l amministratore del sistema deve essere a conoscenza delle password di tutti gli utenti). È anche vero che le password sono in ogni caso di proprietà dell azienda. In caso di necessità deve essere possibile collegarsi al sistema informativo (supponiamo ad esempio che un dipendente sia malato e che sul sistema ci siano dati importanti registrati sul suo account). Molte aziende risolvono la questione facendo consegnare le password in busta chiusa ai dipendenti. In caso di necessità deve esistere una persona presente in azienda con l autorità per aprire la busta e conoscere la password. Vediamo quindi che anche in merito ad un problema circoscritto e semplice come la gestione delle password sono molte le considerazioni da fare e comprendiamo bene come, già ad un livello così basso, si rendano necessari dei ruoli di elevata responsabilità, che senza dubbio trascendono il livello dei responsabili ICT. SICUREZZA DELLE RETI Con l accezione rete aziendale si fa generalmente riferimento ai dispositivi hardware (router, firewall, hub, switch), ai relativi software e loro configurazioni e alle politiche impostate sui vari server per la condivisione di alcune risorse tra i sistemi collegati alla rete. La rete quindi è definibile come la somma dei sistemi, dei dispositivi, e delle interazioni che avvengono tra questi mediante i vari protocolli di comunicazione. La sicurezza di una rete non si amministra in un punto specifico, ma è anch essa distribuita, come la rete stessa. Valgono in sostanza buona parte delle considerazioni fatte sopra per i sistemi: aggiornamento delle versioni software caricate sui dispositivi, disabilitazione di tutti i protocolli e di tutte le funzionalità non necessarie, controllo costante. La complessità intrinseca nel controllo di una rete è senza dubbio maggiore rispetto a quella di un singolo sistema server. Spesso si ha necessità di dispositivi specifici, come network analyzer, protocol analyzer, sensori di traffico e dispositivi in grado di reagire ad anomalie di vario tipo. SICUREZZA FISICA DEI DISPOSITIVI Sembra un aspetto banale, eppure anche la sicurezza fisica di un server, di un apparato di rete, è da considerare con attenzione, e per più motivi. Aziende che avevano investito parecchio in sicurezza si sono trovate una mattina con tutto il sistema informativo down a causa di operazioni maldestre compiute involontariamente dal personale addetto alle pulizie. Generalmente il problema si risolve facilmente, ma immaginiamo se dovesse accadere ad una azienda che offre servizi su Internet! Come per ogni altro aspetto della sicurezza anche per questo non esiste un livello minimo raccomandabile: dipende da una valutazione attenta di costi e benefici. Alcune aziende possono permettersi di fare a meno del sistema informativo per ore, altre possono subire perdite enormi da fermi operativi di pochi minuti. Questo argomento verrà ripreso in più punti nel seguito, soprattutto quando si descriveranno le procedure di backup, i piani di recovery e la business continuity. Un sistema facilmente accessibile può altrettanto facilmente essere "violato" (quasi tutti i sistemi possono essere manomessi se si può accedere fisicamente alla loro consolle principale o ai loro dischi fissi), con evidenti conseguenze sulla riservatezza dei dati contenuti. Una scarsa attenzione verso la sicurezza fisica dei sistemi rende relativamente semplice un eventuale danneggiamento degli stessi (doloso o involontario), che comprometterebbe la continuità di servizio, altro aspetto essenziale della sicurezza. Tra l altro, per chi detiene dati sensibili sui propri sistemi esistono vincoli anche normativi che prescrivono un livello minimo di tutela delle banche dati. Cosa bisogna verificare allora? I sistemi sono tutti concentrati in un unico punto dell azienda (sala macchine) o sono distribuiti? La zona ha dei sistemi di controllo degli accessi (codici, tessere magnetiche, chiavi speciali)? Gli accessi vengono monitorati? La zona è protetta mediante gruppi di continuità da cali di tensione e da condizionatori dal rischio di 33

