Cosa si intende per sicurezza e standard di sicurezza informatica?

Il tema della sicurezza informatica, è diventato di stringente attualità, balzando all’attenzione di sviluppatori di software (ma anche giuristi), in seguito alla crescita esponenziale dell’uso di strumenti informatici e di internet da parte della collettività.

Ma che cosa si intende realmente con l’espressione “sicurezza informatica”?

Essa indica quel ramo specifico dell’informatica che si occupa delle misure in grado di assicurare all’utenza autorizzata l’accesso a tutti e soli i servizi previsti da contrattazione o regolamentazione amministrativa, nei tempi e nelle modalità previste in tali strumenti. Tale attenzione degli sviluppatori di software per gli aspetti di sicurezza nei programmi o nell’invio e ricezione di dati confidenziali o protetti, è la risultante della crescita nell’uso di strumenti informatici ed internet.

Software considerati “protetti” portano a definire il concetto stesso di sicurezza come l’assenza di condizioni di conflitto in grado di danneggiare un sistema.

La progettazione di software è quindi fortemente influenzata da questo obiettivo, in quanto nella realizzazione di un programma specifico bisogna sempre tener conto dell’efficienza d’uso dello stesso, da un lato, e della sua capacità di resistere ad attacchi esterni e/o errori, dall’altro lato.

Due sono le caratteristiche fondamentali che esplicano il concetto di sicurezza:

1. Sicurezza (safety), consistente in una serie di accorgimenti atti ad eliminare la produzione di danni irreparabili all’interno del sistema.
2. Affidabilità (reliability), incentrata sulla prevenzione di eventi che possono produrre danni di qualsiasi gravità al sistema.

Negli ultimi 20 anni gli sforzi degli sviluppatori per assicurarsi tali risultati si sono incentrati attorno a particolari standard, definiti “standard di sicurezza informatica”.

Questi, infatti, permettono alle aziende produttrici di software di sviluppare tecniche di sicurezza in grado di minimizzare le minacce, diffondendo documenti descrittivi di tali standard, all’interno dei quali si trovano vere e proprie guide che offrono indicazioni generali e misure tecniche di dettaglio a supporto della realizzazione di un sistema efficace di sicurezza informatica.

A livello cronologico, gli standard di sicurezza informatica sono di recente attuazione e vanno di pari passo con la veloce diffusione di Internet, che ha influenzato la circolazione di informazioni in rete, e quindi ha comportato un innalzamento del livello di guardia, per quanto riguarda il tema della sicurezza informatica. Esso è divenuto importante non solo per i governi e le aziende che devono proteggere i propri segreti industriali o le informazioni sui dati della clientela, ma anche per gli stessi individui, esposti al rischio del cosiddetto “furto di identità”, ossia la capacità di terzi di ottenere in maniera indebita informazioni personali riguardanti un soggetto, al fine di sostituirsi in parte o in parte a quest’ultimo, compiendo azioni illecite a suo nome.

Oggi uno degli standard di sicurezza più comunemente utilizzati è l’ISO 27002 del 2007, un manuale pratico per la sicurezza, privo tuttavia di valore normativo, a differenza dello standard ISO 27001, considerato vera e propria norma generale per ottenere la certificazione di sicurezza informatica. È stato emanato nel 2007 dall'Organizzazione internazionale per la normazione (ISO), la più importante organizzazione a livello mondiale per la definizione di norme tecniche, e dalla Commissione Elettrotecnica Internazionale al termine di un lungo iter evolutivo.

L’ISO 27002 non è che una delle svariate metodologie adottabili per soddisfare i requisiti normativi delineati dall’ISO 27001, ma è di grande rilievo pratico in quanto stabilisce che la sicurezza informatica è caratterizzata da tre aspetti imprescindibili: integrità, ossia protezione

dei dati e informazioni da modifiche di contenuto accidentali o a causa di terze parti; riservatezza o confidenzialità, riguardante la tutela di dati ed informazioni scambiati tra mittente e destinatario/i nei confronti di parti terze; disponibilità, ossia capacità di svolgere una funzione richiesta a determinate condizioni e in un dato istante.

Tale documento è suddiviso in 10 aree di controllo ed ogni sezione è dedicata ad un tema specifico, spaziando dalle politiche di sicurezza, alla sicurezza del personale, alla sicurezza fisica e ambientale, senza dimenticare le tematiche relative al delicato ambito del controllo degli accessi alle informazioni “sensibili” e all’adeguamento alla più recente normativa in tema di dati personali in rete, ma anche di sicurezza fisica e degli ambienti in cui sono collocati i database.

Gli standard sono metodologie e linee guida che vanno seguite dagli operatori e da coloro che hanno il compito di rilasciare certificazioni che attestino la sicurezza di un prodotto informatico. Si prendono gli ISO e si seguono per testare la sicurezza di un software o di un sistema informatico

Tra gli altri importanti standard di sicurezza vanno menzionati l’ISO 27001:2005, norma internazionale che fornisce gli strumenti per un sistema di gestione della sicurezza delle tecnologie dell’informazione; il SoGP (Standard of Good Practice), consistente in una lista completa delle best practices di sicurezza informatica, raccolte dal 1998 ad oggi; e l’ISO 15408, sviluppato come test di verifica comune e definito per questa ragione “Common criteria”.

In definitiva, l’implementazione di uno standard dovrebbe permettere a diverse applicazioni software di essere integrate e testate in assoluta sicurezza, ma senza fornire una lista di requisiti di sicurezza e/o funzionalità che il sistema dovrebbe possedere.

Stefano Sacchi

Per un altro articolo in tema dati personali e sicurezza informatica, che esemplifica molti dei problemi tracciati nel presente post, potete leggere anche: "Furti d'identità nel cloud"

Per un recente post in tema di privacy nelle scuole ed intervento dell'Autorità Garante italiana potete leggere: "La privacy a scuola: dieci regole dal garante per la protezione dei dati personali"

 

Se vi è piaciuto l'articolo non dimenticate di aderire gratuitamente al feed di Leggendoci per rimanere sempre aggiornati sul nostro blog!   

Indietro alla pagina Forse non sapevate che