ShinyNews Home  |  Azienda  
E-Business E-Business
Web Usability
Marketing & Advertising
Diritto
Internet Economy
Cerca articolo
 
E-Business
Strumento strategico per il business
Il commercio elettronico cresce
In pochi diventano clienti
Il Web cambia il turismo
Il software? Un servizio
Il Web 2.0 per le imprese
La formazione si fa a distanza?
Cambio di passo per le PMI
2007: annus horribilis per internet?
Equilibrio committente-realizzatore
La salvezza è nella copia
Pronti alla rivoluzione?
Non solo privacy nel futuro delle imprese
I risultati di un'azienda web-oriented
La pirateria inganna
Che cosa resta di SMAU
Il valore della community
Minacce in diminuzione, guardia da alzare
Verso il tempo reale
Reti sociali per il business
Attenti agli errori
Dal dato alla conoscenza
Proteggere l'identità
Applicazioni e servizi
Un segnale forte per l'IT
Conosci te stesso?
Web 2.0: dai siti ai servizi
Gli strumenti di protezione
Le PMI lombarde spinte in Rete
Natale alle porte: strategie last minute
Dominio eu: tutto pronto, e l'ICANN va sotto controllo
L'analisi del rischio
Requisiti di sicurezza
Ecco i soldi per chi investe in alta tecnologia
La qualità dei servizi nelle reti ICT
Finanziamenti a sostegno di hi-tech e export
Quale metodo di pagamento per l'e-commerce
Spie in Rete
Arriva il livello europeo
La percezione dell'ICT
Una PA che cambia: opportunità per le imprese
Competitività per decreto
Dall'errore umano, al firewall umano
Il wireless per l’azienda
Una porta per comunicare sicuri
Aziende senza burocrazia
Dalla competizione alla collaborazione
Stop ai virus
I micropagamenti chiave per l'e-business
Internet è comunicare
VOIP: vantaggi e problemi
Quali contenuti per la banda larga?
L'e-government per le imprese
Agevolazioni per l'e-commerce
Formazione, imprese in prima fila
Il valore strategico del Web per le PMI
Non solo una vetrina
Contributi in arrivo per l’informatizzazione
Il valore della comunicazione interna
Strumenti informatici per la PMI
La dotazione tecnologica della PMI
Informatizzare le PMI
Una Borsa telematica per il lavoro
Software: costi e benefici
Chi comanda i motori di ricerca?
Una storia di mala-distribuzione
Fine del modello free
Tradurre i siti Internet
La ricerca del personale via Web
Innovazione digitale per le PMI
Una scrittura particolare
Raggiungere i mercati stranieri
Svaniscono gli incentivi digitali
Beati i primi
versione stampabile
Ottobre 2005 - Sicurezza reti (2)

Requisiti di sicurezza


Le reti ICT come fattore chiave dello sviluppo della società dell'informazione e in generale dell'economia dei paesi sviluppati. È questa la chiave di lettura di un pool di esperti messo insieme a lavorare per conto del Ministero delle Comunicazioni.


Abbiamo già detto dell'attività del Ministero delle Comunicazioni relativa agli orientamenti sulla sicurezza delle reti. Dopo avere parlato di qualità del servizio, pertanto, ci accingiamo a scoprire insieme il tema del secondo volume di linee guida per i prodotti e servizi ICT: "Sicurezza delle reti: dall'analisi del rischio alle strategie di protezione".

La sicurezza delle reti

Con questa pubblicazione si entra nel cuore del problema della sicurezza di tutti i sistemi ICT in essere. Il concetto di rete è infatti il concetto tecnologico chiave per comprendere lo sviluppo nella società dell'informazione. Gli argomenti di questo volume, quindi, sono di fondamentale importanza per avvicinarsi al concetto di sicurezza ICT, a partire dai requisiti che una rete deve possedere per poter essere definita sicura.

Rete: il motore del processo produttivo

Poco importa il settore di appartenenza della società: oggi la rete ICT è - nella sua accezione più ampia - è il vero motore del processo produttivo di qualsiasi azienda. La gestione delle informazioni non può prescindere da un computer in grado di scambiare queste informazioni con altri computer. Già questa è una rete. Se un evento dannoso blocca la normale possibilità di comunicazione esistente per quella rete, è lo stesso processo produttivo a essere bloccato o fortemente ritardato e limitato, quale che sia l'attivit´┐Żreale svolta. Per questo sicurizzare una rete - cioè metterla in sicurezza, che si contrappone al semplice assicurare, cioè garantire di avere una qualche copertura - significa proteggerla da qualsiasi tipo di danno che possa derivarle da qualsiasi tipo di azione, sia essa volontaria o involontaria.