9 Il valore della sicurezza surriscaldamento? I gruppi di continuità sono in grado di pilotare lo spegnimento controllato dei sistemi in caso di mancanza prolungata dell energia elettrica? Queste sono alcune delle domande da porsi sull argomento. Non è necessario che tutte queste condizioni siano soddisfatte, non è un esame. Ciò che è realmente importante è l essere consapevoli del grado di sicurezza reale della propria infrastruttura, in modo da sapere bilanciare i provvedimenti e gli investimenti. SICUREZZA NEL BACKUP DEI DATI Ci sono vari tipi di attività che solitamente raccogliamo sotto questa voce. In tutti i casi ci si propone di avere, possibilmente, una doppia copia di tutte le informazioni in modo da poter ricostruire una situazione che si è persa a causa di un guasto hardware, di un problema software, o di un errore umano. Ogni tipo di backup presenta caratteristiche diverse, e quindi è particolarmente utile per risolvere una certa classe di problemi, mentre potrebbe essere poco o per nulla utile in altri casi. Come bisogna regolarsi allora? La cosa più semplice di solito è procedere prefigurando i vari scenari, i vari tipi di perdita di informazione, in modo da valutare se stiamo usando la forma corretta di backup. Questo tipo di impostazione tra l altro costituisce una base indispensabile alla redazione del cosiddetto recovery plan, ovvero l elenco dettagliato delle attività da svolgere nei vari casi di perdita di dati (si veda oltre). Anche qui non sarà possibile analizzare in modo esaustivo il problema, ma mi limito ad offrire alcuni esempi. La forma più semplice di backup è quella che si ottiene copiando il contenuto di un disco fisso su un altro supporto, sia questo un altro disco o un nastro. Supponiamo di usare una unità nastro e che il salvataggio venga eseguito tutte le sere a mezzanotte, e che il problema consista nella perdita di tutti i documenti di videoscrittura a causa del guasto di un disco fisso del server. Il sistemista recupera tutti i documenti dal nastro e dopo qualche ora tutto è di nuovo al suo posto. Possiamo quindi dedurre che usiamo un ottimo sistema di backup? Se accettiamo il fatto che tutti i documenti scritti o modificati nell ultima mezza giornata (fino al guasto del disco) sono persi, le cose effettivamente stanno così. Chiaramente, se avessimo potuto disporre di dischi configurati con tecnologia RAID, ovvero con ridondanza, il guasto del disco non avrebbe comportato nessun disservizio, e noi avremmo potuto continuare il nostro lavoro, senza perdere tempo. D altra parte, la tecnologia RAID non è affatto utile se la perdita di dati è causata non da un guasto hardware, ma da un errore umano: il documento rimosso per errore viene automaticamente cancellato da tutte le copie del sistema RAID! Per questa eventualità è indispensabile disporre di un copia su nastro. Consideriamo infine un altra situazione, nella quale non si salvano dei file di videoscrittura, ma un intero database. In questo caso la semplice copia dei file non è quasi mai utile, perché non è istantanea. Un database di grosse dimensioni può richiedere anche delle ore per essere salvato su un unità nastro, e quindi le varie aree dati che man mano verrebbero scritte sarebbero relative a diversi momenti. Si dice in questi casi che l immagine del database è inconsistente, ovvero corrotta, inutile. I database vengono sempre archiviati con procedure speciali, con caratteristiche diverse a seconda dell obiettivo che ci si propone di raggiungere: esportazioni logiche dei dati, particolarmente utili per trasportare i dati tra sistemi diversi o per ricaricare solo parte degli stessi; copie fisiche dei dati, che permettono di risolvere problemi dovuti a guasti fisici dei server, ma che richiedono lo "spegnimento" (e quindi il mancato utilizzo del database per tutto il periodo del backup); procedure di backup online, che consentono di archiviare in duplice copia e in tempo reale tutte le operazioni e permettono, nel caso, di tornare indietro. Nel decidere il tipo di procedura di backup da utilizzare in azienda abbiamo quindi l imbarazzo della scelta: semplici copie a tempo (e comunque con quale frequenza e su quanti nastri differenti?), copie continue, copie logiche, repliche notturne, ridondanza su più dischi, etc. Ogni soluzione può presentare vantaggi e svantaggi nei vari casi, diversi costi e diversi tempi di attesa in caso di necessità di utilizzo del backup per un ripristino. 34

