La sicurezza dell informazione

Транскрипт

1 La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio corrente, spesso si confonde con il dato. Nell ambito della comunicazione il dato che ha carattere numerico o alfanumerico possiede l attitudine a essere elaborato ed è una descrizione non interpretata o elaborata di un evento. L informazione è la sintesi dei fatti, assunta a fondamento di decisioni; si riferisce a un insieme di uno o più dati, memorizzati, classificati, messi in relazione fra loro e interpretati in un contesto globale ed è il significato, che attraverso una convenzione, viene assegnato ad un dato o ad un insieme di dati. Le informazioni si trovano sotto diverse forme e si basano su dati memorizzati nei computer, trasmessi via fax o via rete, stampate o scritte su carta, memorizzate su dischi, dischetti, bobine, registrate in microfilm o pellicole, espresse in una conversazione telefonica o in una conferenza. I mezzi che permettono a un organizzazione di essere competitiva e di fare business, sono in primo luogo i suoi prodotti e i suoi servizi, nonché le sue capacità di creare valore per i suoi clienti. Quello che supporta questi mezzi e il business stesso sono i dati e le informazioni di vario genere e la loro relativa importanza. Le informazioni del business e i sistemi che le supportano sono beni per l organizzazione. Si trovano alla pari di altri capitali aziendali e hanno un valore per l impresa e necessitano, quindi, di una protezione adeguata. La sicurezza ha lo scopo di tutelare le informazioni contro una vasta gamma di minacce allo scopo di assicurare la continuità del business, di minimizzare le perdite attraverso la prevenzione, di minimizzare l impatto degli eventuali incidenti sulla sicurezza e di massimizzare il ritorno dell investimento e le opportunità di business. 2 Il concetto di sicurezza dell informazione Ogni organizzazione ha le proprie informazioni dalle quali essa dipende; esse, come è stato detto, costituiscono fattori essenziali per il proprio business. Più l informazione è critica, più suscita interesse. Cresce comunque la consapevolezza che queste informazioni possono essere scoperte e divulgate, modificate, rese non disponibili o addirittura distrutte attraverso comportamenti errati, il rubare o l utilizzo improprio. Un sistema per il trattamento automatico e per la conservazione dell'informazione è una combinazione di molteplici entità che, in un ambiente operativo ben definito, cooperano nello 1 Ioanis Tsiouras è Managing Director della TS Consulting di Novara (Italia), società di consulenza e formazione per l ICT finalizzata all eccellenza nel business. Pagina 1 di 1

2 svolgimento di svariate operazioni come: l'archiviazione, l'elaborazione e il trasferimento dei dati. I sistemi dell information technology, dai più semplici costituiti da un singolo Personal Computer o Work Station, fino a quelli più complessi che includono numerosi elaboratori collegati tra loro mediante reti di comunicazione (intranet, extranet, internet), possono presentare problemi rilevanti di sicurezza. Si parla dunque, secondo il caso, della sicurezza logica dell informazione o della sicurezza fisica. L'obiettivo generale della sicurezza delle informazioni consiste nella protezione delle informazioni stesse dalla perdita di: Riservatezza: assicurare che le informazioni siano accessibili solo alle persone autorizzate. Integrità: tutelare l esattezza e la completezza delle informazioni e dei metodi con cui vengono elaborate e/o processate. Disponibilità: assicurare che gli utenti autorizzati possano accedere alle informazioni e ai beni associati, quando è richiesto. Un sistema informatico può essere considerato sicuro, quando protegge adeguatamente le proprie informazioni relative alle tre caratteristiche indicate. Occorre precisare a tale proposito che la sicurezza assoluta non esiste in quanto le protezioni, comunque robuste, possono essere abbattute disponendo di adeguate risorse per attaccarle. La questione è quindi di definire quando le protezioni sono da ritenersi adeguate. Per risolvere tale problema le organizzazioni devono identificare dei riferimenti per la sicurezza che devono essere la base della progettazione del sistema di protezione e di rispetto dei quali si ne dovrà verificare l adeguatezza. 3 I requisiti per la sicurezza dell informazione La sicurezza è legata ad un bisogno psicologico strettamente connesso alla conservazione del proprio stato. La definizione dei requisiti di sicurezza e del livello di protezione, percepito come adeguato, viene influenzata da diversi fattori. Le principali fonti per la definizione dei requisiti sono: la missione, la politica e la strategia dell azienda, nonché i valori, gli atteggiamenti e le esigenze aziendali per il processamento dell informazione che l organizzazione ha sviluppato per supportare le proprie attività. La valutazione del rischio cui l organizzazione è soggetta e che consente di identificare le minacce e le vulnerabilità (punti deboli) nei confronti dei beni e la probabilità di avvenimento per cui viene stimato il potenziale impatto sulle attività e sul business dell azienda. I requisiti contrattuali che un organizzazione, i suoi partner e i suoi fornitori di beni e servizi devono soddisfare e i requisiti di norme e di regolamenti esterni all azienda (leggi, direttive, ecc.) a cui è soggetta la sua attività. Pagina 2 di 2