Sicurizzare una rete: dalla tecnologia al contenuto

Mettere in sicurezza una rete è un concetto che può essere affrontato da diversi punti di vista. Ciò che preme sottolineare qui, tuttavia, è che il punto di vista meramente tecnologico rischia di essere riduttivo, perché in sostanza riguarda le tecnologie di difesa della rete stessa da ogni possibile danno. Molto più rilevante è chiarire che cosa si intenda per sicurizzare una rete dal punto di vista del contenuto, che è poi ciò che interessa la stragrande maggioranza degli utenti. E questi sono essenzialmente i requisiti che ci permettono di definire sicura una rete.

I requisiti di sicurezza

Le informazioni che transitano su una rete sicura devono soddisfare alcuni requisiti di base:
la confidenzialità dei dati - ovvero la garanzia che l'accesso, il trattamento e l'eventuale cessione dei dati in transito siano conosciuti e gestiti soltanto da chi ha il diritto di farlo;
la disponibilità delle informazioni - ovvero la possibilità data agli utenti con i relativi diritti di accedere alle informazioni ogniqualvolta ne abbiano necessità, senza limiti e senza ritardi;
l'integrità dei dati - ovvero la garanzia che l'informazione custodita e gestita non subisca manomissioni non autorizzate, perdite o danneggiamenti di alcun tipo.
Questi tre requisiti devono essere tutti soddisfatti per poter affermare che una rete è sicura, e le strategie di difesa, quali che siano dal punto di vista tecnologico, devono garantire il soddisfacimento appunto dei requisiti in essere.

L'evoluzione della sicurezza

I tre requisiti descritti, in sostanza, ci riportano al concetto di rete interconnessa. Infatti, fino ad alcuni anni fa la maggiore e più sicura protezione di una rete consisteva fondamentalmente nel suo isolamento. Oggi, al contrario, la circolazione delle informazioni è un valore basilare e una leva per lo sviluppo. Per questo le reti, nella loro evoluzione, si sono esposte a nuovi pericoli. L'attenzione si è spostata dall'isolamento della rete all'isolamento - per così dire - dell'informazione che vi transita. Proprio per questo motivo, il rischio maggiore avviene all'interno del sistema piuttosto che all'esterno. Dato per assodato che dall'esterno ci si protegga, è chi ha la disponibilità d'accesso alle informazioni che rappresenta l'anello debole della catena. E non è un caso che tante tecniche di hacking (e di cracking) facciano ricorso alle tecniche della cosiddetta ingegneria sociale: se non si può bucare una rete, si sfrutti chi l'accesso alla rete lo ha a buon diritto. Tutto ciò riporta alle varie considerazioni sulla sicurezza già espresse, in particolare all'importanza del fattore umano.

Il fattore umano

Dietro ogni tecnologia di sicurezza, per quanto accurata e sofisticata, c'è una persona che deve utilizzarla. Dietro la rete di informazioni protette dalla tecnologia di sicurezza ci sono altrettante persone che devono avervi accesso e possibilità di gestione. Va da sé che ogni tentativo di prevenzione possa essere vanificato da utilizzatori non addestrati o poco convinti della sua necessità. Non è necessario arrivare ai malintenzionati: è sufficiente fermarsi ai poco capaci o ai poco esperti (magari non per colpa loro). La prima e più importante tutela della rete ICT, quindi, consiste nella formazione costante e approfondita degli utilizzatori stessi della rete. E anche in questo caso, non solo conoscenza tecnica o tecnologica dei processi e delle funzioni: fondamentali sono le conoscenze e le motivazioni. Spiegare quali siano i possibili rischi e i relativi danni è un motivatore eccezionale per aumentare la soglia di attenzione degli utilizzatori.

Aspetti di prevenzione del rischio umano

Contro il rischio interno di errore umano, si possono tenere presenti tre aspetti relativi alla prevenzione:
la conoscenza delle conseguenze - le persone, quando commettono un'azione illegale, valutano i pro e i contro anche in termini di danni provocabili: avere delle informazioni corrette consente di avere un'esatta percezione delle conseguenze della propria azione aumentando il livello di consapevolezza e diminuendo il rischio di sottostimare l'atto;
la conoscenza e la percezione del rischio - il comportamento leggero/disfunzionale di alcune persone parte dal presupposto che il proprio gruppo di lavoro o la propria organizzazione non rappresenti un target per un attacco o che, se anche lo diventasse, non subirebbe danni eccessivi; la ridotta percezione del rischio è alla base di leggerezze che rischiano di essere mortali per la rete ICT;
la motivazione al rispetto delle procedure di sicurezza - la sicurezza è un argomento raramente affascinante se non se ne percepisce appieno l'utilità; le procedure sono spesso faticose e noiose da applicare, e risulta quindi di fondamentale importanza riuscire a motivare le persone al rispetto di tali procedure che altrimenti non verranno applicate in maniera sistematica, pregiudicando la sicurezza dell'organizzazione nel suo complesso.
Scrivi a proposito di questo articolo