10 Quale che sia la soluzione scelta bisogna ricordare che ciò che distingue una procedura di backup da una semplice copia di dati è la presenza o meno del recovery plan, ovvero delle regole da seguire per far fronte ai vari tipi di incidente. Nel piano di backup and recovery devono essere indicate in modo dettagliato le procedure da adottare e le azioni da intraprendere quando ci si trova a dover affrontare una perdita di informazioni. Il backup and recovery plan non deve consistere solo in una serie di indicazioni di intenti, ma possibilmente deve contenere le istruzioni dettagliate, sino ai comandi di sistema operativo o di caricamento dati nei database, da eseguire quando sorge un problema. Devono essere specificati anche le caratteristiche dei backup, il tipo, la frequenza, dove e come vengono conservati i nastri. Molte aziende conservano i nastri nella stessa stanza in cui risiedono i server, a volte addirittura sopra i server stessi. In caso di problemi ambientali gravi (incendi, allagamenti) o di furto si rischia addirittura la perdita dell intero patrimonio informativo aziendale. Come avviene per tutti gli altri anelli della catena della sicurezza, anche qui si tratta di un processo dinamico, non di un entità statica. Un recovery plan va continuamente aggiornato e possibilmente "testato". Quando si deve gestire una perdita di dati reale quasi sempre si lavora in condizioni di emergenza e di stress: sicuramente non è questo il momento migliore per accorgersi che nel recovery plan il caso contingente non era previsto. Pianificando con anticipo e selezionando le aree meno critiche dell azienda è utile effettuare dei test di ripristino dei dati. Purtroppo quasi tutte le aziende testano per la prima volta le procedure di backup e recovery a seguito di guasti reali. SICUREZZA NEI BACKUP DEI SISTEMI Il backup di sistema è un caso speciale. Generalmente, le operazioni di backup di dati registrano con una certa frequenza i dati dell azienda, e non tutti i programmi, tutte le configurazioni ed il sistema operativo dei server. La cosa è del tutto ragionevole perché questi ultimi vengono aggiornati molto più di rado dei dati, e l aggiornamento solitamente è fatto direttamente dallo staff degli amministratori di sistema. Per questo tipo di backup, che si rende utile generalmente solo in caso di guasto grave (per esempio, la rottura del disco principale del sistema, o disco di boot) tutte le considerazioni fatte sopra valgono in modo particolare. Un sistema con il disco principale danneggiato non funziona più. Il disco va sostituito ed il sistema reinstallato completamente. Una volta reinstallato però il sistema avrà perso tutte le configurazioni accumulate in mesi ed anni di attività (account utenti, definizione stampanti, procedure). Ricostruire le configurazioni di un server complesso può richiedere giorni di lavoro, se non settimane. D altra parte non è neanche possibile ripristinare sul sistema un vecchio salvataggio eseguito con la tecnica della copia dei file : nella maggior parte dei casi si otterrebbe un sistema non funzionante. Questo perché un sistema operativo funzionante non può essere sovrascritto completamente mentre è in esecuzione. Il piano di recovery diventa qui essenziale, soprattutto se il server che si deve reinstallare ha un alto costo di fermo macchina. Per alcuni server di particolare importanza può essere utile dotarsi di procedure software ad hoc per il system recovery, in grado di minimizzare i tempi di ripartenza a seguito di questo tipo di guasti, ma in generale questo non è indispensabile. Un buon disaster recovery plan in linea di principio potrebbe anche essere costituito solo dalle procedure da attivare per ripristinare le configurazioni desiderate, magari anche in assenza di un backup di sistema eseguito su nastro! Quello che realmente importa è solo il tempo di ripristino del sistema, non importa come questo avvenga. È chiaro che verificare un recovery plan può essere molto costoso, comportando fermi macchina e una certa dose di rischio, ma d altra parte non si può fare affidamento su un disaster recovery plan non testato. La consapevolezza 35