3 4 Schema generale della sicurezza La BS 7799 propone lo schema concettuale della seguente figura che illustra il contesto generale della sicurezza e del rischio; definisce le correlazioni tra i rischi per la sicurezza, i beni e i potenziali impatti, le minacce, le vulnerabilità, i requisiti e le contromisure di protezione da applicare. Minacce Individuano Vulnerabilità Proteggono dalle Espongono Controlli per la sicurezza Riducono Rischi per la sicurezza Beni Soddisfati dai Indicano Hanno Requisiti per la sicurezza Valore dei Beni e Potenziali impatti Il valore dei beni e il potenziale impatto Allo scopo di identificare l appropriata protezione per i beni, è necessario stimare il loro valore in funzione della loro importanza nel business o il loro valore potenziale attribuito in certe occasioni. Il valore è espresso in funzione del potenziale impatto al business di un incidente non desiderato in termini di riservatezza, integrità e disponibilità, che potrebbe provocare perdite finanziarie, economiche, quota di mercato o di immagine. Per una valutazione efficace e coerente occorre creare, per i beni, una scala di valore. Per ogni bene e per ogni possibile perdita sarà assegnato un valore. Le minacce La minaccia possiede il potenziale per causare un incidente non desiderato da chi lo subisce, capace di arrecare danni al sistema, all organizzazione o ai suoi beni. Questo danno può avvenire attraverso attacchi diretti o indiretti all informazione dell organizzazione. Le minacce possono provenire da eventi o sorgenti deliberati o accidentali e hanno bisogno di sfruttare una vulnerabilità (punto critico) del sistema, delle applicazioni o dei servizi utilizzati dall organizzazione per provocare un danno ai beni (esempi di minacce: accessi Pagina 3 di 3

4 non autorizzati, virus, errori e malfunzionamenti nel software, modifiche non autorizzate alle informazioni, incendi, errori dello staff, il rubare, ecc). Le vulnerabilità Le vulnerabilità costituiscono i punti deboli associati ai beni o a un gruppo di beni o a una specifica parte del sistema che ne compromette la sicurezza per come è stata specificata negli obiettivi. Questi punti deboli potrebbero essere sfruttati da una minaccia, provocando incidenti non desiderati. Una vulnerabilità di per sé non provoca un danno; costituisce una condizione o un insieme di condizioni che possono permettere a una minaccia ad avere un impatto su un bene (esempi: protezione fisica non adeguata, definizione e uso errato delle password, trasmissione dati via internet, conservazione di documenti senza protezione, addestramento insufficiente del personale sulla sicurezza dell informazione, ecc.). 5 Valutazione dei rischi e le misure di protezione Si può definire il rischio come la possibilità che una minaccia, rivolta ad un bene o a un gruppo di beni o a una specifica parte del sistema, possa sfruttare le vulnerabilità del sistema e provocare perdite o danni ai beni e per l azienda. Lo scenario del rischio descrive come una particolare minaccia o gruppo di minacce possono sfruttare una particolare vulnerabilità o un gruppo di vulnerabilità che espongono i beni al pericolo. Il rischio è caratterizzato dalla combinazione di due fattori: la probabilità che un incidente indesiderato avvenga e il suo impatto sul business dell organizzazione. La misura del rischio è determinata dalla combinazione del valore del bene, dai livelli delle minacce e dalle vulnerabilità associate. Il processo ha l obiettivo di identificare i rischi per la sicurezza, determinando la loro ampiezza e identificando le aree che necessitano protezione è definito come analisi del rischio. Una volta che il rischio è stato analizzato e valutato occorre procedere con la sua gestione. Il processo di identificazione, controllo, eliminazione o riduzione degli eventi incerti che possono avere un impatto sulle risorse del sistema è definito come processo di gestione del rischio. Il rischio normalmente non viene eliminato del tutto, ma viene mitigato parzialmente attraverso l uso delle contromisure. Maggiore è la riduzione del rischio, maggiori sono i costi. Questo significa che per eliminare del tutto il rischio i costi crescono. Si può in ogni modo accettare un livello di rischio, definito come rischio residuo che corrisponde al rischio che rimane dopo l attuazione delle contromisure di protezione. In ogni caso occorre trovare il punto di equilibrio tra il rischio residuo e il danno ammissibile. Il rischio residuo che corrisponde al danno ammissibile costituisce il rischio residuo ammissibile. Il management di ogni impresa dovrebbe essere consapevole del rischio residuo in termini di impatto e di probabilità che un evento possa avvenire. La decisione di accettare il rischio residuo dovrebbe essere preso, da persone che sono in posizione di accettare le conseguenze dell impatto degli incidenti indesiderati che possono avvenire e da chi può autorizzare contromisure addizionali se i livelli del rischio residuo non sono accettabili. Pagina 4 di 4

5 6 Come costruire il Sistema di Gestione per la Sicurezza dell Informazione (SGSI) Ogni organizzazione dovrebbe stabilire e manutenere un Sistema di Gestione per la Sicurezza dell Informazione allo scopo di proteggere adeguatamente i suoi Beni. L approccio per la realizzazione del SGSI e la sua certificazione è suddiviso nei seguenti Step: Step Titolo 1 Definizione della Politica per la sicurezza dell informazione 2 Definizione del Sistema di Gestione per la Sicurezza dell Informazione (SGSI) 3 Analisi e Valutazione del Rischio 4 Gestione del Rischio 5 Valutazione periodica della sicurezza dell informazione (Audit) 6 Certificazione 7 Bibliografia [1] I. Tsiouras, Guida alla certificazione ISO 9000 per le organizzazioni utenti e le aziende d informatica, FrancoAngeli, Milano, [2] BS : 1999 Information security management part 1: code of practice for information security management [3] BS : 1999 Information security management part 2: specification for information security systems [4] Merike Kaeo, Designing Network Security, Macmillan Technical Publishing, 1999 [5] G. Carducci, La tutela dei dati aziendali, FrancoAngeli, Milano, [6] M. Morelli, La comunicazione in rete, FrancoAngeli, Milano, [7] M. Cinotti, Internet Security, Hoepli, Milano, 1999 Pagina 5 di 5