11 Il valore della sicurezza di disporre di un buon piano di disaster recovery può guidare il management nella scelta dell adozione o meno di soluzioni sofisticate (e costose) di alta affidabilità dei sistemi, come garanzia verso i propri clienti di tempi di risposta certificati anche a seguito di guasto bloccante del sistema informativo aziendale. HIGH AVAILABILITY Spesso si fa confusione tra high availability e sicurezza dei dati. Un sistema HA deve rispondere a determinati requisiti, che in linea generale prescrivono che ogni componente critica dello stesso debba essere ridondato: doppie CPU, doppie schede di rete, doppi alimentatori, bus di sistema ridondanti, gruppi di dischi configurati in modo che il guasto di uno di questi non comporti alcuna perdita di dati (nei vari livelli RAID, implementati via hardware o via software). Tutti questi accorgimenti fanno si che la macchina server abbia una maggiore resistenza ai guasti (si parla anche di "fault tolerance"), senza presentare interruzioni nell operatività. Possiamo fare a meno del backup su una macchina configurata in HA? Provate a dotarvi di uno di questi sistemi e quindi cancellare con un comando tutti i documenti! La macchina non è intrinsecamente più sicura, è solo più disponibile, ovvero può tollerare il guasto di più componenti, ma comunque fa quello che gli dice il software. È un po come avere una automobile con due motori; se uno si rompe c è l altro e possiamo continuare ad andare in giro, ma se andiamo contro una pianta ci facciamo male ugualmente! Quando è importante avere delle configurazioni di questo tipo? In generale quando si hanno organizzazioni caratterizzate da una forte presenza di procedure informatizzate, e di conseguenza alti costi di fermo macchina. In ogni caso bisogna sempre partire da una corretta valutazione di costi e benefici. Se il costo relativo al fermo macchina probabile con una data configurazione hw/sw è inferiore al costo necessario all introduzione di una architettura HA, probabilmente è meglio dirigere l investimento su altri anelli della catena. BUSINESS CONTINUITY Questo concetto rappresenta l estensione di quello di high availability, spostando l attenzione dal sistema informativo o dallo specifico server alla continuità del business vera e propria. Si tratta in genere di soluzioni molto complesse e molto costose poste nel contesto di scenari a volte un pò apocalittici come terremoti o inondazioni. Alcune aziende (per lo più si parla delle grosse aziende statunitensi) dispongono di una replica completa delle infrastrutture sia informatiche che fisiche, doppie reti di server, doppi uffici. La velocità delle linee di comunicazione, oltre all utilizzo di software estremamente sofisticati, consente di mantenere allineati o quasi i sistemi remoti in modo da garantire la sopravvivenza dell azienda anche nel caso della scomparsa di buona parte dei suoi edifici e dei suoi dipendenti. Più della metà delle aziende coinvolte nel disastro delle Twin Towers sono state in grado di sopravvivere ad una tragedia di quelle proporzioni. Questo non sarebbe stato neanche pensabile con la tecnologia disponibile solo pochi anni fa. Alcune applicazioni più semplici dei concetti di Business Continuity sono invece rivolti alla minimizzazione del tempo di indisponibilità dei sistemi informativi per le operazioni di manutenzione ordinaria, di prototipazione e benchmarking. Un esempio al riguardo: supponiamo di avere la necessità di effettuare un backup completo di un enorme database, e che questo abbia una durata di due giorni. Non è pensabile interrompere il lavoro di tutta l azienda per un periodo così lungo. Se l azienda dispone di una soluzione di Business Continuity, si può "congelare" una delle due macchine. Per tutta la rete, per i client e per lo stesso server remoto sarà come se il server principale si fosse guastato. Le procedure automaticamente dirotteranno il carico di lavoro sul server remoto, permettendo di svolgere su quello locale le operazioni necessarie al backup (o alle attività di test eventualmente programmate). Alla fine bisognerà comunicare al server remoto che quello principale è ripartito in modo da ripristinare la situazione di sicurezza. 36

12 AUDITING Tutte le soluzioni, le policies, le configurazioni descritte nei punti precedenti devono essere verificate periodicamente. Chi può svolgere queste verifiche? Se è vero che le decisioni, la stesura delle policies di sicurezza e la gestione quotidiana della stessa difficilmente possono essere delegate, è d altra parte innegabile che per progettare e realizzare alcune configurazioni ed architetture, sono necessarie competenze tecniche molto specialistiche. Non tutte le aziende dispongono di questo tipo di professionalità al proprio interno, e probabilmente per molte non è vantaggioso economicamente assumere degli specialisti, soprattutto se necessitano di una infrastruttura informatica relativamente semplice. Lo stesso vale per l auditing. Per verificare l effettivo livello di sicurezza di un sistema, di una rete, di una procedura, servono forti conoscenze tecniche, spesso anche superiori a quelle necessarie per progettare i sistemi (si dice che l attacco è molto più complesso da realizzare della difesa). Di quali servizi e collaborazioni dobbiamo allora avvalerci, per gestire questo tipo di problemi? È ipotizzabile una gestione completamente in outsourcing della sicurezza? La risposta a mio parere è negativa, anche se può essere utile e vantaggioso collaborare con aziende e consulenti con conoscenze specialistiche. Nella scelta conviene valutare strutture che siano orientate verso la comunicazione delle proprie conoscenze, più che sulla realizzazione di sistemi chiavi in mano. Il consulente di sicurezza dovrebbe essere considerato più un partner che un semplice fornitore. SOFTWARE ANTIVIRUS Tutti oggi sanno, almeno dal punto di vista degli effetti se non della struttura interna, cosa sia un virus informatico e che ruolo svolga nella politica di sicurezza il software di antivirus. Ogni settimana, nascono decine di nuovi virus, per cui non solo è importante possedere l antidoto, ma anche sottoscrivere i contratti di aggiornamento e aggiornare frequentemente l elenco dei virus noti. Aziende di dimensioni medie o superiori trovano conveniente adottare soluzioni centralizzate, che consentono di imporre le politiche di aggiornamento e di utilizzo delle funzionalità di scansione. Se sono molte le aziende che dispongono di un firewall, praticamente tutte installano i software di antivirus sui propri client e server. Non vale la pena di dilungarsi molto su questo punto: in questo caso, l analisi costi/benefici, vista l odierna diffusione dei virus, è senza dubbio a favore dell adozione degli antivirus. INTRUSION DETECTION Si dice che l unico computer veramente sicuro è un computer spento, possibilmente guasto e gettato in mare a metri di profondità in un blocco di cemento. Questo quasi sicuramente è vero, come è anche innegabile che si tratta di un computer completamente inutile! Per quanti sforzi si possano compiere, per quante regole si possano impostare, per quanto tempo si passi a perfezionare l installazione delle reti e dei server, esiste sempre una possibilità che questi vengano violati o danneggiati, magari anche in modo lieve. Dobbiamo accettare che qualsiasi sistema informativo presenta un area di insicurezza residua, una zona lasciata scoperta. Non è neanche detto che questa zona scoperta debba 37

13 Il valore della sicurezza per forza essere la più piccola possibile: dipende anche questo da quali sono i nostri scopi, la nostra strategia. Le tecniche di Intrusion Detection vanno a ricoprire per quanto possibile proprio l area scoperta. In pratica, anche se dal punto di vista tecnico la cosa si presenta tutt altro che semplice, si tratta di questo: se un hacker è riuscito a superare le difese dell azienda, almeno cerchiamo di accorgercene! I sistemi Intrusion Detection System si dividono in quelli orientati alla rete (NIDS, N da Network) e quelli orientati ai sistemi (SIDS). I primi sono costituiti da apparati hardware e software che implementano dei sensori di rete in grado di registrare anomalie nell utilizzo (seppur lecito) delle risorse di rete rispetto a soglie precedentemente configurate o rispetto all utilizzo medio. Ad esempio, un numero eccessivo di tentativi falliti di contattare un servizio spesso nasconde un attacco di hacking di rilevazione ( port scanning, l attaccante cerca di costruirsi una mappa della nostra rete, anche se ancora non ha tentato nessun attacco). I SIDS invece sono solitamente delle componenti software e sono più semplici. Sono in grado di registrare modifiche nelle aree più delicate dei sistemi e l utilizzo anomalo di alcune risorse. È un po come fare la fotografia del sistema subito dopo l installazione e metterla in cassaforte. Ogni tanto il software confronta la fotografia con l originale e ci informa dei cambiamenti. Se riconosciamo operazioni lecite, magari eseguite da noi, possiamo dare al software un segnale di conferma, altrimenti dobbiamo preoccuparci. Una buona politica di intrusion detection, probabilmente molto rozza ma non per questo inefficace (anche se viene adottata molto di rado) consiste semplicemente nell analisi quotidiana dei principali file di log dei sistemi, il controllo dei livelli di carico, di riempimento dei dischi, di uso delle risorse di rete. Questo tra l altro consente di controllare anche lo stato di salute complessivo della rete. Ricordiamo che è più probabile perdere un server per un guasto o un errore che per l attacco di un hacker. MEGLIO NON ESSERE TROPPO SICURI? Cerchiamo di ricapitolare: abbiamo più volte ricordato che avere un computer perfettamente sicuro è pura utopia, e che lo stesso vale per le connessioni di rete ad Internet, per le applicazioni, per tutta l infrastruttura informatica. Abbiamo detto che la sicurezza non deve essere concepita solo come un costo, ma come un investimento, che può rivelarsi estremamente vantaggioso poiché aumenta il valore complessivo dell azienda, apre nuove prospettive e nuove modalità di business. Ciò non toglie che aumentare il livello di sicurezza costa e non poco. D altra parte, dobbiamo anche pensare che la mancanza di sicurezza comporta un costo, che si paga in termini di percentuale di rischio di incidente e di mancanza di qualità complessiva. Oggi un azienda sprovvista di antivirus, che consente l utilizzo di Internet ai propri dipendenti, ha sostanzialmente la certezza di essere più volte oggetto di attacco di virus in un anno, e che in numerosi casi questo comporta dei danni anche economici diretti. Su un periodo appena più lungo, un azienda che non effettua correttamente i backup perderà quasi certamente i propri dati, tutti o in parte (i dischi, anche se oggi molto affidabili, prima o poi si guastano, le persone commettono errori e i software si bloccano). Valutare in modo realistico il costo reale totale della sicurezza (TCS) non è semplice, e come di consueto non ci sono regole ugualmente valide per tutte le aziende. È qui che deve intervenire il management: la valutazione implica una comprensione delle problematiche e viene essenzialmente costruita per deduzioni e intuizioni. I parametri da considerare sono il costo delle varie soluzioni di sicurezza, il costo aziendale che deriverebbe dai vari tipi di incidente (come ad esempio il costo di fermo macchina completo, o di perdita dei dati relativi ad un ora lavorativa aziendale), il valore che le varie soluzioni di sicurezza apporterebbero. In un caso reale, un progetto di aggiornamento del sistema informativo ha evidenziato l importanza di questi concetti meglio di qualsiasi argomentazione teorica. In una azienda di produzione fortemente informatizzata, la dismissione prematura degli investimenti e dei contratti di supporto delle procedure software in 38

14 uso ha causato ingenti perdite, invece di condurre ad un risparmio di costi. Fermi di sistema ripetuti, causati da questo rilassamento nella gestione del sistema di produzione, hanno prodotto perdite dirette (un centinaio di dipendenti bloccati nello svolgimento delle loro attività per numerosi giorni) ed indirette (ritardi nelle consegne dei prodotti finiti, blocchi nella catena di approvvigionamento, danni di immagine). È importante che la valutazione del CTS segua una linea assolutamente pragmatica. Generalmente, quando si TCS comincia a pensare al rischio che gli hacker entrino in azienda dal cavo di rete, anche chi sino a quel momento non si era minimamente occupato del problema desidera delle protezioni estremamente efficaci. È un po come correre il rischio che qualcuno si introduca in casa nostra a nostra insaputa. D altra parte, nessuno installerebbe su un utilitaria un antifurto che costa come un appartamento! La cosa veramente difficile da fare è stimare il valore (sarà un numero negativo, ma è un valore, comunque si voglia misurarlo) da associare ai singoli incidenti. Poi si moltiplica questo valore per il fattore di rischio (la probabilità che questi incidenti si verifichino) e si prendono le decisioni. È più facile dirlo che farlo. In alcuni casi si potrà scoprire che in certe aree dell azienda una mancanza di sicurezza può essere addirittura preferibile. In figura 2 rappresentiamo allora un grafico che illustri almeno qualitativamente il ragionamento. Il costo reale totale TCS diventa alto sia in caso di investimenti scarsi o nulli, sia per investimenti molto elevati. Tra l altro, sopra certe soglie, bisogna spendere grosse risorse per aumentare, anche di poco, il livello reale di sicurezza, e comunque non si raggiunge mai la sicurezza totale. Ogni azienda deve scoprire quale grafico rappresenta realisticamente la propria situazione, e a quel punto la cosa diventa semplice, basta determinare, come nell analisi funzionale, il cosiddetto punto di minimo. Un azienda che dota i suoi 500 agenti di pc portatile deve decidere che tipo di protezione antivirus installare: un software limitato ma molto economico oppure uno più costoso. Quale Investimenti Figura 2 scegliere? Come al solito la risposta è: dipende. Ipotizziamo il caso di una organizzazione in cui gli agenti installano sul pc una procedura di reporting, uguale per tutti, per inviare alcune informazioni in azienda a fine giornata. Assieme al pc viene consegnato un cd di ripristino, che permette di ricostruire la configurazione (perdendo quindi solo le informazioni caricate nell ultima giornata), eccetto i dati caricati e non inviati. Il costo relativo alla reinstallazione a seguito della rilevazione di virus è limitatissimo, e viene calcolato inferiore ai 50 euro. In un altra azienda, gli agenti dispongono sui propri laptop di ambienti completamente personalizzati, su cui ognuno carica i propri contatti e le proprie informazioni, i backup non sono regolamentati e men che meno controllati. 39

15 Il valore della sicurezza L eventuale virus comporta una catastrofe in miniatura, sicuramente per l agente, ma di conseguenza anche per l azienda, e il costo di ricostruzione completa delle informazioni può essere stimato in decine di migliaia di euro. Realtà aziendali diverse suggeriscono parametri diversi e quindi scelte diverse. Il secondo esempio sottolinea tra le altre cose che l adozione di policies, di standardizzazioni nei comportamenti e nei software, la stesura di procedure e applicazioni omogenee, nonostante sia un attività costosa, oltre a generare direttamente valore può anche indurre riduzioni di costi. Un altro esempio è presto fatto: se per accedere ad un edificio ho bisogno di una tessera magnetica, due password e infine del controllo dell iride, probabilmente non ci sarà bisogno di un guardiano davanti ad ogni porta! La situazione è schematizzata nella figura 3 La parte di controllo della sicurezza, coperta dagli investimenti, è l Area di Previsione. Qui ci aspettiamo di essere a posto, siamo tranquilli. Questo non significa che non ne dobbiamo controllare costantemente il livello ma, in effetti, lo strumento che useremo è per di più l auditing. Sappiamo cosa abbiamo fatto e vogliamo essere sicuri che non ci sia sfuggito nulla. L area superiore invece è quella dell insicurezza Sicurezza Rischio residuo Area di protezione Rischio coperto Area di previsione residua, o Area di Protezione. È qui che dobbiamo davvero proteggere i sistemi; magari esistono soluzioni di sicurezza per quest area, ma consapevolmente abbiamo deciso di non avvalercene, in coerenza con le considerazioni fatte sopra sui costi reali. Quest area comunque può e dovrebbe essere attentamente analizzata con i sistemi di IDS per verificare eventuali problemi e soprattutto per confermare la validità delle nostre stime. In caso di detect positivi si adottano azioni di reazione correttive immediate. Se in una certa area scoperta registriamo un numero elevato di problemi significa che le considerazioni che avevamo fatto nell analisi del costo totale CTS hanno utilizzato un errato coefficiente di rischio. Vanno quindi riviste e l intero processo deve essere ripercorso, secondo lo schema circolare che caratterizza la gestione della sicurezza (fig. 1). CONCLUSIONI Concludo questa breve panoramica sulle problematiche relative alla gestione della sicurezza informatica, ben consapevole che ci sarebbe molto da aggiungere e da approfondire, con una considerazione. Spesso, paradossalmente, il solo pensare a questi argomenti genera (effetto non voluto, ma probabilmente inevitabile), un senso di insicurezza, quasi di ansietà, al solo pensiero di cosa può accadere. Un po di preoccupazione non guasta, ma è sicuramente meglio cogliere anche gli aspetti positivi: sicurezza non significa solo prepararsi al disastro, ma anche investire nella continuità del business. Figura 3 Investimenti 40